某短视频33.x.0过boringssl检测抓包方案

西二旗搬砖仔

先说boringssl，这个东西就是是 Google 为 Android 等项目定制的轻量级、精简版的 OpenSSL，用于实现加密通信和安全协议。SSL_CTX_set_custom_verify 是 BoringSSL 中用于设置自定义证书验证逻辑的函数。它的函数原型大致如下：
void SSL_CTX_set_custom_verify(SSL_CTX *ctx, int mode,                               ssl_custom_verify_callback callback);
参数解释：

• ctx：要设置的 SSL 上下文（SSL_CTX）。
• mode：验证模式（比如 SSL_VERIFY_PEER）。
• callback：你自己实现的回调函数，用于处理证书验证逻辑。
  

之前2022年、2023年、2024年的版本
callback函数是编译在libboringssl.so和libsscronet.so库中的，而且验证函数非常好找，用IDA查看SSL_CTX_set_custom_verify函数的用例或者在IDA中搜索字符串“ VerifyCert”或者"HandlerVerifyResult"就可以定位callback函数，如下所示



现在，他学聪明了！！！他编译把这几个字符串隐藏了，可能是重写过相关函数。那怎么办？
其实很简单，他SSL_CTX_set_custom_verify函数没混淆，SSL_CTX_set_custom_verify() 通常在初始化 TLS/SSL 上下文时调用，也就是说：在你创建完 SSL_CTX，还没创建 SSL 对象前调用。
明白这个原理我们就可以通过hook SSL_CTX_set_custom_verify函数获取他的验证函数，因为SSL_CTX_set_custom_verify执行是app初始化的时候执行，所以我们需要先拦截dlopen在libttboringssl.so刚加载的时候就去hook SSL_CTX_set_custom_verify 这样比较保险

执行./spawn find_boringssl_custom_verify_func.js使用spawn方式启动运行脚本 hook效果，这里我们发现有两个callback函数被hook到了


最后我们可以用frida实现replace callback函数强行验证通过




最后执行./attach hook_verify_ok.js 打开socksdroid配置charles抓包，我们可以看到很验证函数本来返回1验证失败被我们强制替换成了0让app验证成功



抓包效果


hook_verify_ok.js实现就不给大家了，因为大家的版本不同也不适用，find_boringssl_custom_verify_func.js可以给大家，这个相对通用
https://github.com/CreditTone/hooker?tab=readme-ov-file#19-find_boringssl_custom_verify_funcjs

airwenlee

借这个帖子问个问题：为什么有些视频最高分辨率1080P，但是网页最高才720P，而且试过所有下载解析软件也是最高720P，我试过2个账号都是最高720P
例如这个https://www.douyin.com/video/7407791273555299635

anwen

这个好像是云控的？我之前用同一版本几个月前能用，现在一样的版本却不能抓包了....

这就去试试效果，最近正好在琢磨怎么搞一下

感谢大佬 研究研究怎么使用.. 是一场恶仗嗷（菜鸡想用哈哈）

ydl567

不错的软件

西二旗搬砖仔

ydl567 发表于 2025-4-12 17:21
不错的软件

感谢支持

西二旗搬砖仔

find_boringssl_custom_verify_func.js 地址：
https://github.com/CreditTone/hooker/blob/master/js/find_boringssl_custom_verify_func.js

winw2

思路很不错

cf19870410

听君一席话

gwgdaemon

很不错，收藏一下

mw26973

感谢，大佬分享！好人一生平安

jk998

不觉明历，谢谢楼主分享