“想要解决一个问题,最根本方法的就是了解这一切是如何工作的,而不是玄学。”
——ASCII0X03
最近学习发现现在很多现成的安卓SSL中间人工具和教程都只针对HTTPS流量,比如注册为安卓VPN的Packetcapture,以及设置http代理来抓包的Fiddler。他们对于分析http流量都很好,但是遇到局域网通信或者非HTTPS流量如MQTT,就无能为力了。因此,特利用双网卡和mitmproxy神器(叫做神器是有原因的,这应该是做中间人最好的工具了,可满足各种需求)搭建了一个支持SSL上的MQTT协议的中间人环境,基本框架如下图。
注意,此方案选用俩网卡自己当网关是基于如下考虑:手机设置代理的方法不是所有app的所有流量都会使用,ARP欺骗不稳定,并且有的设备自己做AP热点根本就不转发任何其他流量。当然,还是需要Xpose或者重打包来绕过App上的SSL pinning。鄙人认为最好的方法还是在安卓端写一个类似于Packetcapture的VPN软件配合Xpose Hook并支持各种端口的协议(不太好的一个参考:https://blog.csdn.net/XXOOYC/article/details/78223242),奈何太菜不懂安卓,哪位达人有兴趣可以git 来一发。
一、基础知识
1.mitmdump基础
参考:https://docs.mitmproxy.org/stable/concepts-modes/#transparent-proxy
由于我们不想只监听HTTP流量,因此需要使用mitmproxy的“透明”(Transparent Proxy)模式,即从网络层转发至代理,监听IP层以上的所有流量。基本原理如下图所示,在router层面(使用iptables)将数据包重定向到mitmproxy,然后中间人代理会嗅探并自动转发。注意:代理会将源IP地址修改为本机;NAT不应该在代理之前做,因为会让代理无法判断真正的目的地址,第三张图是错误的示例。
2.iptables基础
参考系列教程:http://www.zsythink.net/archives/1199
尤其是其中的这张图,画的非常好,这里转载过来备用,侵删。
3.安卓校验SSL实现
安卓如何实现https可以参考:https://www.v2ex.com/t/309553
绕过安卓App的SSl可参考:https://blog.netspi.com/four-ways-bypass-android-ssl-verification-certificate-pinning/
对于安卓上的SSL pinning,不一定要使用Frida,也可以使用Xpose的Just trust me模块来Hook SSLContext.init函数,给一个空的TrustManager,但是,校验的顺序是先校验证书,再校验域名,即setHostnameVerifier。通常这个函数是不用我们处理的,因为mitmproxy已经自动的生成对方服务器的hostname来构建中间人证书,但是个别情况下我们还是需要找到并且Hook掉这个App自己的HostnameVerifier类,比如App连接设备的WiFi并且校验SSL证书是不是和WiFi的名字相同。
4. 绕过IOS的SSL pinning
非常好的一篇参考:https://blog.netspi.com/four-ways-to-bypass-ios-ssl-verification-and-certificate-pinning/
其中推荐了一个搞IOS和MAC OS的人的工具SSL Kill Switch(暂时还没试,但是似乎非常靠谱):https://github.com/nabla-c0d3/ssl-kill-switch2
ps:通过阅读这些国外的帖子,虽然不同平台有不同平台专门的搞法,但是感觉搞安全分析务必要学习一下Frida了,这是一个更通用的动态hook工具,以后应该会用得到。
二、方案说明
基本的中间人搭建参考:https://medium.com/@viveks3th/turning-your-raspberry-pi-into-a-rogue-wifi-router-for-hacking-46d4941bbca9
iptables规则如下(eth0是外网):
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport -j REDIRECT --to-port
sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport -j REDIRECT --to-port
其中-m是指定扩展模块“state”,只允许相关的包从外网转发到内网;但是物联网设备和app通信往往包含相互发现等过程,因此可以根据需要转发其他类型的流量,如本次需要转发特殊的UDP流量。
我的方案
1.wlan1接入具有外网的热点或者按需接入设备建立的配网热点。记录下需要和App通信的ip地址,以方便转发udp流量。
2. wlan0建立热点,并让手机接入。可参考https://blog.csdn.net/gsls200808/article/details/39370597
主要有这么几步:
(1)安装配置hostapd
注意,在运行前需要让系统自带的网络管理器取消对wifi的管理:nmcli nm wifi off(
或者尝试nmcli radio wifi off)。但是,有时候会出现lsusb能看到无线网卡,ifconfig看不到的情况,有可能是驱动出了问题(但是lsmod没看出问题),我的解决方案是打开系统自动管理nmcli radio wifi on,然后重启电脑重新插网卡就恢复正常了。求高人解惑,避免重启。
(2)安装配置DHCP服务器
(3)设置iptables转发
#########################################################################
# File Name: setup_wifi_ap.sh
# Author: ascii0x03
# mail:
# Created Time: 2018年01月22日 星期一 15时28分50秒
#########################################################################
#!/bin/bash
