Снифаем трафик с реального android устройства

[kane16]

Всем привет!
Хочу поделиться с вами как снифать трафик с устройства android, перейдем сразу к делу!

Нам понадобится:

1. Установленный fiddler
2. Смартфон
3. Xposed +модуль SSLUnpinning

Все установочные файлы будут прикреплены к данной статье

Оглавление:

1. Установка Fiddler
2. Установка сертификата
3. Xposed
4. Установка сертификата на Android
5. Прокси
6. Анализ трафика
7. Запуск и отлов
8. Собираем запросы в ProjectMaker

---

Установка fiddler

Устанавливаем fiddler (думаю нечего сложного не должно возникнуть)
Запускаем и выставляем настройки как на скриншоте:

Шаг 1

Шаг 2

Шаг 3​

---

Установка сертификата

Шаг 1

Шаг 2

Шаг 3

Шаг 4​

Нам понадобится смартфон с root правами, с установленным Xposed
Как поставить root и xposed сможете найти под свою модель на 4pda

У меня старенький телефон samsung j3 2016 (если у вас такая же модель то вы можете найти в ютубе подробный ролик как его прошить)

---

Xposed

Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:

---

Установка сертификата на android

Установка сертификата FiddlerRoot.cer из архива APK, выбираем любое название, ставим пароль:

---

Прокси

Внимание! Пк и смартфон должны быть подключены к одной сети wifi
Заходим в настройки wi-fi, управление параметрами, указываем ip и порт 8888 как в fiddler:

Вводим IP PORT и нажимаем сохранить

После этого в fiddler уже должны появится первые запросы.

---

Анализ трафика

Начинаем анализировать трафик)

Выбираем приложение которое нам нужно отснифать в SSLUnpinning у меня это будет для примера ЯRUS:

---

Запуск и отлов

Запускаем приложение, нажимаем кнопку "зарегистрироваться" вводим номер получаем код, вводим код и ловим запросы:

Запрос на отправку номера при регистрации:

Данные запроса:

---

Собираем запросы

Переносим POST запрос в ProjectMaker

Подставляем свой номер в кубике и выполняем запрос, должен получится вот такой ответ: {"status":"ok"}

Далее составляем запрос на отправку полученного кода (у меня номер телефона другой так как на прошлый просто не пришел код)

Копируем кубик и малость его изменяем, подписываем код и меняем ссылку

Результат выполнения кубика с кодом должен содержать ответ с токеном:

Достаем токен кубиком "обработка текста regex", токен нам пригодится для следующего запроса:

Получаем данные только что созданного аккаунта:

Выполняем запрос и получаем ответ в виде id юзера, имени и фамилии и т.п.

Можно проверить существует ли на самом деле такой аккаунт, я забил его в поиске с основного телефона и вот что получилось:

Spoiler: БОНУС

Хотел бы еще вам рассказать о смс сообщениях класса ноль.

Sms сообщения класса 0 или Flash-sms специальный вид текстового сообщения, немедленно отображаемого на экране устройства. Такие сообщения не сохраняется на устройстве после нажатия кнопки "Закрыть", а отправитель получает уведомление, что его сообщение получено.

Данные сообщения в основном (а может и нет) используют для разблокировки google account на телефоне когда владелец забыл пароль, отправляют ссылку, переходят по ней (на старых версия андроид, на более свежих ссылка не активна) и устанавливают необходимые апк для сброса, но не об этом...

Давайте установим и потестим
Ставим apk FRPFILE SMS APK v2 - это модуль для Xposed, его нужно также активировать и перезагрузиться.
Запускаем приложение, пишем номер телефона и сообщение. Я решил отправить сразу несколько.

А вот и результат:

На этом все, спасибо за уделенное время к статье

p.s. это моя вторая статья на конкурсе Zennolab, прошу камнями сильно не бросать

 

[Dmitriy Ka]

Эх сначала обрадовался, люблю статьи про снифинг трафика
А оказалось почти все уже читал)) тут ссылка

Предвижу, что будет много вопросов по поводу установки Xposed, что бы его установить нужны рут права, а на android 10+ с эти геморно стало.

