現階段給iOS裝置進行網路抓包的手段非常之多,除了我之前介紹的tcpdump,wireshark之外,還有Charles,以及和Charles同樣好用的mitmproxy,其實還有更多,比如更小眾的debookee。似乎知道Charles的同學更多一些,但其實Charles有的功能mitmproxy基本都有,mitmproxy還免費,而且對於terminal使用者來說使用起來更親近。
如何使用mitmproxy?
安裝mitmproxy
我們可以通過brew或者pip來安裝mitmproxy,沒有安裝brew的同學可以先通過如下命令安裝brew:
1 2 |
/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" |
完成之後,執行如下命令安裝mitmproxy
1 2 |
brew install mitmproxy |
使用mitmproxy抓包
第一步,首先啟動mitmproxy,在terminal輸入:
1 2 |
mitmproxy |
第二步,再在iPhone上設定http代理:
IP地址填你Mac系統當前的IP,埠預設8080。
可以通過在terminal輸入ifconfig en0獲取Mac的IP地址:
第三步,第一次使用mitmproxy的時候需要在iPhone上安裝CA證書,這一步和Charles一樣都需要做,原因後面解釋。開啟iPhone Safari,輸入地址:mitm.it,在下圖中點選Apple安裝證書。
第三步只需要做一次。
觀察mitmproxy流量
接下來我們就可以使用mitmproxy檢視所有通過iPhone端的http請求了,包括https請求,如何破解https流量的後面也會分析。
mitmproxy初看起來可能不如Charles直觀,其實稍微把玩下就用起來很順了,mitmproxy是基於terminal互動的,主要分為兩個介面:請求列表介面和請求詳情介面。
請求列表介面
請求詳情介面
大部分時候我們都是在這兩個介面之間切換,切換方式也非常簡單。可以在列表介面,用滑鼠點選某個請求進入詳情介面,但mitmproxy美妙之處在於可以用快捷鍵來完成介面的切換和功能的使用,而且快捷鍵與vim保持一致。
所以我們可以:
- 在列表介面,按用j,k或者上下方向鍵在列表上瀏覽。
- 在列表介面,按回車進入詳情介面。
- 在詳情介面,按q,返回列表介面。
- 在詳情介面,按tab鍵或者h,l,在Request,Response,Detail三個tab之間切換。按j,k或者上下方向鍵可以滾動檢視詳情。
- 在列表介面,按G跳到最新一個請求。
- 在列表介面,按g跳到第一個請求。
- 在列表介面,按d刪除當前選中的請求,按D恢復剛才刪除的請求。
上面上面的幾個快捷鍵就基本可以完成絕大部分的HTTP請求分析。
攔截http請求
mitmproxy也可以攔截請求,操作起來也很方便。
我們現在列表介面輸入i,進入Intercept Filter模式。按esc可以退出intercept filter模式。
在intercept filter模式輸入我們想要的filter就可以開始攔截了,比如我輸入baidu\.com,按回車,所有域名中帶baidu.com的請求就被攔截了,被攔截的請求會用橙色標記出來:
請求攔截會後可以編輯後再傳送,也可以直接放行,按a就直接放行了。
編輯請求再傳送
在上面攔截請求之後,我們可以編輯之後再傳送。首先當選中被攔截的請求按回車進入詳情頁面,在詳情頁面按tab鍵可以在三個tab(Request,response,detail)之間切換,按e之後進入詳情編輯模式:
按e進入編輯模式之後,我們要進一步選擇編輯的request部分,如下圖箭頭所示選中一個按對應的字母就可以了:
之後就可以使用方向鍵或者h,j,,k,l,選中自己想要編輯的欄位,回車之後就可以輸入新內容,按esc退出當前編輯,按a可以再新建一個field,按d可以刪除當前field,按esc退回上一個介面,下圖為Request Header的edit介面:
看著快捷鍵挺多,其實和vim非常相似,把玩個幾分鐘之後就可以熟練使用了,比Charles的圖形介面點選起來要快捷很多。
mitmproxy還有很多其他的功能,感興趣的可以去官網https://mitmproxy.org檢視。
用一句話總結mitmproxy:既免費又好用。
為何要安裝CA證書?
同Charles一樣,mitmproxy也需要在iPhone裝置上安裝CA證書。
這是因為mitmproxy要攔截解析https請求的話,要實施中間人攻擊。正常情況下中間人攻擊無法通過客戶端的證書校驗,mitmproxy的做法是臨時實時的生成自己的證書,但這臨時的證書要被客戶端信任,就只能在iPhone裝置上安裝一個被信任的CA來簽發臨時的證書。也就是說,你信任了安裝的mitmproxy的證書,也就信任了mitmproxy作為CA所簽發的所有證書。
但是,這是一個非常危險的行為。
安裝信任第三方CA證書是個危險的行為,無論是Charles還是mitmproxy,信任之後,第三方就可以無條件實施中間人攻擊了,你手機上很多App自以為安全的https連線通道都不再安全了,你的Safari通過https瀏覽的網頁內容也可能被竊聽了。
所以,建議除錯完之後在手機上刪除第三方CA證書。
無論是Charles,還是mitmproxy,在除錯完之後記得在【設定】-【通用】-【描述檔案】中刪除證書。
mitmproxy是如何實施中間人攻擊的?
知其然還要之前所以然,學會用工具之後還要明白工具背後的原理,mitmproxy是如何實施中間人攻擊的呢?
證書校驗中一個重要環節是hostname驗證。
獲取正確的hostname
mitmproxy作為https代理,捕捉到手機端的請求之後,會傳送一個同樣的請求到server,並和server展開安全握手獲取server的Certificate,再從Certificate中獲取Common Name和Subject Alternative Name。籤一個和Common Name,Subject Alternative Name一致的證書就可以騙過客戶端了。所以即使客戶端請求是使用的IP地址,這種方式也是行得通的。
如何防止中間人攻擊?
iOS預防上述的中間人攻擊也很簡單,在客戶端App做ssl pinning就可以了。
ssl pining分為certificate pinning和public key pinning兩種,目前主流的第三方HTTP framework(AFNetworking和Alamofire)都支援ssl pinning功能。
做了證書或者公鑰繫結之後,Charles和mitmproxy的https流量都無法正常獲取了。
另外我個人建議不光要做ssl pinning,任何經過https傳送的內容App要再自己做一層加密,沒有絕對的安全,保不準哪天https流量就被人破解了。
之前Path偷偷上傳使用者通訊錄的醜聞就是因為,Path既沒有做ssl pinning,也沒有對上傳的內容做加密,最後就只有程式設計師背鍋了,這種事情產品經理又怎麼會了解呢。
打賞支援我寫出更多好文章,謝謝!
打賞作者
打賞支援我寫出更多好文章,謝謝!