当WiFi设备高达300多的时候,你就知道一个一个改名称有多痛苦了。光加载一次设备列表就已经30秒过去了。苦不堪言,后面也发现了app的一个小瓜,快来围观~~
说干就干-->
app信息
调试工具
整理一下Light紫星大神的内容:
好的,这里应该要给Light紫星大神掌声,坑都替我踩了。
但是,我技术有限,根本不懂如何将libRouterAppContextJNI.so里面的证书替换(希望后续有大神讲解一下~~)
此刻我想起之前看过一篇frida hook so文件进行抓包的文章,大概的我理解到的思路是用frida进行hook修改X509_verify_cert函数的返回值(验证证书的有效性的一个函数),让app不信任app自己的证书,从而达到抓包的目的。
ida分析libRouterAppContextJNI.so,查找函数:
正中我所想,函数是存在的,尝试hook看看是否有验证函数的过程
hook代码:
[JavaScript] 纯文本查看 复制代码Java.perform(function(){
var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
console.log("-------------Start-------------"+nativePointer);
Interceptor.attach(nativePointer, {
onEnter: function(args){
// 此处是修改入参要做的逻辑,在这里不需要修改,留空即可
},
onLeave: function(retval){
console.log("进入证书验证返回--->"+retval)
}
});
});
hook命令:
hook结果:
果然是和我想的一样,继续修改hook代码:
[JavaScript] 纯文本查看 复制代码Java.perform(function () {
var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
console.log("\r\n-------------Start-------------" + nativePointer);
Interceptor.attach(nativePointer, {
onEnter: function (args) {
// 此处是修改入参要做的逻辑,在这里不需要修改,留空即可
},
onLeave: function (retval) {
console.log("---------->Hook Start" + retval)
// 用replace修改返回值
retval.replace(0x1)
// 确认是否修改成功
console.log("修改了证书的返回值--->" + retval+"\r\n")
console.log("---------->Hook End
hook结果:
这样就修改成功了。先打开小黄鸟,将提示的证书安装上!
抓包顺序就要更加注意了。按步骤来:
完整数据包:
整个流程不需要三小时,只需要10分钟,也说起前面的小瓜,在写批量修改名称程序的时候发现,原来http也能访问,这样可以省去证书的环节~
还有就是如果不安装抓包顺序来,就会抓不到包,我试过,如果打开了小黄鸟不启用抓包,让hook启动了app之后再开启抓包功能,就死活不能抓包。希望有大神讲讲其中的原理。
最后赠送大瓜环节,app反编译后发现app友商的内容,(T*_Link)难道是一个公司开发?
以上内容大神轻轻喷
