Android hook方式抓包

最新推荐文章于 2025-06-20 19:30:00 发布
原创 最新推荐文章于 2025-06-20 19:30:00 发布 · 3.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
文章标签:

#android #kotlin #android studio

本文介绍了通过Frida Hook技术来实现Android应用的HTTP和HTTPS流量抓包,详细解析了HTTP抓包的原理,并提供了相关代码示例,展示了如何在不考虑证书绑定和双向认证的情况下,利用SocketInputStream和SocketOutputStream的读写方法进行数据捕获。同时,对于HTTPS抓包,文章给出了针对不同Android版本的Hook策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在跟大佬学习的时候发现另一种抓包方式,采用frida hook socket 字节流即可,哪里还需要管什么证书绑定,双向认证?

HTTP抓包原理

样本案例

class MainActivity : AppCompatActivity() {
    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_main)
        findViewById<Button>(R.id.btn).setOnClickListener {
            thread(name = "learnHttp") {
                val url = URL("http://www.baidu.com/")
                val urlConnection = url.openConnection() as HttpURLConnection
                try {
                    val ins: InputStream = BufferedInputStream(urlConnection.inputStream)
                    val readBytes = ins.readBytes()
                    Log.d("MainActivity", String(readBytes))
                    ins.close()
                } catch (e: java.lang.Exception) {
                    Log.e("MainActivity", "error", e);
                } finally {
                    urlConnection.disconnect()
                }
            }

        }
    }
}

我们分析HttpURLConnection如何发送网络请求才能明白一些hook点,这里使用Android Studio自带的profiler。

在这里插入图片描述
在这里插入图片描述

当然上面分析比较多路径,这里采用别的方式分析,我们知道http会通过socket进行通信必然要通过socket输入输出流,然后断点获取输入流和输出流的地方即可。

在这里插入图片描述

可以看到最终返回的时java.net.SocketInputStream.
在这里插入图片描述
然后你只需要在下一个断点在这个类所有读取方法上
在这里插入图片描述

可以看到会走到其相关read
在这里插入图片描述
我们观察下这个字节数组数据方法

在这里插入图片描述
在这里插入图片描述
可以看到这个就是我们需要的相关数据,当然IDE显示的数据可能不是很正确。因为结构体body是被gzip压缩的。

所以我们这里使用frida hook这个类的读写函数即可。对http请求也如法复制即可。所以大佬根据上面的原理写出了如下的代码

//一个16进制打印工具
function jhexdump(array,off,len) {
    var ptr = Memory.alloc(array.length);
    for(var i = 0; i < array.length; ++i)
        Memory.writeS8(ptr.add(i), array[i]);
    //console.log(hexdump(ptr, { offset: off, length: len, header: false, ansi: false }));
    //console.log(hexdump(ptr, { offset: 0, length: array.length, header: false, ansi: false }));
}

function hook_socket(){
    Java.perform(function(){
        Java.use("java.net.SocketOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.write(bytearry,int1,int2);
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            console.log("write bytearray contents=>\r\n", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            //console.log(jhexdump(bytearry));
            return result;
        }
        

        Java.use("java.net.SocketInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.read(bytearry,int1,int2);
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            console.log("read bytearray contents=>\r\n", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            // console.log(jhexdump(bytearry));
            return result;
        }

    })
}


function main(){
	hook_socket()
}
setImmediate(main)

我们举例说明:
在这里插入图片描述

将上面的16进制拷贝到010editor

在这里插入图片描述
其中响应体被gzip压缩

在这里插入图片描述
我们把压缩内容内容保存的桌面取名httpcontent.gz

在这里插入图片描述
在这里插入图片描述
解压得到正确输出

HTTPS抓包原理

如法炮制断点输出流写入
在这里插入图片描述
在这里插入图片描述
如果无法关联源码可以请导入AOSP中extern/okhttp 源码(需要改包名等,内部使用jarjar.jar工具替换的)

在这里插入图片描述

com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream

输入流同理
在这里插入图片描述
在这里插入图片描述

在Android10 上面的代码可能有变化

以下为大佬写的写的相关代码

function jhexdump(array,off,len) {
    var ptr = Memory.alloc(array.length);
    for(var i = 0; i < array.length; ++i)
        Memory.writeS8(ptr.add(i), array[i]);
    //console.log(hexdump(ptr, { offset: off, length: len, header: false, ansi: false }));
    //console.log(hexdump(ptr, { offset: 0, length: array.length, header: false, ansi: false }));
}

function hook_socket(){
    Java.perform(function(){
        console.log("hook_socket;")
        

        Java.use("java.net.SocketOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.write(bytearry,int1,int2);
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            console.log("write bytearray contents=>\r\n", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            //console.log(jhexdump(bytearry));
            return result;
        }
        

