iOS https(SSL/TLS)数据捕获

要捕获iPhone上的appstore的数据还真的没那么容易，之前介绍的那些使用代理手工导入证书的方法已经彻底失效了，结果就是安装证书以后再打开appstore也没法正常的创建链接。按照个人分析实际上是appstore在检测证书无效以后直接就没有发起任何的请求（能够经过wireshark抓包查看网络数据）
随之而来的是第二种方法，patch ssl证书校验函数，根据这个原理实现的有两个工具，一个是ssl kill switch，另一个是trustme。原理都是同样的，而且也很是的简单，按照做者的说法是truestme实现的更底层一些。可是很不幸的是，结局是一样的悲哀的，在iOS6以后这个东西也是失效了。
其实我这里要说的方法也比较简单，若是阅读过上面两个工具的源代码（请自行搜索相关代码），而且理解mac os/iOS 下https实现的相关原理，那么也就天然的想到hook发送和接收函数的方法来捕获数据了。
须要关心的函数只有两个sslread和sslwrite：
代码:

SSLRead
Performs a normal application-level read operation.

 OSStatus SSLRead (
   SSLContextRef context,
   void *data,
   size_t dataLength,
   size_t *processed
);
Parameters
context
An SSL session context reference.
data
On return, points to the data read. You must allocate this buffer before calling the function. The size of this buffer must be equal to or greater than the value in the dataLength parameter.
dataLength
The amount of data you would like to read.
processed
On return, points to the number of bytes actually read.

而须要关心的字段则就是那个data了，于是要想知道https数据的内容只要可以正常的获取到data字段的内容就好了，一样对于发送函数sslwrite也一样适用：
代码:

SSLWrite
Performs a normal application-level write operation.

OSStatus SSLWrite (
   SSLContextRef context,
   const void *data,
   size_t dataLength,
   size_t *processed
);
Parameters
context
An SSL session context reference.
data
A pointer to the buffer of data to write.
dataLength
The amount, in bytes, of data to write.
processed
On return, the length, in bytes, of the data actually written.


已经找到了要处理的api，那么剩下的就比较简单了，直接用越狱开发环境theos来建立一个tweak插件而后写入要实现的代码编译就好了。要实现hook仅须要以下的两行代码便可：
代码:

MSHookFunction((void *)SSLWrite, (void *)_hook_SSLWrite, (void **)&_real_SSLWrite);
  MSHookFunction((void *)SSLRead, (void *)_hook_SSLRead, (void **)&_real_SSLRead);

这个能够参考ssl kill switch 的相关代码（其他的代码请自行实现）。剩下的就是编译和安装了。
若是不会写这个东西能够下载我已经编译好的一个deb，在ssh或者设备上的终端输入：
代码:

wget http://code.h4ck.org.cn/ios-ssl-tls-hook/src/f54821c790451d9d25f8ed78cb80179166d47e2f/com.mars.sslohook_0.1-45_iphoneos-arm.deb?at=master

dpkg -i com.mars.sslohook_0.1-45_iphoneos-arm.deb

进行下载和安装。
若是要禁用这个插件请直接卸载便可，执行下面的命令：
代码:

dpkg -r com.mars.sslohook

依赖环境，若是要安装这个插件须要下面的两个东西：
MobileSubstrate (Should come with jailbroken devices)
dpkg (Install from Cydia)
若是木有的话，那就不要尝试了，设备木有越狱也不要尝试了（测试环境为iPod touch 和iPhone5 固件版本6.1.2）
若是没有安装dpkg能够经过cydia的自动安装来进行，用同步软件将deb放入相关的目录下安装便可。
安装以后执行killall -HUP SpringBoard来加载插件。
若是须要修改要hook的应用请编辑Library/MobileSubstrate/DynamicLibraries目录下的mars.plist

在mars.plist中添加要hook的应用便可。

捕获的数据大部分为明文,日志文件保存在/tmp/com.mars.sslhooklog.text，固然因为https一样支持gzip压缩因此有一部分数据是gzip压缩的内容，因为受到的数据可能会存在分片的问题，因此没有实现解压gzip的相关代码，这个能够根据上下文中的相关信息或者收到的数据长度对捕获到的十六进制数据进行转存和解压。
明文数据：

压缩数据：

至于怎么转存，那就各显神通吧，我也木有虾米好办法，数据分片好蛋疼的说。

固然啦，若是你有更好的工具或者实现方法欢迎分享