#
/etc/init.d/hostapd stop
service isc-dhcp-server stop
/etc/init.d/isc-dhcp-server stop
ifconfig wlan0 down vim /etc/hostapd/hostapd.conf
vim /etc/dhcp/dhcpd.conf
#设置网卡wlan的IP和子网,要跟dhcpd.conf网关一致
ifconfig wlan0 192.168.201.1 netmask 255.255.255.0 up
sleep
rfkill unblock wifi
sleep
hostapd -B /etc/hostapd/hostapd.conf
#initctl reload-configuration
service isc-dhcp-server start
#/etc/init.d/isc-dhcp-server start #iptables转发上网
sudo sysctl -w net.ipv4.ip_forward=
sudo iptables -F
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -L
3.设置转发规则,例如将App的UDP等数据通过DNAT转发至设备,设备也DNAT至App,因为IoT经常使用这些UDP广播来进行设备发现。(看情况而定)
4.设置转发规则,将想要监听的tcp端口转发至mitmproxy。(看情况)
5.在wlan1设置NAT规则进行转发(在出口位置肯定在mitmproxy之后)
#########################################################################
# File Name: mitm_config.sh
# Author: ascii0x03
# mail:
# Created Time: 2017年12月06日 星期三 16时24分37秒
#########################################################################
#!/bin/bash
#首先,建立好AP为wlan0,并且开启dhcp服务器分配ip,之后运行如下脚本即可。
sysctl -w net.ipv4.ip_forward=
sysctl -w net.ipv6.conf.all.forwarding=
sysctl -w net.ipv4.conf.all.send_redirects= iptables -F
iptables -t nat -F
iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o wlan1 -j ACCEPT #UDP for discovering device in wlan
iptables -t nat -A PREROUTING -i wlan0 -p udp -m udp --dport -j DNAT --to-destination 192.168.1.101
iptables -t nat -A PREROUTING -i wlan1 -p udp -m udp --sport -j DNAT --to-destination 192.168.201.156 iptables -t nat -A PREROUTING -i wlan0 -p tcp -m tcp --dport -j REDIRECT --to-ports
iptables -t nat -A PREROUTING -i wlan0 -p tcp -m tcp --dport -j REDIRECT --to-ports
#MQTTS
iptables -t nat -A PREROUTING -i wlan0 -p tcp -m tcp --dport -j REDIRECT --to-ports #all
#iptables -t nat -A PREROUTING -i wlan0 -p tcp -j REDIRECT --to-ports iptables -t nat -A POSTROUTING -o wlan1 -j MASQUERADE iptables -S
iptables -t nat -S
#存放ssl密钥的位置
export MITMPROXY_SSLKEYLOGFILE=~/IoT/keylog #mitmdump -T -v --cert *=~/iRobot/irobot_cert.pem --insecure -tcp -w
mitmdump -T -v --insecure --raw-tcp -w
三、重要补充
0. 需要一个在Linux下支持AP模式的网卡和驱动
这里推荐TP-Link的TL-WN722N。lsusb可以看到识别出来的型号。需要添加个源到/etc/apt/sources.list:deb http://httpredir.debian.org/debian/ jessie main contrib non-free,然后再安装: apt-get update && apt-get install firmware-athreos
参考:https://wiki.debian.org/ath9k_htc
1.连接未加密WiFi
iw dev wlan1 connect Roomba-3147C60040239620
2.连接加密WiFi
wpa_supplicant -i wlan1 -c ./wifi.conf
wifi.config的内容参考如下
network={
ssid="NIPC"
psk=""
#psk=e68b3b7ddb0aba50c582753dfbe33cc372b080eb0d11fcaa6b096ec466f82343
}
3.连接后请求获得IP地址
dhclient wlan1
4.断开WiFI连接
iw dev wlan1 disconnect
5.开启建立的热点:
hostapd -B /etc/hostapd/hostapd.conf
6. 关闭热点:直接kill掉hostapd进程
7. 查看网卡的无线状态和ip状态(注意ifconfig看不到无线网卡但是iwconfig可以看到,ifconfig wlan0 up开启后就好了)
iwconfig
ifconfig