        Java.use("java.net.SocketInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.read(bytearry,int1,int2);
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            console.log("read bytearray contents=>\r\n", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            // console.log(jhexdump(bytearry));
            return result;
        }

    })
}


function hook_SSLsocketandroid8(){
    Java.perform(function(){
        console.log("hook_SSLsocket")
        
        Java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.write(bytearry,int1,int2);
            //console.log("HTTPS write result,bytearry,int1,int2=>",result,bytearry,int1,int2)
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            console.log("bytearray contents=>", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            console.log(jhexdump(bytearry));
            return result;
        }
        

        
        Java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){
            var result = this.read(bytearry,int1,int2);
            console.log("HTTPS read result,bytearry,int1,int2=>",result,bytearry,int1,int2)
            var ByteString = Java.use("com.android.okhttp.okio.ByteString");
            //console.log("bytearray contents=>", ByteString.of(bytearry).hex())
            //console.log(jhexdump(bytearry,int1,int2));
            //console.log(jhexdump(bytearry));
            return result;
        }
        

    })
}


function hook_SSLsocket2android10(){
    Java.perform(function(){
        console.log(" hook_SSLsocket2")
        var ByteString = Java.use("com.android.okhttp.okio.ByteString");
        Java.use("com.android.org.conscrypt.NativeCrypto").SSL_write.implementation = function(long,NS,fd,NC,bytearray,int1,int2,int3){
            var result = this .SSL_write(long,NS,fd,NC,bytearray,int1,int2,int3);
            console.log("SSL_write(long,NS,fd,NC,bytearray,int1,int2,int3),result=>",long,NS,fd,NC,bytearray,int1,int2,int3,result)
            console.log(ByteString.of(bytearray).hex());
            return result;
        }
        Java.use("com.android.org.conscrypt.NativeCrypto").SSL_read.implementation = function(long,NS,fd,NC,bytearray,int1,int2,int3){
            var result = this .SSL_read(long,NS,fd,NC,bytearray,int1,int2,int3);
            console.log("SSL_read(long,NS,fd,NC,bytearray,int1,int2,int3),result=>",long,NS,fd,NC,bytearray,int1,int2,int3,result)
            console.log(ByteString.of(bytearray).hex());
            return result;
        }      
    })
}

