长亭百川云 - 文章详情

原创 Paper | Mitmproxy 数据包解密实战篇

知道创宇404实验室

65

2024-07-13

**作者:**Sunflower@知道创宇404实验室

时间:2024年6月17日

1 前言

mitmproxy 是一组工具,提供用于 HTTP/1、HTTP/2 和 WebSocket 的交互式、支持 SSL/TLS 的拦截代理。[1]。

一般提到的mitmproxy指代了mitmproxy、mitmweb和mitmdump,尽管它们提供的功能相同,但接口不同,分别适用于不同的使用场景。

名称

描述

mitmproxy

一个交互式的、支持SSL/TLS的拦截代理,具有用于HTTP/1、HTTP/2和WebSockets的控制台界面。

mitmweb

mitmproxy 的基于网页的界面。

mitmdump

mitmproxy 的命令行版本。可以将其理解为HTTP的tcpdump。

对于安全研究人员来说,mitmproxy可以用于拦截加密数据包,然后通过解密数据并代理到BurpSuite,得到的明文数据包更方便进行安全研究和渗透测试。

2 安装

macOS安装mitmproxy如下,其他系统可以从官网下载[2]

brew install mitmproxy

3 基本使用

上文介绍过mitmproxy、mitmweb、mitmdump三者的区别,对于想要持久化修改流量的场景mitmdump更适合,下面将用mitmdump做演示。

使用mitmdump的2个步骤如下:

3.1 编写插件

官方提供了部分插件编写的例子[3],例如http-add-header.py:

如下代码主要实现了在每个response中添加HTTP头。

class AddHeader:    def __init__(self):        self.num = 0    def response(self, flow):        self.num = self.num + 1        flow.response.headers["count"] = str(self.num)addons = [AddHeader()]

3.2 命令行启动

mitmdump -s http-add-header.py -p 6666

此时将浏览器代理设置为6666端口,如图1,就可以实现正常的改包了。

图1 配置浏览器代理

4 应用实战

参考资料

某应用接口数据加密(如图2所示),这导致不太方便对数据包内容进行直接判断,这种情况可以通过mitmproxy实现查看和编辑明文数据。

图2 应用数据包

4.1 应用加密/解密分析

在应用程序的jar包中查找对应的加密类,类中方法的部分代码如下:

public static String[] decode(String data) {      byte[] dataByte = CodeHandler.strToByteArrayByUTF8(data);      dataByte = CodeHandler.deCode(dataByte);      String decodedData = CodeHandler.byteArrayToStrByUTF8(dataByte);      ......

从上述代码可以看出,代码首先将str转换为byte,然后使用解密函数进行解密,最后再将byte转换回str。

继续跟进到CodeHandler.deCode,其代码如下:

public byte[] decode(byte[] dataByte) {    int i = 0;    for(int j = 0; j < dataByte.length; ++j) {        byte tmp = dataByte[i];        if (tmp > 0 && tmp < decodeArray.length) {            byte encodeChar = decodeArray[tmp];            if (encodeChar != 0) {                dataByte[i] = encodeChar;            }        }        ++i;    }    return dataByte;}

所以根据java代码写出的python加密解密脚本如下:

