Снифаем трафик с реального android устройства

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Всем привет!
Хочу поделиться с вами как снифать трафик с устройства android, перейдем сразу к делу!

Нам понадобится:
  1. Установленный fiddler
  2. Смартфон
  3. Xposed +модуль SSLUnpinning
Все установочные файлы будут прикреплены к данной статье

Оглавление:
  1. Установка Fiddler
  2. Установка сертификата
  3. Xposed
  4. Установка сертификата на Android
  5. Прокси
  6. Анализ трафика
  7. Запуск и отлов
  8. Собираем запросы в ProjectMaker




Установка fiddler

Устанавливаем fiddler (думаю нечего сложного не должно возникнуть)
Запускаем и выставляем настройки как на скриншоте:

101125

Шаг 1

101126

Шаг 2

101127

Шаг 3




Установка сертификата

101129

Шаг 1

101130

Шаг 2

101131

Шаг 3

101132

Шаг 4

Нам понадобится смартфон с root правами, с установленным Xposed
Как поставить root и xposed сможете найти под свою модель на 4pda

У меня старенький телефон samsung j3 2016 (если у вас такая же модель то вы можете найти в ютубе подробный ролик как его прошить)




Xposed

Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:

101135
101134
101136





Установка сертификата на android

Установка сертификата FiddlerRoot.cer из архива APK, выбираем любое название, ставим пароль:

101138
101139





Прокси

Внимание! Пк и смартфон должны быть подключены к одной сети wifi
Заходим в настройки wi-fi, управление параметрами, указываем ip и порт 8888 как в fiddler:

101142


Вводим IP PORT и нажимаем сохранить

101140
101141


После этого в fiddler уже должны появится первые запросы.




Анализ трафика

Начинаем анализировать трафик)

Выбираем приложение которое нам нужно отснифать в SSLUnpinning у меня это будет для примера ЯRUS:

101143





Запуск и отлов

Запускаем приложение, нажимаем кнопку "зарегистрироваться" вводим номер получаем код, вводим код и ловим запросы:

101144
101145
101154


Запрос на отправку номера при регистрации:


101146


Данные запроса:

101148






Собираем запросы

Переносим POST запрос в ProjectMaker

101149


101150

101151


Подставляем свой номер в кубике и выполняем запрос, должен получится вот такой ответ: {"status":"ok"}

101152


Далее составляем запрос на отправку полученного кода (у меня номер телефона другой так как на прошлый просто не пришел код)

101153

101155


Копируем кубик и малость его изменяем, подписываем код и меняем ссылку

101156


Результат выполнения кубика с кодом должен содержать ответ с токеном:

101157


Достаем токен кубиком "обработка текста regex", токен нам пригодится для следующего запроса:

101158


Получаем данные только что созданного аккаунта:

101160

101162
101163


Выполняем запрос и получаем ответ в виде id юзера, имени и фамилии и т.п.

101164


Можно проверить существует ли на самом деле такой аккаунт, я забил его в поиске с основного телефона и вот что получилось:

101165


Хотел бы еще вам рассказать о смс сообщениях класса ноль.

Sms сообщения класса 0 или Flash-sms специальный вид текстового сообщения, немедленно отображаемого на экране устройства. Такие сообщения не сохраняется на устройстве после нажатия кнопки "Закрыть", а отправитель получает уведомление, что его сообщение получено.

Данные сообщения в основном (а может и нет) используют для разблокировки google account на телефоне когда владелец забыл пароль, отправляют ссылку, переходят по ней (на старых версия андроид, на более свежих ссылка не активна) и устанавливают необходимые апк для сброса, но не об этом...

Давайте установим и потестим :D
Ставим apk FRPFILE SMS APK v2 - это модуль для Xposed, его нужно также активировать и перезагрузиться.
Запускаем приложение, пишем номер телефона и сообщение. Я решил отправить сразу несколько.

101166
101168


А вот и результат:

101171
101172

На этом все, спасибо за уделенное время к статье :-)

p.s. это моя вторая статья на конкурсе Zennolab, прошу камнями сильно не бросать:D
 
Тема статьи
Нестандартные хаки
Номер конкурса статей
Восемнадцатый конкурс статей

Вложения

Для запуска проектов требуется программа ZennoPoster или ZennoDroid.
Это основное приложение, предназначенное для выполнения автоматизированных шаблонов действий (ботов).
Подробнее...

Для того чтобы запустить шаблон, откройте нужную программу. Нажмите кнопку «Добавить», и выберите файл проекта, который хотите запустить.
Подробнее о том, где и как выполняется проект.

Последнее редактирование модератором:

Dmitriy Ka

Client
Регистрация
03.05.2016
Сообщения
503
Благодарностей
247
Баллы
43
Эх сначала обрадовался, люблю статьи про снифинг трафика :D
А оказалось почти все уже читал)) тут ссылка

Предвижу, что будет много вопросов по поводу установки Xposed, что бы его установить нужны рут права, а на android 10+ с эти геморно стало.