Еще от себя добавлю, если не получается снять SLL pinning через SSLUnpinning2.0, в Xposed есть еще такой вариант

Spoiler

Он даже чуть проще в работе, не нужно выбирать приложение для которого надо снять SLL pinning, вырубает сразу для всех.
Важно! Такое на Личных устройствах лучше не использовать, для таких задач подойдут эмуляторы MEMU или NOX.

Когда я был еще зеленый, тоже все данные дергал через Regex
А когда чуть набрался опыта, понял что с JSON надо работать как с JSON.
Все ответы приходят в JSON, не нужно вытаскивать из них данные через регулярку, через кубик JSON работать будет удобней. Это не в упрек, просто совет

 

[nectah]

Ну и что нового в этой статье?) Что с реального андроид устройства типа снифать?

 

[Phoenix78]

Ну и что нового в этой статье?) Что с реального андроид устройства типа снифать?

ничего нового можно не писать. правила были изменены. достаточно актуализировать на момент написания статьи.

 

[kane16]

Эх сначала обрадовался, люблю статьи про снифинг трафика
А оказалось почти все уже читал)) тут ссылка

Предвижу, что будет много вопросов по поводу установки Xposed, что бы его установить нужны рут права, а на android 10+ с эти геморно стало.

Еще от себя добавлю, если не получается снять SLL pinning через SSLUnpinning2.0, в Xposed есть еще такой вариант

Spoiler

View attachment 101195

Он даже чуть проще в работе, не нужно выбирать приложение для которого надо снять SLL pinning, вырубает сразу для всех.
Важно! Такое на Личных устройствах лучше не использовать, для таких задач подойдут эмуляторы MEMU или NOX.

Когда я был еще зеленый, тоже все данные дергал через Regex
А когда чуть набрался опыта, понял что с JSON надо работать как с JSON.
Все ответы приходят в JSON, не нужно вытаскивать из них данные через регулярку, через кубик JSON работать будет удобней. Это не в упрек, просто совет

Trust тоже использовал так как иногда sslunpinning не срабатывал) учту про JSON спасибо

 

[nectah]

Нашёл как ставить Xposed с модулями на 7.1 версии андроид эмуляторов потипу MEMU и тд. Мне прям помогло.

Для девятого андроида и позже хз, кто запилит такую статью будут молодцы

 

[SERG454]

Спасибо, всегда интересно читать профильные темы!
"
Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:
"
Это актуально ?

Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...

 

[radv]

Некоторые приложения шифруют трафик или используют другие протоколы передачи данных, поэтому сразу браться за топ приложения не рекомендуется.

 

[Roman*]

Сертификат с фидлера экспортируется я так понимаю и ставится на мобилу. Последняя версия фидлера будет снифать, какой андроид будет работать 7 8 или 9 будут? А то в эмуляторе мему на 9 сертификат не поставить.

 

[Dmitriy Ka]

Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...

А что конкретно не получалось? Я недавно все это делал через MEMU Android 7.1, все работало

 

[kane16]

Спасибо, всегда интересно читать профильные темы!
"
Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:
"
Это актуально ?

Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...

Актуально, вот попробуйте для эмулятора эту версию XPOSED

 

[kane16]

Сертификат с фидлера экспортируется я так понимаю и ставится на мобилу. Последняя версия фидлера будет снифать, какой андроид будет работать 7 8 или 9 будут? А то в эмуляторе мему на 9 сертификат не поставить.

До 7 андроида как я знаю работает xposed, если выше то там magisk и lsposed

 

[frion-seo]

Ну и что нового в этой статье?) Что с реального андроид устройства типа снифать?

Да ваще конкурсы тухляк стали) Мусолят одно и то же по 100 раз ...

 

[blackbyte]

Откуда копипаст ?)
Xposed мёртв. Модуль SSLunpining уже давно не актуален.

 

[frion-seo]

Откуда копипаст ?)
Xposed мёртв. Модуль SSLunpining уже давно не актуален.

ТССССССС...... не пали контору ))))) ща может воскресят

 

[kane16]

Откуда копипаст ?)
Xposed мёртв. Модуль SSLunpining уже давно не актуален.