import loggingimport reclass Mimit():    decode_array = [        0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,        32, 87, 0, 0, 0, 47, 0, 56, 97, 89, 84, 43, 0, 103, 106, 37, 113, 49, 121, 78, 114, 112, 110, 48,        76, 55, 123, 0, 0, 0, 0, 0, 0, 40, 88, 120, 115, 41, 77, 107, 71, 104, 53, 52, 80, 54, 51, 65,        33, 117, 105, 108, 68, 90, 66, 83, 122, 81, 86, 93, 0, 91, 0, 102, 0, 69, 119, 73, 109, 126, 45,        118, 100, 99, 82, 116, 75, 57, 39, 79, 101, 46, 72, 42, 67, 50, 74, 111, 70, 95, 85, 58, 0, 0, 98, 0    ]    def request(self, flow):        if flow.request.path.endswith("/RMIServlet") and flow.request.method == "POST":            req = flow.request.get_text()            logging.info("requestData:" + req)            match = re.search(r'encode=([^&]+)', req)            decoded_str = ""            if match:                encode_value = match.group(1)                data_byte = bytearray(encode_value, "UTF-8")                decoded_byte = self.decode(data_byte)                decoded_str = decoded_byte.decode("UTF-8")                logging.info(decoded_str)            else:                logging.info("Encode value not found")            array = decoded_str.split("+")            data = f'className={array[0]}&methodName={array[1]}&params={array[2]}'            flow.request.set_text(data)    def response(self, flow):        if flow.request.path.endswith("/RMIServlet") and flow.request.method == "POST":            response = flow.response.get_text()            data_byte = bytearray(response, "UTF-8")            encoded_byte = self.encode(data_byte)            encoded_str = encoded_byte.decode("UTF-8")            flow.response.set_text(encoded_str)    def decode(self, data_byte):        for i in range(len(data_byte)):            tmp = data_byte[i]            if 0 < tmp < len(self.decode_array):                encode_char = self.decode_array[tmp]                if encode_char != 0:                    data_byte[i] = encode_char        return data_byte    def encode(self, data_byte):        for i in range(len(data_byte)):            tmp = data_byte[i]            if 0 < tmp < len(self.decode_array) and tmp not in (37, 47):                encode_char = self.decode_array[tmp]                if encode_char != 0:                    data_byte[i] = encode_char        return data_byteaddons = [Mimit(), ]

4.2 代理配置

使用--mode upstream:来设置上游代理联动BurpSuite,加上--ssl-insecure忽略 SSL 证书验证:

mitmdump -p 6666 -s main.py  --mode upstream:http://127.0.0.1:6662 --ssl-insecure

浏览器插件配置和图1同理,BurpSuite配置Proxy listeners,如图3所示。

图3 BurpSuite配置

浏览器发送数据包的顺序如图4所示。

图4 数据包流程图

有人可能会对流程图感到困惑:为何要在解密后将数据传递给BurpSuite和服务器,再对返回结果进行加密后再提供给浏览器?这是因为该程序的服务器端能够识别类似于className=xxx&methodName=xxx的明文传递,但服务器返回的结果也是明文,如图5。如果结果是明文,该程序前端JavaScript代码将无法识别返回值,导致网页加载失败。因此,需要对服务器返回的明文数据进行加密处理。

图5 明文传递数据包

所以当根据上文配置好后,便可以成功拦截到明文数据包了,如图6。

图6 明文数据包

 5 其他方式

参考资料

在某些情况下,我们需要的数据包流程图如图7,这种情况是在某些服务器只支持识别密文时,让我们也能够在BurpSuite上捕获并编辑明文数据,再将其加密后发送给服务器。

图7 流程图

这种情况配置内容应该如下:

1、首先启动第一个mitmdump,定义好自己的解密脚本并将解密后的内容传递给BurpSuite。

mitmdump -p 6666 -s dec.py  --mode upstream:http://127.0.0.1:6662 --ssl-insecure

2、再启动第二个mitmdump,定义好加密脚本。

mitmdump -p 7777 -s enc.py

同时配置好BurpSuite的UpStream proxy servers,如图8。

图8 BurpSuite配置UpStream proxy servers

这样就能将从BurpSuite出来的流量再次进行加密了。

6 参考链接

参考资学完了前面三个程序后,可以说已经入门了单片机开发,能进行以下几种基础操作:控制端口输出,编写中断函数,通过uart口输出调试信息。

[1] https://mitmproxy.org/

[2] https://mitmproxy.org/downloads/

[3] https://docs.mitmproxy.org/stable/addons-examples/

[4] https://xz.aliyun.com/t/13218

作者名片

往 期 热 门

(点击图片跳转)

戳“阅读原文”更多精彩内容!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2