当你需求逆向分析一个网络协议的时分,或许进行一些关于网络安全方面的行为的时分,你就需求去搜集网络中传输的流量数据,通过搜集网络中的传输数据信息,你可以去了解网络协议是怎样作业的,或许还能发现网络中传输的灵敏信息。
假如网络协议传输的是明文信息,那很好办,直接用tcpdump 或许wireshark等相似的抓包软件就可以获取网络协议传输的信息内容,但是现在越来越多的协议运用了加密机制,比方HTTPS协议,这时分就需求MITM(中间人侵犯)进行阻拦加密协议。
本篇文章我会向我们介绍如安在 OSX上监控一个app的HTTPS流量以及实验中遇到的问题。
0x01 正文
阻拦HTTPS流量的底子过程
1)生成一个根证书
2)装置这个根证书
3)用proxychains 去署理指定的app
4)运用mitmproxy 去阻拦流量
一些需求装置的软件
1、 装置并配备proxychains
1 brew install proxychains-ng
创立一个名为 proxychains.conf 的文件,然后参加以下内容:
1 2 3 4 5 6 7 8 strict_chain quiet_mode proxy_dns remote_dns_subnet 224 tcp_read_time_out 15000 tcp_connect_time_out 8000 [ProxyList] http 127.0
.0.1 8080
http 127.0.0.1 8080 这行最重要,它的意思是说重定向app全部的流量到127.0.0.1:8080 (mitmproxy默许监控端口就是8080),然后我们就可以用mitmproxy在127.0.0.1:8080 监控全部的流量了。
2、运用pip装置并配备mitmproxy
1 2 pip install --upgrade pip pip install mitmproxy
这两行指令就可以装置好mitmproxy
实行以下指令工作mitmproxy
1 ./mitmproxy --host
接下来就是给系统装置根证书,默许情况下mitmproxy会主动生成一个根证书(mitm-ca-cert.pem),这个根证书坐落~/.mitmproxy下面。
首要实行
1 open ~/.mitmproxy
然后,按下组合键 Command + Space ,然后输入Keychain Access, 回车
然后找到mitmproxy根证书,双击 ,或许将mitmproxy根证书拖拽到Keychain Access 窗口中上述实行OK,之后,你将会看到下图闪现内容
假如你满足仔细的话,你会发现删去装置好的mitmproxy 根证书前面有个 红叉 ,这表明系统并不信赖这个根证书, 为了让系统信赖这个根证书,你需求这样做:右键单击mitmproxy根证书,然后选择"Get Info"(假如你是英文界面的话),打开 "Trust"将: When using this certificate 修正为 Always Trust修正后的内容如下:
接下来, 你还需求实行以下指令,这样系统才华彻底信赖这个根证书
1 sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/.mitmproxy/mitmproxy-ca-cert.pem
OK,最终的mitmproxy证书信息界面如下:
看到了吧,mitmproxy 根证书前面的 红叉 提示不见了,阐明系统彻底信赖了这个根证书
3、开始运用mitmproxy
其实github上mitmproxy的手册写的非常好,很具体,这儿我就不过多解说了
现在我们现已做好了
1)配备proxychains 将app的http流量指向了127.0.0.1:8080
2)装置好了mitmproxy的根证书
3)mitmproxy工作OK
现在需求做的就是检验是否作业的OK
在另一个终端窗口实行:
1 proxychains4 -f proxychains.conf curl https://calebfenton.github.io/
现在切换到mitmproxy的工作窗口调查是否有流量被捕获到, 成果非常令人绝望, 居然没有捕获到任何流量,为毛?因为系统app 底子没鸟你,我查了一下proxychains 在github上的问题反应列表,找到了原因 (和SIP有关): https://github.com/rofl0r/proxychains-ng/issues/78 你可以这样处理这个问题:
1 2 cp `which curl` . proxychains4 -f proxychains.conf ./curl https://calebfenton.github.i key = "rule"+str(index)o/
或许你可以先装置一个wget,然后将curl替换为wget
1 2 brew install wget proxychains4 -f proxychains.conf ./wget https://calebfenton.github.io/
注: wget不是系统app
一旦你调查到mitmproxy捕获到了通讯数据,mitmproxy现在作业是正常的, 阐明方才新装置到系统的mitmproxy的根证书被系统信赖了, proxychains 也正确地Hook了网络通讯数据,看起来都很OK,或许许多人都很满足现在的全部了。
但是当我试图用proxychains Hook python 代码所发生的的网络数据的时分, 问题呈现了。
python 代码如下(保存为文件req.py):
1 2 3 import requests r = requests.get('https://calebfenton.github.io/') print(r)
非常简略的一段代码(条件是你要装置了requests库),和上面curl起到的效果相似,但是实行proxychains4 python req.py 的时分呈现了过错:
看到过错信息,我如同知道了问题的原因了,网络数据被Hook给了mitmproxy,mitmproxy给的证书requests底子不信赖啊,因为python 代码底子不知道mitmproxy的根证书在哪儿啊,所以我们只需修正python代码,在get恳求中指定mitmproxy的根证书途径即可