function main(){
    console.log("Main")
   // hook_socket();
   hook_SSLsocketandroid8();
    //hook_SSLsocket2android10();
}
setImmediate(main)
Android抓包 - Hook 底层通信
dafan0的博客
05-25 574
平时开发使用的 http 或 https 均属于应用层的协议,其本质都会调用 TCP 发送请求。例如:你在 Python 中使用 requests 模块发送一个 http 请求,其底层就是使用 socket 模块 + TCP 实现发送的请求。相比 http ,在第二步多了一个请求的收发以同步随机字符串。
快手抓包通杀版
Codeooo 博客
11-01 8775
由于之前文章被删,分开重新发帖。
hook抓包的风控解决方案
2403_87731058的博客
10-18 1445
抓包应该是我们逆向的第一步,只有先抓到包,才能决定我们是否要进行脱壳、逆向。万一他没有加密、万一数据不是我们想要的那岂不是白忙活了。但是目前很APP都设置了门槛,比如新版的抖音、淘宝、天眼查等挂上代理就直接无数据或者就显示不出你想要的数据。还没有开始就直接结束了,让人懊恼不已。没办法只能上科技与狠活了。
Hook抓包
12-07
Hook抓包(记一次 Hook抓包.doc)
20.安卓逆向2-frida hook技术-HookOkHttp请求的响应
最新发布
计算机王的博客
06-20 1138
安卓逆向 安卓协议分析 app协议分析 保姆级攻略 app逆向 Android apk逆向 Frida
HookSocket_HOU网络抓包工具 V1.1d
10-25
HookSocket_HOU网络抓包工具 V1.1d
Android抓包工具:使用Hook框架和模块、HTTP Debugger Pro解决抓不到包的问题
旧人小表弟的博客 - 无业游民学习笔记
12-21 5763
Android辅助工具 Android Helper 下载地址:https://pan.baidu.com/s/15rAiQ9CH3JAT-gLjG7JBTQ 提取码:e0in APK查壳PKiD 下载地址:https://pan.baidu.com/s/15rAiQ9CH3JAT-gLjG7JBTQ 提取码:e0in 模拟器 Android4.4版本:支持Xposed87,安装快 Android5.1.1版本:动态调试稳定,修改apk以后无需重签名,也能装上去,支持覆盖安装,安装慢,不支持Xposed87
短视频ks(某手)高版本最新抓包方案,教你用hook大法绕过QUIC协议
m0_37802824的博客
08-20 9310
一般大多数网站、APP最常用的是http、https协议,而某两款最火的短视频dy(某音)、ks(某手)最新版使用的是quic协议(见附录1),导致fiddler和charles无法直接抓到包(某手7版本以下可以直接抓到包)。 而我给大家带来的最常用一种方案(亲测可行),主要思路是禁用或者绕过quic相关的so加载,迫使它走https协议。某手的相关so文件是libconnection**.so ,接下来看方案准备前的环节。
ios开发-使用mpass移动开发框架在ios端抓包hook脚本.zip
03-08
此外,对于抓包的输出,你可能需要一个日志管理工具,如Logcat(对于Android)或Console.app(对于iOS)。这些工具可以帮助你查看和分析抓包结果,包括请求头、请求体、响应状态码以及响应内容。 总之,"ios开发-...
详解应用层抓包通杀原理(frida hook)(一)
SXXYNHHXX的博客
11-27 1303
简介仅限安卓平台,测试安卓7、8、9、10、11、12、13、14 可用;无视所有证书校验或绑定,不用考虑任何证书的事情;通杀TCP/IP四层模型中的应用层中的全部协议;通杀协议包括:Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protobuf等等、以及它们的SSL版本;通杀所有应用层框架,包括HttpUrlConnection、okhttp1/3/4、Retrofit/Volley等等;无视加固,不管是整体壳还是二代壳或VMP,不用考虑加固的事情;
Android抓包 - 抓包工具总结
dafan0的博客
05-18 1622
不同的抓包工具有不同的效果,因此,需要根据场景去选择抓包工具,有效的拦截到协议。
记一次 Hook抓包
六桥风月IT随笔
12-08 2604
记一次 Hook抓包 网友说有个 APP 直接去抓包抓不着,于是我又可以水一篇。 问 用了 sslkiller 也没有报网络错误;   可见不是 SSL Pinning,猜测只是没走代{过}{滤}理。 日志中暴露了关键字;    可以用来快速定位。 望 下载,反编译,kkp 利用朋友提供的、日志中暴露的关键字定位到网络请求的位置,发现 cz.msebera.andr...
SocketHook:套接字挂钩是基于EasyHook的注入器,可将流量重定向到本地服务器
02-06
套筒钩 该应用程序允许用户将任何调用重定向到任何进程的Windows API ,以便将其连接重定向到配置的本地端口。 开始吧 该挂钩原本是由REST API控制的,因此,任何类型的应用程序都可以“插入”该挂钩并发送注入指令。 制作了一个使用.NET Core 3.1和通用托管API的WPF应用程序,以展示该体系结构的潜力,您可以查看代码或。 可以使用常规CLI参数或使用应用程序工作目录上的json配置文件(或同时使用两者)来启动API。 这是json配置文件的两个示例: { " InjectToExe " : " C: \\ Users \\ User \\ Desktop \\
OkHttpLogger-Frida:Frida实现拦截okhttp的脚本
03-19
OkHttpLogger-Frida Frida实现拦截okhttp的脚本 使用说明 ①首先将okhttpfind.dex拷贝到/data/local/tmp/目录下 执行命令启动frida -U -l okhttp_poker.js -f com.example.demo --no-pause可追加-o [output filepath]文件-o [output filepath]保存到文件 ②调用函数开始执行 find()要等完全启动并执行过网络请求后再进行调用 hold()要等完全启动再进行调用 history()&resend()只有可以重新发送的请求 功能: `find()` 检查是否使用了Okhttp & 是否可能被混淆 & 寻找okhttp3关键类及函数 `switchLoader(\
frida加密参数通杀hook代码(免脱壳)
云霄IT的博客
06-20 4247
【代码】frida加密参数通杀hook代码(免脱壳)
基于Frida实现OKHttp的抓包
Mrack
06-12 7540
前言 在进行逆向分析时候,抓包有很多种方式,今天带来了一种新方法对基于OKHttp实现的网络请求进行抓包,该方法有一定的局限性。 Frida Frida是一款轻量级的Hook框架,Java与Native层只需几行代码即可进行Hook,本文就是基于该Hook框架实现。官方网站:https://frida.re/docs/home/ 原理 熟悉Android开发的应该知道,okhttp中有一个重要的设计那就是拦截器。通过拦截器可以监测到所有关于连接的信息。本文就是在原有拦截器上添加自己的拦截器进行网络抓包 F
X书直接获取hook响应结果
Codeooo 博客
11-01 6438
可以直接将关键词搜索的,笔记, 用户等多个数据进行hook回传。
Frida 使用指导
fight4fun的博客
12-30 3564
1. Frida概况 frida 是一个 hook 框架 可以在不改动目标源码的情况下,动态查看函数运行入参,返回值,注入代码,更程序逻辑。 黑客可以用hook框架做逆向,分析和利用应用漏洞,进行非法操作。 开发者可以hook自己的应用进程,查看API接口入参,返回值。如果应用出现问题可以通过此方法打印信息,不需要额外增加日志,简单方便。 hook代码使用 js 脚本实现,借助 python ...
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 5202
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值