Расшифровка TCP пакетов

Discussion in 'Этичный хакинг или пентестинг' started by Matrix3007, 2 Feb 2020.

  1. Matrix3007

    Matrix3007 New Member

    Joined:
    3 Aug 2019
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    В общем, имеется ссылка на какую-то страницу какого-то сайта. Чтоб получить нормальный ответ, нужно открыть ссылку с их же приложения-клиента (на андроиде), иначе можно получить только предупреждение о том, что ссылка только для мобилок. Задача: посмотреть, как формируется запрос и подделать его. С самого приложения пакеты отправляются на 443 порт, только вот это TCP. На счет андроида я не заморачивался и сэмулировал его с помощью BlueStacks. Пакеты ловил с Wireshark. Приложение вроде как получает нормальный ответ, но в пакетах он нечитаем. То есть, всё, что я вижу, выглядит примерно так:

    ...G.9...p.a.C.U7448...Ky+..y:~._...,sW.......S.....b...9.Z...w4...\.E.?...\.a)...

    ...............................h2.http/1.1.......

    Понимаю, что шифрование, но делать с этим что-то надо. Есть какие-нибудь варианты?
     
  2. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,417
    Likes Received:
    815
    Reputations:
    848
    Я подобное перехватывал с помощь бурпа, на телефоне/эмуляторе устанавливаем прокси на комп где запущен бурп, далее импортируем сертификат бурпа, и начинаем юзать приложуху
     
    _________________________
  3. Matrix3007

    Matrix3007 New Member

    Joined:
    3 Aug 2019
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Тоже мысль промелькала, но ведь он tcp не перехватывает, только http. Возможно, я чего-то не понимаю)
     
  4. Matrix3007

    Matrix3007 New Member

    Joined:
    3 Aug 2019
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Там получается так: если приходит http, серв отправляет предупреждение, а нормальный ответ даёт только на сформированный клиентом tcp запрос, который я не то что подделать - прочитать не могу.
     
  5. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,417
    Likes Received:
    815
    Reputations:
    848
    Все норм он будет перехватывать, если правильно сделаете.
     
    _________________________
  6. Matrix3007

    Matrix3007 New Member

    Joined:
    3 Aug 2019
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    И всё-таки, Burp Suite прокси работает по протоколу http. Да и я уже пробовал его юзать, только немного по-другому. Я весь трафик с компа отправлял на 127.0.0.1:8080 (прокси бурпа) и потом уже просматривал содержимое ссылки с приложения. Ответ получал, а в бурпе ничего не было.
     
  7. molemime

    molemime Member

    Joined:
    6 Dec 2017
    Messages:
    54
    Likes Received:
    17
    Reputations:
    0
    http это сетевой протокол, работающий на стеке протокола tcp/ip только уровень другой по модели osi
     
  8. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    25
    Likes Received:
    12
    Reputations:
    3
    Запишите трафик wireshark-ом, например
     
  9. Hohol99

    Hohol99 Member

    Joined:
    7 Apr 2020
    Messages:
    15
    Likes Received:
    6
    Reputations:
    0
    Неверно, к сожалению. HTTP/HTTPS - протколы прикладного уровня, а TCP - транспортного, представьте матрешку, в итоге мы имеем следующее - прикладной уровень разделили на порции и отправили внутри транспортного, см. модель OSI.

    В этом и суть зашифрованного трафика, что расшифровать его может только владелец приватного ключа (сервер), в клиентском приложении его нет.
    Решение выглядит вот так: распаковать приложение, заменить его родной сертификат сертификатом, выпущенным при помощи burp suit/Fidler
    настроить прокси и наблюдать за идущим расшифрованным