Какой копипаст?
Все работает нормально

 

[blackbyte]

Какой копипаст?
Все работает нормально

Для 7 как ни странно работает, но у Xposed репозиторий мёртв и на 9 уже не поставишь.
SSLunpiping модуль не актуален на 2022 г.

 

[турист]

Для 7 как ни странно работает, но у Xposed репозиторий мёртв и на 9 уже не поставишь.
SSLunpiping модуль не актуален на 2022 г.

Что значит не актуален? Не делает unpiping приложения? А другие модули где-нибудь можно достать? Я в свое время не нашел, репозиторий да, мёртв, но можно же просто вручную поставить модуль, он apk-файл. Проделывал все это на нокс, андроид 5 по компиляции мутных схем с инета), да вскрывает, работает все очень нестабильно, в том же ЯРУС денег не обнаружено) Буду пробовать мему, андроид 7, тема интересная

 

[blackbyte]

Что значит не актуален? Не делает unpiping приложения? А другие модули где-нибудь можно достать? Я в свое время не нашел, репозиторий да, мёртв, но можно же просто вручную поставить модуль, он apk-файл. Проделывал все это на нокс, андроид 5 по компиляции мутных схем с инета), да вскрывает, работает все очень нестабильно, в том же ЯРУС денег не обнаружено) Буду пробовать мему, андроид 7, тема интересная

Нормальные приложения точно не осилит этот модуль )
Уже давно есть множество других способов. Нужно искать ) а если не хочется искать, то за $ купить готовые решения )

 

[турист]

Нормальные приложения точно не осилит этот модуль )
Уже давно есть множество других способов. Нужно искать ) а если не хочется искать, то за $ купить готовые решения )

Нормальные приложения зашифрованы по самые помидоры, их ничего не возьмет кроме может декомпиляции, но это уже слишком для манимейкинга) Вся надежда только на слабозащищеные)

 

[marushin]

Меняем fiddler на Burp suite, Xposed/SLUnpinning на Frida - вот вам и ещё одна статья про снятия серта с андроид.
Back to 2018...

 

[ex3maL]

Xposed мёртв. Модуль SSLunpining уже давно не актуален.

он не мертв, но сдк так старые, на новые устройства со свежим ведром уже такое себе. нужны форки как минимум

Какой копипаст?
Все работает нормально

статья уже была на форуме, 1 в 1 прям. ничего нового тут нет
кто такие статьи пускает вообще? для массовки чтоли

трубка старая - это раз
хпосед уже поставлен (а значит там древнее сдк) - много приложений уже могут не поехать - напишет "устройство не поддерживается" и все в таком роде
как его ставить на данный момент когда репо умер - нет инфы это минус для статьи
крч мрак!

 

[Aleksandr3309]

После ввода ip port ви фи соединение оно стало без доступа к интернету

 

[kane16]

После ввода ip port ви фи соединение оно стало без доступа к интернету

Сертификаты поставили на пк и телефон?
Порт в фидлере стоит 8888?

 

[Aleksandr3309]

Сертификаты поставили на пк и телефон?
Порт в фидлере стоит 8888?

Вроде заработало когда выбрал при установки сертификата на андроид wifi

Только в фидлере трафик и ПК и телефона все в кучу идет , можно как то выбрать чтоб только телефона показывал?)

 

[Aleksandr3309]

и как можно отснифать приложение для которого нужны прокси ( либо переезд в другую страну где оно не заблочено )

 

[MaxMan]

Вопрос к автору: метод из бонуса работает только на старых версиях андроид или и на новых тоже?
И чей номер высвечивается как отправитель?

 

[kane16]

Вопрос к автору: метод из бонуса работает только на старых версиях андроид или и на новых тоже?
И чей номер высвечивается как отправитель?

На всех где установлен xposed (xposed можно установить до 7 версии андроид)
Номер не высвечивается и сообщение не сохраняется после нажатия кнопки "закрыть"

 

[MaxMan]

Получается, что если не установлен xposed , то прислать такое сообщение мы не сможем?
Вопрос по основной статье: какая система у вас была на устройстве?

 

[kane16]

Получается, что если не установлен xposed , то прислать такое сообщение мы не сможем?
Вопрос по основной статье: какая система у вас была на устройстве?

Верно. Адроид 5