Еще от себя добавлю, если не получается снять SLL pinning через SSLUnpinning2.0, в Xposed есть еще такой вариант
101195
Он даже чуть проще в работе, не нужно выбирать приложение для которого надо снять SLL pinning, вырубает сразу для всех.
Важно! Такое на Личных устройствах лучше не использовать, для таких задач подойдут эмуляторы MEMU или NOX.

Когда я был еще зеленый, тоже все данные дергал через Regex :ah:
А когда чуть набрался опыта, понял что с JSON надо работать как с JSON(facepalm).
Все ответы приходят в JSON, не нужно вытаскивать из них данные через регулярку, через кубик JSON работать будет удобней. Это не в упрек, просто совет
 
Последнее редактирование:

Phoenix78

Client
Read only
Регистрация
06.11.2018
Сообщения
11 790
Благодарностей
5 677
Баллы
113
Ну и что нового в этой статье?) Что с реального андроид устройства типа снифать? :bw:
ничего нового можно не писать. правила были изменены. достаточно актуализировать на момент написания статьи.

101201
 
  • Спасибо
Реакции: frion-seo, djaga и nectah

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Эх сначала обрадовался, люблю статьи про снифинг трафика :D
А оказалось почти все уже читал)) тут ссылка

Предвижу, что будет много вопросов по поводу установки Xposed, что бы его установить нужны рут права, а на android 10+ с эти геморно стало.

Еще от себя добавлю, если не получается снять SLL pinning через SSLUnpinning2.0, в Xposed есть еще такой вариант
Он даже чуть проще в работе, не нужно выбирать приложение для которого надо снять SLL pinning, вырубает сразу для всех.
Важно! Такое на Личных устройствах лучше не использовать, для таких задач подойдут эмуляторы MEMU или NOX.

Когда я был еще зеленый, тоже все данные дергал через Regex :ah:
А когда чуть набрался опыта, понял что с JSON надо работать как с JSON(facepalm).
Все ответы приходят в JSON, не нужно вытаскивать из них данные через регулярку, через кубик JSON работать будет удобней. Это не в упрек, просто совет
Trust тоже использовал так как иногда sslunpinning не срабатывал) учту про JSON спасибо
 
  • Спасибо
Реакции: Dmitriy Ka

nectah

Client
Регистрация
17.09.2010
Сообщения
90
Благодарностей
17
Баллы
8
Нашёл как ставить Xposed с модулями на 7.1 версии андроид эмуляторов потипу MEMU и тд. Мне прям помогло.


Для девятого андроида и позже хз, кто запилит такую статью будут молодцы :D
 
  • Спасибо
Реакции: SERG454

SERG454

Client
Регистрация
14.10.2021
Сообщения
136
Благодарностей
134
Баллы
43
Спасибо, всегда интересно читать профильные темы!
"
Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:
"
Это актуально ?

Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...
 
  • Спасибо
Реакции: kane16

radv

Client
Регистрация
11.05.2015
Сообщения
3 642
Благодарностей
1 846
Баллы
113
Некоторые приложения шифруют трафик или используют другие протоколы передачи данных, поэтому сразу браться за топ приложения не рекомендуется.
 
  • Спасибо
Реакции: kane16

Roman*

Client
Регистрация
25.09.2013
Сообщения
1 649
Благодарностей
650
Баллы
113
Сертификат с фидлера экспортируется я так понимаю и ставится на мобилу. Последняя версия фидлера будет снифать, какой андроид будет работать 7 8 или 9 будут? А то в эмуляторе мему на 9 сертификат не поставить.
 
  • Спасибо
Реакции: August TS

Dmitriy Ka

Client
Регистрация
03.05.2016
Сообщения
503
Благодарностей
247
Баллы
43
Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...
А что конкретно не получалось? Я недавно все это делал через MEMU Android 7.1, все работало
 

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Спасибо, всегда интересно читать профильные темы!
"
Устанавливаем SSLUnpinning.apk из архива APK и активируем в Xposed данный модуль, а затем перезагружаемся:
"
Это актуально ?

Пробовал так за последние полгода/год устанавливать на эмуляторы , но уже и тогда не работало как на картинке
Есть какие то нюансы?...
Актуально, вот попробуйте для эмулятора эту версию XPOSED
 

Вложения

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Сертификат с фидлера экспортируется я так понимаю и ставится на мобилу. Последняя версия фидлера будет снифать, какой андроид будет работать 7 8 или 9 будут? А то в эмуляторе мему на 9 сертификат не поставить.
До 7 андроида как я знаю работает xposed, если выше то там magisk и lsposed
 

frion-seo

Client
Регистрация
27.02.2011
Сообщения
499
Благодарностей
450
Баллы
63

blackbyte

Client
Регистрация
05.09.2022
Сообщения
162
Благодарностей
93
Баллы
28
Какой копипаст?
Все работает нормально
Для 7 как ни странно работает, но у Xposed репозиторий мёртв и на 9 уже не поставишь.
SSLunpiping модуль не актуален на 2022 г.
 

