原创 Paper | Mitmproxy 数据包解密实战篇

**作者：**Sunflower@知道创宇404实验室

时间：2024年6月17日

1 前言

mitmproxy 是一组工具，提供用于 HTTP/1、HTTP/2 和 WebSocket 的交互式、支持 SSL/TLS 的拦截代理。[1]。

一般提到的mitmproxy指代了mitmproxy、mitmweb和mitmdump，尽管它们提供的功能相同，但接口不同，分别适用于不同的使用场景。

名称

描述

mitmproxy

一个交互式的、支持SSL/TLS的拦截代理，具有用于HTTP/1、HTTP/2和WebSockets的控制台界面。

mitmweb

mitmproxy 的基于网页的界面。

mitmdump

mitmproxy 的命令行版本。可以将其理解为HTTP的tcpdump。

对于安全研究人员来说，mitmproxy可以用于拦截加密数据包，然后通过解密数据并代理到BurpSuite，得到的明文数据包更方便进行安全研究和渗透测试。

2 安装

macOS安装mitmproxy如下，其他系统可以从官网下载[2]

brew install mitmproxy

3 基本使用

上文介绍过mitmproxy、mitmweb、mitmdump三者的区别，对于想要持久化修改流量的场景mitmdump更适合，下面将用mitmdump做演示。

使用mitmdump的2个步骤如下：

3.1 编写插件

官方提供了部分插件编写的例子[3]，例如http-add-header.py：

如下代码主要实现了在每个response中添加HTTP头。

class AddHeader:    def __init__(self):        self.num = 0    def response(self, flow):        self.num = self.num + 1        flow.response.headers["count"] = str(self.num)addons = [AddHeader()]

3.2 命令行启动

mitmdump -s http-add-header.py -p 6666

此时将浏览器代理设置为6666端口，如图1，就可以实现正常的改包了。

图1 配置浏览器代理

4 应用实战

参考资料

某应用接口数据加密（如图2所示），这导致不太方便对数据包内容进行直接判断，这种情况可以通过mitmproxy实现查看和编辑明文数据。

图2 应用数据包

4.1 应用加密/解密分析

在应用程序的jar包中查找对应的加密类，类中方法的部分代码如下：

public static String[] decode(String data) {      byte[] dataByte = CodeHandler.strToByteArrayByUTF8(data);      dataByte = CodeHandler.deCode(dataByte);      String decodedData = CodeHandler.byteArrayToStrByUTF8(dataByte);      ......

从上述代码可以看出，代码首先将str转换为byte，然后使用解密函数进行解密，最后再将byte转换回str。

继续跟进到CodeHandler.deCode，其代码如下：

public byte[] decode(byte[] dataByte) {    int i = 0;    for(int j = 0; j < dataByte.length; ++j) {        byte tmp = dataByte[i];        if (tmp > 0 && tmp < decodeArray.length) {            byte encodeChar = decodeArray[tmp];            if (encodeChar != 0) {                dataByte[i] = encodeChar;            }        }        ++i;    }    return dataByte;}

