Traffic von Apps sniffen

Moin,

ich bin auf der Suche nach einer Möglichkeit den Traffic von Apps zu sniffen, egal ob iOS oder Android. Ich möchte aber jetzt nicht die HTTPS Packets verschlüsselt empfangen sondern eher klar.

Kennt jemand ne Möglichkeit?

Arp poison routing, kann man z.b. mit cain & able erreichen

HTTPS Pakete musst du so oder so selber entschlüsseln, da diese ja auf dem Clienten entschlüsselt werden. Du könntest deinen Rechner als Proxy zwischen dem Server und deinem Handy einrichten und so die Pakete mitlesen.

[Only registered and activated users can see links. Click Here To Register...]

Ich habe das Thema voll vergessen haha aber jetzt komme ich drauf zurück :)
Auf iOS ging es problemlos. Jetzt möchte ich, da ich kein Android Gerät habe, Apps in BlueStacks sniffen.

Leider wird auf zich Seiten angegeben, dass man Fiddlers Zertifikat nicht benutzen kann.
Jemand eine Idee wie ich den HTTPS Traffic von Apps sniffen kann?

Oder kann ich einfach ein anderen Android Emulator nehmen? Wenn ja, welchen?

Wenn du den Android Emulator verwendest kann ich dir [Only registered and activated users can see links. Click Here To Register...] empfehlen. Die Free Version reicht für deine Verwendung vollkommen aus.

Nach dem Starten der Software kannst du unter 'Proxy' -> 'Options' -> 'CA certificates' das '...#12...' Zertifikat exportieren.
Diese Datei muss die Endung 'crt' haben und auf die SD-Karte des Emulators kopiert werden (z.B. mit '[Only registered and activated users can see links. Click Here To Register...]').
Im Einstellungsmenü des Emulators kannst du im Unterpunkt 'Sicherheit' Zertifikate, die auf der SD-Karte liegen, installieren. Für die musst du dann alle Checkboxen auswählen.
Danach kannst du unter den Einstellungen einen Proxy mit der internen IP deines Rechners und dem Port von Burp Suite (meistens 8080) einstellen. In Burp Suite sollte dann der verwendete 'Proxy Listener' alle Interfaces empfangen ('*:8080), 'invisible' sein, das Zertifikat 'per-host' erstellen und den Haken bei 'running' haben.

Dann solltest du den HTTPS Traffic der Android Apps mitlesen können. Sehr gut testen kann man das immer mit dem Android Browser. Falls da 'https://' Verbindungen ohne Fehlermeldungen geöffnet und in Burp Suite angezeigt werden können klappt alles.

Wenn dann Verbindungen verweigert kann es immer noch daran liegen, dass die jeweilige App das Zertifikat überprüft (Stichwort [Only registered and activated users can see links. Click Here To Register...]).
Falls das der Fall ist muss die App vor dem Auswerten noch modifiziert werden :).

Quote:

Originally Posted by wielands Wenn du den Android Emulator verwendest kann ich dir [Only registered and activated users can see links. Click Here To Register...] empfehlen. Die Free Version reicht für deine Verwendung vollkommen aus. Nach dem Starten der Software kannst du unter 'Proxy' -> 'Options' -> 'CA certificates' das '...#12...' Zertifikat exportieren. Diese Datei muss die Endung 'crt' haben und auf die SD-Karte des Emulators kopiert werden (z.B. mit '[Only registered and activated users can see links. Click Here To Register...]'). Im Einstellungsmenü des Emulators kannst du im Unterpunkt 'Sicherheit' Zertifikate, die auf der SD-Karte liegen, installieren. Für die musst du dann alle Checkboxen auswählen. Danach kannst du unter den Einstellungen einen Proxy mit der internen IP deines Rechners und dem Port von Burp Suite (meistens 8080) einstellen. In Burp Suite sollte dann der verwendete 'Proxy Listener' alle Interfaces empfangen ('*:8080), 'invisible' sein, das Zertifikat 'per-host' erstellen und den Haken bei 'running' haben. Dann solltest du den HTTPS Traffic der Android Apps mitlesen können. Sehr gut testen kann man das immer mit dem Android Browser. Falls da 'https://' Verbindungen ohne Fehlermeldungen geöffnet und in Burp Suite angezeigt werden können klappt alles. Wenn dann Verbindungen verweigert kann es immer noch daran liegen, dass die jeweilige App das Zertifikat überprüft (Stichwort [Only registered and activated users can see links. Click Here To Register...]). Falls das der Fall ist muss die App vor dem Auswerten noch modifiziert werden :).

Danke für deine Hilfe, aber habe schon andere Emulatoren gefunden womit ich auch Fiddler verwenden kann :)

Mein neues Problem bei der Geschichte ist, dass ich kein Emulator finde worauf ich die App Fling (message the world oder so) problemlos drauf laufen lassen kann. Die App gibt an, dass meine Position falsch wäre.

Quote:

Originally Posted by Mr.Tr33 Danke für deine Hilfe, aber habe schon andere Emulatoren gefunden womit ich auch Fiddler verwenden kann :) Mein neues Problem bei der Geschichte ist, dass ich kein Emulator finde worauf ich die App Fling (message the world oder so) problemlos drauf laufen lassen kann. Die App gibt an, dass meine Position falsch wäre.

Mit dem Genymotion Emulator und [Only registered and activated users can see links. Click Here To Register...] klappt das ;).

Du kannst dir ganz normal nen Android Smartphone nehmen, es rooten und dann mit wireshark (appstore) den netzwerkverkehr sniffen und dann am handy analyiseren oder aufn pc übertragen und es dort analysieren. Ist dann im PCAP Dateiformat und geht ziemlich gut ;)

grüße

Quote:

Originally Posted by Crossside Du kannst dir ganz normal nen Android Smartphone nehmen, es rooten und dann mit wireshark (appstore) den netzwerkverkehr sniffen und dann am handy analyiseren oder aufn pc übertragen und es dort analysieren. Ist dann im PCAP Dateiformat und geht ziemlich gut ;) grüße

Das funktioniert aber nur mit unverschlüsseltem Traffic bzw. nur mit Wireshark + selbsterstellten Zertifikat.

Quote:

Originally Posted by wielands Das funktioniert aber nur mit unverschlüsseltem Traffic bzw. nur mit Wireshark + selbsterstellten Zertifikat.

Achso er möchte https traffic sniffen? Ich hatte sein Startpost so interpretiert das er nicht https sondern normalen traffic analysieren möchte.. hm okay das geht glaube mit wireshark aufm android nicht :D

Hallöle :D

ich bin jetzt zu einem Punkt gekommen wo Fiddler mir den Traffic nicht anzeigt.
Durch ein bisschen suchen und googeln habe ich herausgefunden, dass es ein xmpp Protocol benutzt. Dies kann Fiddler leider nicht mitschneiden.
Gibt es dafür eine Möglichkeit xmpp aus Apps mitzuschneiden?

Wireshark müsste xmpp dekodieren können
btw. versuchst WhatsApp zu sniffen? In dem Fall kann ich dir sagen das WhatsApp nochmal ne eigene Verschlüsselung benutzt

Nee nix WhatsApp :D
Ja Wireshark habe ich mal angeworfen, aber ich habe bis heute nicht verstanden wie man das richtig benutzt, erst recht nicht für z.B. ein iPhone :/

Mit der Kombination von Genymotion, FakeGPS und BurpSuite konnte ich den Traffic für die App Fling mitlesen.
Soweit ich das sehen kann, werden alle Daten im json-Format abgerufen/gesendet.

pn mich sonst mal, dann kann ich dir ein Beispiel schicken.