турист

Client
Регистрация
18.09.2022
Сообщения
22
Благодарностей
3
Баллы
3
Для 7 как ни странно работает, но у Xposed репозиторий мёртв и на 9 уже не поставишь.
SSLunpiping модуль не актуален на 2022 г.
Что значит не актуален? Не делает unpiping приложения? А другие модули где-нибудь можно достать? Я в свое время не нашел, репозиторий да, мёртв, но можно же просто вручную поставить модуль, он apk-файл. Проделывал все это на нокс, андроид 5 по компиляции мутных схем с инета), да вскрывает, работает все очень нестабильно, в том же ЯРУС денег не обнаружено) Буду пробовать мему, андроид 7, тема интересная
 

blackbyte

Client
Регистрация
05.09.2022
Сообщения
162
Благодарностей
93
Баллы
28
Что значит не актуален? Не делает unpiping приложения? А другие модули где-нибудь можно достать? Я в свое время не нашел, репозиторий да, мёртв, но можно же просто вручную поставить модуль, он apk-файл. Проделывал все это на нокс, андроид 5 по компиляции мутных схем с инета), да вскрывает, работает все очень нестабильно, в том же ЯРУС денег не обнаружено) Буду пробовать мему, андроид 7, тема интересная
Нормальные приложения точно не осилит этот модуль )
Уже давно есть множество других способов. Нужно искать ) а если не хочется искать, то за $ купить готовые решения )
 

турист

Client
Регистрация
18.09.2022
Сообщения
22
Благодарностей
3
Баллы
3
Нормальные приложения точно не осилит этот модуль )
Уже давно есть множество других способов. Нужно искать ) а если не хочется искать, то за $ купить готовые решения )
Нормальные приложения зашифрованы по самые помидоры, их ничего не возьмет кроме может декомпиляции, но это уже слишком для манимейкинга) Вся надежда только на слабозащищеные)
 

marushin

Client
Регистрация
12.01.2015
Сообщения
184
Благодарностей
55
Баллы
28
Меняем fiddler на Burp suite, Xposed/SLUnpinning на Frida - вот вам и ещё одна статья про снятия серта с андроид.
Back to 2018...
 

ex3maL

Client
Регистрация
22.05.2020
Сообщения
359
Благодарностей
267
Баллы
63
Xposed мёртв. Модуль SSLunpining уже давно не актуален.
он не мертв, но сдк так старые, на новые устройства со свежим ведром уже такое себе. нужны форки как минимум

Какой копипаст?
Все работает нормально
статья уже была на форуме, 1 в 1 прям. ничего нового тут нет
кто такие статьи пускает вообще? для массовки чтоли

трубка старая - это раз
хпосед уже поставлен (а значит там древнее сдк) - много приложений уже могут не поехать - напишет "устройство не поддерживается" и все в таком роде
как его ставить на данный момент когда репо умер - нет инфы это минус для статьи
крч мрак!
 

Aleksandr3309

Client
Регистрация
06.11.2019
Сообщения
26
Благодарностей
4
Баллы
3
После ввода ip port ви фи соединение оно стало без доступа к интернету
 

Aleksandr3309

Client
Регистрация
06.11.2019
Сообщения
26
Благодарностей
4
Баллы
3
Сертификаты поставили на пк и телефон?
Порт в фидлере стоит 8888?
Вроде заработало когда выбрал при установки сертификата на андроид wifi

Только в фидлере трафик и ПК и телефона все в кучу идет , можно как то выбрать чтоб только телефона показывал?)
 

Aleksandr3309

Client
Регистрация
06.11.2019
Сообщения
26
Благодарностей
4
Баллы
3
и как можно отснифать приложение для которого нужны прокси ( либо переезд в другую страну где оно не заблочено )
 

MaxMan

Client
Регистрация
15.02.2021
Сообщения
93
Благодарностей
77
Баллы
18
Вопрос к автору: метод из бонуса работает только на старых версиях андроид или и на новых тоже?
И чей номер высвечивается как отправитель?
 

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Вопрос к автору: метод из бонуса работает только на старых версиях андроид или и на новых тоже?
И чей номер высвечивается как отправитель?
На всех где установлен xposed (xposed можно установить до 7 версии андроид)
Номер не высвечивается и сообщение не сохраняется после нажатия кнопки "закрыть"
 

MaxMan

Client
Регистрация
15.02.2021
Сообщения
93
Благодарностей
77
Баллы
18
Получается, что если не установлен xposed , то прислать такое сообщение мы не сможем?
Вопрос по основной статье: какая система у вас была на устройстве?
 

kane16

Client
Регистрация
04.01.2021
Сообщения
56
Благодарностей
96
Баллы
18
Получается, что если не установлен xposed , то прислать такое сообщение мы не сможем?
Вопрос по основной статье: какая система у вас была на устройстве?
Верно. Адроид 5
 

Кто просматривает тему: (Всего: 1, Пользователи: 0, Гости: 1)