android ssl pinning bypass 다운로드 -Android android ssl pinning bypass 소스 코드 다운로드

android ssl pinning bypass

기타 카테고리

1.0.0

다운로드

Android-SSL-Pinning-Bypass

HTTPS 트래픽 검사를 위해 Android APK (또는 AAB, XAPK)를 준비하는 Python 스크립트 (이전 bash ).

부인 성명

이 스크립트는 "실버 총알"이 아니며 사용 후에도 여전히 Android의 HTTPS 트래픽을 캡처하거나 해독 할 수 없습니다. 팁 섹션에서 팁 #2를 배우십시오.
스크립트는 파이썬으로의 마이그레이션시 아직 완전히 테스트되지 않았습니다. 스크립트가 테스트되면이 지점이 제거됩니다.

특징

이 스크립트는 APK 파일을 재구성하고 사용자 자격 증명 스토리지를 신뢰할 수 있도록 Android> = 7에서 SSL 고정을 우회 할 수 있습니다. 처리 후 출력 APK 파일은 HTTPS 트래픽 검사를 준비합니다.

AAB 파일이 제공되면 스크립트가 범용 APK를 생성하여 처리합니다. XAPK 파일이 스크립트를 제공하지 않은 경우, 모든 APK 파일을 처리하고 처리합니다.

호환성

MacOS, Linux 및 Windows에서 작동합니다.

[테스트 필요] 창의 성능은 아마도 MacOS / Linux보다 몇 배 (~ 3.5)가 낮을 것입니다 ( apktool APK를 해독하는 데 시간이 더 걸립니다).

스크립트는 어떻게 작동합니까?

그것:

우선 필요한 모든 도구를 사용할 수 있는지 확인하고 그렇지 않은 경우 다운로드합니다 ( java 제외).
bundletool (AAB 파일이 제공 한 경우)을 통해 AAB 파일을 APK 파일로 디코딩하거나 Xapk 파일 (Xapk의 경우)을 삭제합니다.
apktool 사용하여 APK 파일을 디코딩합니다.
사용자 자격 증명 스토리지를 신뢰할 수 있도록 앱의 network_security_config.xml 패치 (또는 파일이 누락 된 경우 생성);
apktool 통해 새 APK 파일을 인코딩합니다.
uber-apk-signer 통해 패치 된 APK 파일에 서명합니다.

선택적으로 스크립트는 다음을 허용합니다.

출력 APK에 서명하려면 특정 키 저장소를 사용하십시오 (기본적으로 디버그 키 스토어가 사용됨).
adb 를 통해 패치 된 APK 파일을 장치에 직접 설치하십시오.
입력 APK 파일의 포장되지 않은 컨텐츠를 보존합니다.
패치 후 소스 파일 (APK / AAB / XAPK)을 제거합니다.
수동으로 작업을 수행 해야하는 경우 출력 APK 파일을 인코딩하기 전에 스크립트 실행을 일시 중지하십시오.

루트 액세스가 필요하지 않습니다.

요구 사항

아래 목록에서 도구를 설치하십시오.

파이썬> = 3.9
씨
Java> = 8
ADB- SDK 플랫폼 도구의 Android Studio (권장) 또는 독립형 패키지로 설치할 수 있습니다 (PATH 환경 변수에 adb 에 경로를 추가하는 것을 잊지 마십시오)

아래 도구는 누락 된 경우 스크립트로 다운로드됩니다.

Bundletool
apktool
Uber-Apk-Signer

용법

전제 조건 :

저장소를 복제하십시오
필요한 Python 모듈을 설치하려면 명령 pip3 install -r requirements.txt 실행

스크립트를 시작할 수 있습니다

 python3 /path/to/the/script/apk-rebuild.py

python3 apk-rebuild.py -h (또는 python3 apk-rebuild.py --help )를 실행하여 사용 설명서를 인쇄하십시오.

 usage: apk-rebuild.py [-h] [-v] [-i] [--pause] [-p] [-r] [-o OUTPUT] [--no-src] [--only-main-classes] [--ks KS]
                      [--ks-pass KS_PASS] [--ks-alias KS_ALIAS] [--ks-alias-pass KS_ALIAS_PASS]
                      file

The script allows to bypass SSL pinning on Android >= 7 via rebuilding the APK file 
and making the user credential storage trusted. After processing the output APK file 
is ready for HTTPS traffic inspection.

positional arguments:
  file                  path to .apk, .aab or .xapk file for rebuilding

options:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -i, --install         install the rebuilded .apk file(s) via adb
  --pause               pause the script execution before the building the output .apk
  -p, --preserve        preserve the unpacked content of the .apk file(s)
  -r, --remove          remove the source file (.apk, .aab or .xapk) after the rebuilding
  -o OUTPUT, --output OUTPUT
                        output .apk file name or output directory path (for .xapk source file)
  --no-src              use --no-src option when decompiling via apktool
  --only-main-classes   use --only-main-classes option when decompiling via apktool
  --ks KS               use custom .keystore file for .aab decoding and .apk signing
  --ks-pass KS_PASS     password of the custom keystore
  --ks-alias KS_ALIAS   key (alias) in the custom keystore
  --ks-alias-pass KS_ALIAS_PASS
                        password for key (alias) in the custom keystore

APK 파일을 다시 작성하려면 인수가있는 스크립트를 사용하십시오. 예제는 다음과 같습니다.

AAB 파일을 패치하고 포장되지 않은 APK 파일 콘텐츠를 삭제하지 마십시오.
```
 python3 apk-rebuild.py input.aab --preserve
```
APK 파일 패치, 패치 후 소스 APK 파일을 제거하고 Android-Device에 패치 된 APK 파일을 설치하십시오.
```
 python3 apk-rebuild.py input.apk -r -i
```

소스 파일의 경로는 첫 번째 인수로 지정되어야합니다.

팁

개발 빌드에서 HTTPS 트래픽을 쉽게 캡처하려면 개발자에게 the network_security_config.xml 에 <debug-overrides> android:networkSecurityConfig AndroidManifest.xml > 요소를 application 에 추가하도록 요청할 수 있습니다. https://developer.android.com/training/articles/security-config#debug-overrides.
https://blog.nviso.eu/2020/11/19/proxying-10-app-traffic-common-issues-checklist/에 대해 알아보십시오. Android의 트래픽 캡처에 대한 유용한 정보가 많이 있습니다.