MacOS绕过SSL Pining问题

NOTE

本文主要内容

主要是用 Frida 来绕过 MacOS 上的 SSL Pining 问题，方便调试一些应用。主要是做一个备忘录，方便以后查阅，并不涉及非常深入的用法。

最近在尝试逆向部分AI平台时，有些平台只提供了客户端版本，没有网页版本，就导致调试起来比较麻烦。然后发现有些应用启用了 SSL Pining，导致 ProxyMan 抓包时会报错 SSL Pinning Failed。

Electron 应用绕过 SSL Pining#

首先需要先判断应用是否基于 Electron，可以通过查看应用包内是否有 Electron Framework 来判断。可以通过 ls /Applications/xxx.app/Contents/Frameworks来判断，出现 Electron Framework.framework 就说明是 Electron 应用。
先使用最简单的办法，直接二进制方式启动程序，然后添加 /Applications/xxx.app/Contents/MacOS/xxx --ignore-certificate-errors 参数，忽略证书错误。
- 此方法针对的主要是 Electron 主进程绕过 SSL Pining 问题，渲染进程或者其他子进程此方法无效。

如果你发现是 Electron 的其他进程存在 SSL Pining 问题，可以使用 inspect 邪修办法尝试解决（不一定有效）。

修改启动参数为：/Applications/xxx.app/Contents/MacOS/xxx --inspect --ignore-certificate-errors
Chrome 访问 chrome://inspect，此时应该会出现一个设备，如下图，点击 inspect 即可：
CleanShot 2026-01-20 at 17.40.26@2x
出现DevTools后，打开 Console，然后输入以下代码：

1
const tls = require('tls')
2
const https = require('https')
3

4
// 保存原始函数
5
const originalConnect = tls.connect
6
const originalRequest = https.request
7
const originalGet = https.get
8

9
// Hook tls.connect
10
tls.connect = function(...args) {
11
  let options = args[0]
12

13
  if (typeof options === 'object') {
14
    options.rejectUnauthorized = false
15
    options.checkServerIdentity = () => undefined
16
  }
17

18
  console.log('🔓 TLS connect intercepted:', options?.host || options?.servername)
19
  return originalConnect.apply(this, args)
20
}
21

22
// Hook https.request
23
https.request = function(url, options, callback) {
24
  if (typeof url === 'string') {
25
    if (typeof options === 'object') {
26
      options.rejectUnauthorized = false
27
    } else {
28
      options = { rejectUnauthorized: false }
29
    }
30
  } else if (typeof url === 'object') {
31
    url.rejectUnauthorized = false
32
  }
33

34
  console.log('🔓 HTTPS request intercepted')
35
  return originalRequest.apply(this, arguments)
36
}
37

38
// Hook https.get
39
https.get = function(url, options, callback) {
40
  if (typeof url === 'string') {
41
    if (typeof options === 'object') {
42
      options.rejectUnauthorized = false
43
    } else {
44
      options = { rejectUnauthorized: false }
45
    }
46
  } else if (typeof url === 'object') {
47
    url.rejectUnauthorized = false
48
  }
49

50
  console.log('🔓 HTTPS get intercepted')
51
  return originalGet.apply(this, arguments)
52
}
53

54
console.log('✅ All TLS/HTTPS hooks installed - SSL verification disabled')

