By:刺刀 发表于 2018-11-23 01:11

HOOK send 并解密WebSocket 协议

本帖最后由 By:刺刀 于 2018-11-27 14:51 编辑


# 正在封装客户端. 使其能与Chrome浏览器进行通信 (11/24)

## 参考地址
(https://blog.csdn.net/SilenceNet/article/details/79662124)
(https://segmentfault.com/a/1190000013298527)

## 分析过程
首先对send 下断点 回到调用函数
[!(https://i.loli.net/2018/11/23/5bf79acacaeab.png)](https://i.loli.net/2018/11/23/5bf79acacaeab.png)
在这里他首先会发送握手包
[![握手包.png](https://i.loli.net/2018/11/23/5bf79ba2b6880.png)](https://i.loli.net/2018/11/23/5bf79ba2b6880.png)
由于我并没有Hook recv 所以不能接受到服务端返回数据. 用了比较笨的办法:
Sec-WebSocket-Key 的固定长度为 24
我先判断了 是否发送了 长为24字节的数据包....
我这里他是分别发送的 整个握手包不是一次发送完.
我不知道你们那里是什么情况
发送握手包的时候 是明文
[!(https://i.loli.net/2018/11/23/5bf79ccda61ba.png)](https://i.loli.net/2018/11/23/5bf79ccda61ba.png)
犹豫我这里Sec-WebSocket-Key 是最后发送. 所以我就简单的判断了一下.
> PS: 头顺序无所谓.一旦客户端和服务器都发送了握手信号,如果握手成功,数据传输部分启动。这是双方沟通的渠道,独立于另一方,可随意发送数据。

你们可以依靠服务器返回数据来进行判断 握手是否完成. 嘛 我的先就这样了. 回头再修改.

数据传输格式:
[![传输数据格式.png](https://i.loli.net/2018/11/23/5bf79e4662e08.png)](https://i.loli.net/2018/11/23/5bf79e4662e08.png)

> 分析协议的时候 这里出现了一个小问题: 目前也不知道是什么问题
> 按照协议 他会传输一个2字节的head头
> 在Wireshark中. 能看见 Hook Send的时候并不能看见
> 所以没办法判断数据是否已经传输完毕.

我只能按照Send的发送数据对比Wireshark中的未解密数据
过滤掉握手包后.
第一次调用Send的时候 buf里面的值 为 4字节的 masking-key 解密时候需要使用.
随后调用Send发送密文

### 解密代码
```

void Decrypt(LPCSTR buf, int len) {

      if (len == 24) {
                status = true;
      }

      if (status) {
                std::string s;
                if (len == 4) {
                        strncpy((char *)g_dec, buf, 4);
                        status1 = true;
                }
                else {
                        if (status1) {
                              for (int i = 0; i < len; i++) {
                                        s += buf ^ g_dec;
                              }
                              FILE *fp = fopen("dec.txt", "a");
                              fprintf(fp, "%s\n", s.c_str());
                              fclose(fp);
                              status1 = false;
                        }
                }
      }
}

```

### 加密原理
[![加密原理.png](https://i.loli.net/2018/11/23/5bf7a1867f6b8.png)](https://i.loli.net/2018/11/23/5bf7a1867f6b8.png)
## 源代码
> 代码已经上传到 github: https://github.com/hackbayonet/WebSocket



最终效果图

By:刺刀 发表于 2018-11-23 12:41

kalafinaglll 发表于 2018-11-23 02:45
大概看懂一个意思。。请问楼主能不能分享一下用途的思路,我大多数情况遇到的websocket都不能让我hook并且 ...

我主要是对一个封装好的Google 浏览器的 Dev tools 框架进行分析 接触到的 websocket 他的dll我感觉有点东西 不是很敢使用 所以准备自己重新封装一份


客户端发送websocket 必须是加密的 server返回数据 可选加密

kalafinaglll 发表于 2018-11-23 02:45

大概看懂一个意思。。请问楼主能不能分享一下用途的思路,我大多数情况遇到的websocket都不能让我hook并且看不到明文,要么就是在应用层最后解密了,也能看到明文。谢谢!

闹巷里的树语 发表于 2018-11-23 01:55

谢谢分享。。。。。。。。。。。。。

GJH588 发表于 2018-11-23 08:24

看不懂,先收藏,以后在学习

jiejie1405 发表于 2018-11-23 09:47

有协议分析过程么

edata 发表于 2018-11-23 11:46

感谢分享,学习了。。

By:刺刀 发表于 2018-11-23 12:36

jiejie1405 发表于 2018-11-23 09:47
有协议分析过程么

有的 晚点我会更新的

jackie1 发表于 2018-11-23 16:23

谢谢分享,楼主说的Dev Tools有点东西是指什么

By:刺刀 发表于 2018-11-23 16:30

jackie1 发表于 2018-11-23 16:23
谢谢分享,楼主说的Dev Tools有点东西是指什么

是别人封装好的DLL
Google浏览器只是自己提供了API接口而已
页: [1] 2
查看完整版本: HOOK send 并解密WebSocket 协议


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn