[Android] 安卓apk水星WiFi逆向抓包之旅

起因是看到 Light紫星 大神简述了对某app抓包经过进行实践 （原帖：记录某app难忘的抓包之旅）也碰巧自己需要用这个app去批量修改名称，以及电脑管理WiFi需要。
当WiFi设备高达300多的时候，你就知道一个一个改名称有多痛苦了

。光加载一次设备列表就已经30秒过去了。苦不堪言，后面也发现了app的一个小瓜，快来围观~~

说干就干-->

app信息

• app名称：5rC05pifV2lGaQ==
• app版本号：2.1.8

调试工具

• frida 12.2.8
• 小黄鸟 大鹰版（是这样叫的吗？就是小黄鸟它张开了翅膀)

正中我所想，函数是存在的，尝试hook看看是否有验证函数的过程

hook代码：

Java.perform(function(){
    var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
 
    console.log("-------------Start-------------"+nativePointer);
    Interceptor.attach(nativePointer, {
        onEnter: function(args){
            // 此处是修改入参要做的逻辑，在这里不需要修改，留空即可
        },
        onLeave: function(retval){
 
            console.log("进入证书验证返回--->"+retval)
        }
    });
});

hook命令：

hook结果：

果然是和我想的一样，继续修改hook代码：

Java.perform(function () {
    var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
 
    console.log("\r\n-------------Start-------------" + nativePointer);
    Interceptor.attach(nativePointer, {
        onEnter: function (args) {
            // 此处是修改入参要做的逻辑，在这里不需要修改，留空即可
        },
        onLeave: function (retval) {
 
            console.log("---------->Hook Start<----------\r\n")
            console.log("进入证书验证返回--->" + retval)
            // 用replace修改返回值
            retval.replace(0x1)
            // 确认是否修改成功
            console.log("修改了证书的返回值--->" + retval+"\r\n")
            console.log("---------->Hook End<----------")
        }
    });
});

hook结果：

这样就修改成功了。先打开小黄鸟，将提示的证书安装上！

抓包顺序就要更加注意了。按步骤来：

• 打开小黄鸟
• 开启抓包
• 执行hook命令
• hook到，并且替换校验证书的返回值
• app校验证书，失败，不信任证书
• 此时小黄鸟就能够抓到响应的包

整个流程不需要三小时，只需要10分钟，也说起前面的小瓜，在写批量修改名称程序的时候发现，原来http也能访问，这样可以省去证书的环节~

还有就是如果不安装抓包顺序来，就会抓不到包，我试过，如果打开了小黄鸟不启用抓包，让hook启动了app之后再开启抓包功能，就死活不能抓包。希望有大神讲讲其中的原理。

最后赠送大瓜环节，app反编译后发现app友商的内容，（T*_Link）难道是一个公司开发？

以上内容大神轻轻喷

注：若转载请注明大神论坛来源（本贴地址）与作者信息。