所以根据java代码写出的python加密解密脚本如下：

import loggingimport reclass Mimit():    decode_array = [        0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,        32, 87, 0, 0, 0, 47, 0, 56, 97, 89, 84, 43, 0, 103, 106, 37, 113, 49, 121, 78, 114, 112, 110, 48,        76, 55, 123, 0, 0, 0, 0, 0, 0, 40, 88, 120, 115, 41, 77, 107, 71, 104, 53, 52, 80, 54, 51, 65,        33, 117, 105, 108, 68, 90, 66, 83, 122, 81, 86, 93, 0, 91, 0, 102, 0, 69, 119, 73, 109, 126, 45,        118, 100, 99, 82, 116, 75, 57, 39, 79, 101, 46, 72, 42, 67, 50, 74, 111, 70, 95, 85, 58, 0, 0, 98, 0    ]    def request(self, flow):        if flow.request.path.endswith("/RMIServlet") and flow.request.method == "POST":            req = flow.request.get_text()            logging.info("requestData：" + req)            match = re.search(r'encode=([^&]+)', req)            decoded_str = ""            if match:                encode_value = match.group(1)                data_byte = bytearray(encode_value, "UTF-8")                decoded_byte = self.decode(data_byte)                decoded_str = decoded_byte.decode("UTF-8")                logging.info(decoded_str)            else:                logging.info("Encode value not found")            array = decoded_str.split("+")            data = f'className={array[0]}&methodName={array[1]}&params={array[2]}'            flow.request.set_text(data)    def response(self, flow):        if flow.request.path.endswith("/RMIServlet") and flow.request.method == "POST":            response = flow.response.get_text()            data_byte = bytearray(response, "UTF-8")            encoded_byte = self.encode(data_byte)            encoded_str = encoded_byte.decode("UTF-8")            flow.response.set_text(encoded_str)    def decode(self, data_byte):        for i in range(len(data_byte)):            tmp = data_byte[i]            if 0 < tmp < len(self.decode_array):                encode_char = self.decode_array[tmp]                if encode_char != 0:                    data_byte[i] = encode_char        return data_byte    def encode(self, data_byte):        for i in range(len(data_byte)):            tmp = data_byte[i]            if 0 < tmp < len(self.decode_array) and tmp not in (37, 47):                encode_char = self.decode_array[tmp]                if encode_char != 0:                    data_byte[i] = encode_char        return data_byteaddons = [Mimit(), ]

4.2 代理配置

使用--mode upstream:来设置上游代理联动BurpSuite，加上--ssl-insecure忽略 SSL 证书验证：

mitmdump -p 6666 -s main.py  --mode upstream:http://127.0.0.1:6662 --ssl-insecure

浏览器插件配置和图1同理，BurpSuite配置Proxy listeners，如图3所示。

图3 BurpSuite配置

浏览器发送数据包的顺序如图4所示。

图4 数据包流程图

有人可能会对流程图感到困惑：为何要在解密后将数据传递给BurpSuite和服务器，再对返回结果进行加密后再提供给浏览器？这是因为该程序的服务器端能够识别类似于className=xxx&methodName=xxx的明文传递，但服务器返回的结果也是明文，如图5。如果结果是明文，该程序前端JavaScript代码将无法识别返回值，导致网页加载失败。因此，需要对服务器返回的明文数据进行加密处理。

图5 明文传递数据包

所以当根据上文配置好后，便可以成功拦截到明文数据包了，如图6。

图6 明文数据包

 5 其他方式

参考资料

在某些情况下，我们需要的数据包流程图如图7，这种情况是在某些服务器只支持识别密文时，让我们也能够在BurpSuite上捕获并编辑明文数据，再将其加密后发送给服务器。

图7 流程图

这种情况配置内容应该如下：

1、首先启动第一个mitmdump，定义好自己的解密脚本并将解密后的内容传递给BurpSuite。

mitmdump -p 6666 -s dec.py  --mode upstream:http://127.0.0.1:6662 --ssl-insecure

2、再启动第二个mitmdump，定义好加密脚本。

mitmdump -p 7777 -s enc.py

同时配置好BurpSuite的UpStream proxy servers，如图8。

图8 BurpSuite配置UpStream proxy servers

这样就能将从BurpSuite出来的流量再次进行加密了。

6 参考链接

参考资学完了前面三个程序后，可以说已经入门了单片机开发，能进行以下几种基础操作：控制端口输出，编写中断函数，通过uart口输出调试信息。

[1] https://mitmproxy.org/

[2] https://mitmproxy.org/downloads/

[3] https://docs.mitmproxy.org/stable/addons-examples/

[4] https://xz.aliyun.com/t/13218

作者名片

往 期 热 门

(点击图片跳转）

戳“阅读原文”更多精彩内容!