运行完成后，此时应该就可以绕过 SSL Pining 了，ProxyMan 应该会显示明文了。如果还是不行，那么只能使用 Frida 来进行动态注入了。

使用 Frida 绕过 SSL Pining#

安装 Frida：
Terminal window
```
1
pip install frida-tools
```
编写 Frida 脚本 ssl_kill.js，内容如下：
1 Process.enumerateModules() 2 .filter(m => m.name.toLowerCase().includes("ssl")) 3 .forEach(m => console.log("ssl module:", m.name, m.base)); 4 5 function findSymbol(name) { 6 // 先全局搜（如果你的 Frida 支持的话） 7 if (Module.findExportByName && typeof Module.findExportByName === "function") { 8 const p = Module.findExportByName(null, name); 9 if (p) return p; 10 } 11 12 // 再在可能的 libssl 名字里搜（macOS 上名字经常不是 libssl.dylib） 13 const candidates = ["libssl.dylib", "libssl.1.1.dylib", "libssl.3.dylib"]; 14 for (const m of candidates) { 15 const mod = Process.findModuleByName(m); 16 if (!mod) continue; 17 const p = mod.findExportByName(name); 18 if (p) return p; 19 } 20 return null; 21 } 22 23 var SSL_get_verify_result = findSymbol("SSL_get_verify_result"); 24 var SSL_set_verify = findSymbol("SSL_set_verify"); 25 var SSL_CTX_set_verify = findSymbol("SSL_CTX_set_verify"); 26 27 console.log(">>> 开始注入 SSL Bypass..."); 28 29 // 1. Hook SSL_get_verify_result 30 // 这个函数通常在握手完成后被调用，返回值 0 表示验证成功 (X509_V_OK) 31 if (SSL_get_verify_result) { 32 Interceptor.attach(SSL_get_verify_result, { 33 onLeave: function(retval) { 34 // 无论原来验证结果如何，强行篡改为 0 (成功) 35 retval.replace(ptr(0)); 36 } 37 }); 38 console.log("[+] Hooked SSL_get_verify_result (强制返回验证成功)"); 39 } else { 40 console.log("[-] 未找到 SSL_get_verify_result (可能被剥离或改名)"); 41 } 42 43 // 2. Hook SSL_set_verify 44 // 这个函数用来设置验证模式。我们将模式强制设为 0 (SSL_VERIFY_NONE) 45 if (SSL_set_verify) { 46 Interceptor.attach(SSL_set_verify, { 47 onEnter: function(args) { 48 // args[1] 是 mode 参数，强制设为 0 49 args[1] = ptr(0); 50 } 51 }); 52 console.log("[+] Hooked SSL_set_verify (强制禁用验证模式)"); 53 } else { 54 console.log("[-] 未找到 SSL_set_verify"); 55 } 56 57 // 3. Hook SSL_CTX_set_verify 58 // 上下文级别的设置，同样强制设为 0 59 if (SSL_CTX_set_verify) { 60 Interceptor.attach(SSL_CTX_set_verify, { 61 onEnter: function(args) { 62 // args[1] 是 mode 参数 63 args[1] = ptr(0); 64 } 65 }); 66 console.log("[+] Hooked SSL_CTX_set_verify (强制禁用上下文验证)"); 67 } else { 68 console.log("[-] 未找到 SSL_CTX_set_verify"); 69 } 70 71 console.log(">>> 注入完成，请检查 Proxyman 是否出现明文数据。");

使用 Frida 注入脚本：

1
sudo frida -n "应用进程名" -l ssl_kill.js

在没关闭 SIP 的情况下，大概率会注入失败，报错 Failed to attach: unable to access process with pid 5131 from the current user account，这种情况可以重新签名二进制文件来绕过限制

先找到应用的二进制文件路径，比如 /Applications/xxx.app/Contents/Resources/bin/xxx

然后执行以下命令重新签名：

1
# 进入应用目录
2
cd /Applications/xxx.app/Contents/Resources/xxx/xxx
3
# 删除原有签名
4
sudo xattr -cr xxx
5
# 创建一个plist文件，内容如下
6
echo '<?xml version="1.0" encoding="UTF-8"?>
7
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
8
<plist version="1.0">
9
<dict>
10
    <key>com.apple.security.get-task-allow</key>
11
    <true/>
12
</dict>
13
</plist>' > debug.plist
14

15
# 重新签名
16
codesign -f -s - --entitlements debug.plist /Applications/xxx.app/Contents/Resources/bin/xxx/xxx
17
codesign -d --entitlements - /Applications/xxx.app/Contents/Resources/bin/xxx/xxx

最后执行 sudo frida -l ssl_kill.js -n "应用进程名" 重新注入脚本。

MacOS绕过SSL Pining问题

Electron 应用绕过 SSL Pining#

使用 Frida 绕过 SSL Pining#

文章分享

评论区

目录