1 2 3 import requests r = requests.get('https://calebfenton.github.io/', verify='/Users/caleb/.mitmproxy/mitmproxy-ca-cert.pem') print(r)
运用verify参数指定mitmproxy根证书地点的途径
修正之后全部就Ok了,因为你告知了requests去信赖mitmproxy的证书。其实还有一个问题,假如你不能修正源代码,或许你用了不是requests库的其他模块呢?有个处理方法,关于requests库,假如你不能修正源码,设置一个环境变量REQUES{ TS_CA_BUNDLE指向/Users/caleb/.mitmproxy/mitmproxy-ca-cert.cer(mitmproxy根证书途径),然后在实行proxychains4
1 REQUESTS_CA_BUNDLE=/Users/caleb/.mitmproxy/mitmproxy-ca-cert.cer proxychains4 python req.py
举例栗子,以修正前的req.py为例(就是不加verify参数那个版别)
假如是其他非requests库, 可以试着设置一个环境变量 SSL_CERT_FILE 指向/Users/caleb/.mitmproxy/mitmproxy-ca-cert.cer (mitmproxy根证书途径)
0x02. 总结
本篇文章介绍一些我在mitm https 通讯实验中遇到的一些小问题,我运用proxychains,是因为我不想用iptables将全部的http流量都重定向到一个监听端口,我只想重定向一个app的流量到指定监听端口。 最终,希望你的实验也能顺利完成。
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://calebfenton.github.io/2017/05/27/monitoring-https-of-a-single-app-on-osx/
在线黑客:【技能共享】如安在macOS上监控一个APP的HTTPS流量
现在
可以扫描出准确的主机存活信息了。} EXCEPTION_RECORD;绕过原理:在x86架构中,开发者在检查和调试代码时会用到一些调试寄存器。这些寄存器可以让我们间断程序实行流,在读写内存时将控制权交给调试器。调试寄存器归于特权资源,程序只需在实方法(real mode)或许安全方法(safe mode)下且特权级CPL=0时才华运用这些寄存器。调试寄存器一共有8个,分别为DR0–DR7:【技术分享】如何在macOS上监控一个APP的HTTPS流量
在线黑客2. 不进行网络通讯1、 是否加固过,稠浊过未加固、未稠浊
通过进程DNS请求,mac地址,流量发送方法可以检测到loT配备privilege::debug因为我们需求让我们的无线Internet与有线网络处于抗衡网络中,我们选择运用bridge-utils器材在这二者之间建立一个桥梁。ls在线黑客
在发起CMAK后,会呈现下面的导游。下面的截图是我选择的选项:iv. 通过汇编指令判别是否是x32_abi(暂时可以忽略这个内容)。预读取其实这款后门也比较好发现,首要正常的sshd 文件是ELF格式,而后门是纯文本脚本,运用file 指令就可以发现
单击工作后发生回调,Empire在受害者机器上发起一个新署理:老话说需求是发明之母,NodeZero Linux 就是这句话的最好比如。这个开发团队是由渗透检验人员和开发人员构成的,他们发现“即用live”系统并不能实在满足他们在安全审计方面的所需。渗透检验发行版一般都是以 Linux “即用”系统方法供应的,这意味着他们并不能对系统做一些永久性的改动。从光盘或 USB 棒中发起工作后,在重启后全部的改动就都丢掉了。这关于偶尔的检验或许很有用,但是关于经常性的检验就没什么用了,并不适宜需求许多检验的环境。
csaw_read(char *page, char **start, off_t off, int count, int *eof, void *data)【技术分享】如何在macOS上监控一个APP的HTTPS流量
在线黑客上周日,一些顾客选择在新伯尔尼麦当劳“得来速”(Drive-Thru)服务点餐,下单后收到意乖僻
的消息。# The path to the denial policy from the GitHub repoex.SMS.create模块的无缺代码:$DenialPolicyFilePath = 'BypassDenyPolicy.xml'
4、日志安全配备C:\Windows\Panther\Unattended.xmlUseLogonCredential REG_DWORD 0x0在线黑客
擦除磁盘数据操作过程内部挟制差异于外部挟制,侵犯者来自于内部用户,因此检测更加困难,危害性却更大。跟着企业信息安全机制的建立建全,单纯想从外部Hack进入政策系统的侵犯门槛不断提高;内部挟制逐渐增多,并且初步在各大安全陈说中崭露头角,引起了国外研讨者的高度重视。怅惘的是,国内此类工作曝光率极低,研讨重视不可,因此短少行之有效的防范方法。【技术分享】如何在macOS上监控一个APP的HTTPS流量
SSHBearDoor是一种SSH Service后门,BlackEnergy家族运用这个后门侵犯新闻媒体和电气动力职业。
云智慧对业界干流的开源运维监控系统和商业运维监控系统进行对比,分析各种产品的定位、政策用户和功用特征,希望帮助宽广运维、开发和创业者找到最适宜自己的运维东西。
首要,DeathFuzzer是个非常简略的小程序!一共就4个参数,你填完4个参数剩下的就是等着看了。直接不加参数工作就会闪现usage。表格2中的指令常常被用来搜索秘要信息和搜索同网络傍边的其他主机
本文标题:在线黑客:【技能共享】如安在macOS上监控一个APP的HTTPS流量
本文链接:http://www.jxlawfirm.com.cn/xinwen/6092.html 转载需授权!