Traffic von Apps sniffen

[Mr.Tr33]

Moin,

ich bin auf der Suche nach einer Möglichkeit den Traffic von Apps zu sniffen, egal ob iOS oder Android. Ich möchte aber jetzt nicht die HTTPS Packets verschlüsselt empfangen sondern eher klar.

Kennt jemand ne Möglichkeit?

[warfley]

Arp poison routing, kann man z.b. mit cain & able erreichen

[alpines]

HTTPS Pakete musst du so oder so selber entschlüsseln, da diese ja auf dem Clienten entschlüsselt werden. Du könntest deinen Rechner als Proxy zwischen dem Server und deinem Handy einrichten und so die Pakete mitlesen.

[Mostey]

[Mr.Tr33]

Ich habe das Thema voll vergessen haha aber jetzt komme ich drauf zurück
Auf iOS ging es problemlos. Jetzt möchte ich, da ich kein Android Gerät habe, Apps in BlueStacks sniffen.

Leider wird auf zich Seiten angegeben, dass man Fiddlers Zertifikat nicht benutzen kann.
Jemand eine Idee wie ich den HTTPS Traffic von Apps sniffen kann?

Oder kann ich einfach ein anderen Android Emulator nehmen? Wenn ja, welchen?

[wielands]

Wenn du den Android Emulator verwendest kann ich dir empfehlen. Die Free Version reicht für deine Verwendung vollkommen aus.

Nach dem Starten der Software kannst du unter 'Proxy' -> 'Options' -> 'CA certificates' das '...#12...' Zertifikat exportieren.
Diese Datei muss die Endung 'crt' haben und auf die SD-Karte des Emulators kopiert werden (z.B. mit '').
Im Einstellungsmenü des Emulators kannst du im Unterpunkt 'Sicherheit' Zertifikate, die auf der SD-Karte liegen, installieren. Für die musst du dann alle Checkboxen auswählen.
Danach kannst du unter den Einstellungen einen Proxy mit der internen IP deines Rechners und dem Port von Burp Suite (meistens 8080) einstellen. In Burp Suite sollte dann der verwendete 'Proxy Listener' alle Interfaces empfangen ('*:8080), 'invisible' sein, das Zertifikat 'per-host' erstellen und den Haken bei 'running' haben.

Dann solltest du den HTTPS Traffic der Android Apps mitlesen können. Sehr gut testen kann man das immer mit dem Android Browser. Falls da 'https://' Verbindungen ohne Fehlermeldungen geöffnet und in Burp Suite angezeigt werden können klappt alles.

Wenn dann Verbindungen verweigert kann es immer noch daran liegen, dass die jeweilige App das Zertifikat überprüft (Stichwort ).
Falls das der Fall ist muss die App vor dem Auswerten noch modifiziert werden .

[Mr.Tr33]

Quote:

Originally Posted by wielands

Wenn du den Android Emulator verwendest kann ich dir empfehlen. Die Free Version reicht für deine Verwendung vollkommen aus.

Nach dem Starten der Software kannst du unter 'Proxy' -> 'Options' -> 'CA certificates' das '...#12...' Zertifikat exportieren.
Diese Datei muss die Endung 'crt' haben und auf die SD-Karte des Emulators kopiert werden (z.B. mit '').
Im Einstellungsmenü des Emulators kannst du im Unterpunkt 'Sicherheit' Zertifikate, die auf der SD-Karte liegen, installieren. Für die musst du dann alle Checkboxen auswählen.
Danach kannst du unter den Einstellungen einen Proxy mit der internen IP deines Rechners und dem Port von Burp Suite (meistens 8080) einstellen. In Burp Suite sollte dann der verwendete 'Proxy Listener' alle Interfaces empfangen ('*:8080), 'invisible' sein, das Zertifikat 'per-host' erstellen und den Haken bei 'running' haben.

Dann solltest du den HTTPS Traffic der Android Apps mitlesen können. Sehr gut testen kann man das immer mit dem Android Browser. Falls da 'https://' Verbindungen ohne Fehlermeldungen geöffnet und in Burp Suite angezeigt werden können klappt alles.

Wenn dann Verbindungen verweigert kann es immer noch daran liegen, dass die jeweilige App das Zertifikat überprüft (Stichwort ).
Falls das der Fall ist muss die App vor dem Auswerten noch modifiziert werden .

Danke für deine Hilfe, aber habe schon andere Emulatoren gefunden womit ich auch Fiddler verwenden kann

Mein neues Problem bei der Geschichte ist, dass ich kein Emulator finde worauf ich die App Fling (message the world oder so) problemlos drauf laufen lassen kann. Die App gibt an, dass meine Position falsch wäre.

[wielands]

Quote:

Originally Posted by Mr.Tr33

Danke für deine Hilfe, aber habe schon andere Emulatoren gefunden womit ich auch Fiddler verwenden kann

Mein neues Problem bei der Geschichte ist, dass ich kein Emulator finde worauf ich die App Fling (message the world oder so) problemlos drauf laufen lassen kann. Die App gibt an, dass meine Position falsch wäre.

Mit dem Genymotion Emulator und klappt das .

[Crossside]

Du kannst dir ganz normal nen Android Smartphone nehmen, es rooten und dann mit wireshark (appstore) den netzwerkverkehr sniffen und dann am handy analyiseren oder aufn pc übertragen und es dort analysieren. Ist dann im PCAP Dateiformat und geht ziemlich gut

grüße

[wielands]

Quote:

Originally Posted by Crossside

Du kannst dir ganz normal nen Android Smartphone nehmen, es rooten und dann mit wireshark (appstore) den netzwerkverkehr sniffen und dann am handy analyiseren oder aufn pc übertragen und es dort analysieren. Ist dann im PCAP Dateiformat und geht ziemlich gut

grüße

Das funktioniert aber nur mit unverschlüsseltem Traffic bzw. nur mit Wireshark + selbsterstellten Zertifikat.

[Crossside]

Quote:

Originally Posted by wielands

Das funktioniert aber nur mit unverschlüsseltem Traffic bzw. nur mit Wireshark + selbsterstellten Zertifikat.

Achso er möchte https traffic sniffen? Ich hatte sein Startpost so interpretiert das er nicht https sondern normalen traffic analysieren möchte.. hm okay das geht glaube mit wireshark aufm android nicht

[Mr.Tr33]

Hallöle

ich bin jetzt zu einem Punkt gekommen wo Fiddler mir den Traffic nicht anzeigt.
Durch ein bisschen suchen und googeln habe ich herausgefunden, dass es ein xmpp Protocol benutzt. Dies kann Fiddler leider nicht mitschneiden.
Gibt es dafür eine Möglichkeit xmpp aus Apps mitzuschneiden?

[Der-Eddy]

Wireshark müsste xmpp dekodieren können
btw. versuchst WhatsApp zu sniffen? In dem Fall kann ich dir sagen das WhatsApp nochmal ne eigene Verschlüsselung benutzt

[Mr.Tr33]

Nee nix WhatsApp
Ja Wireshark habe ich mal angeworfen, aber ich habe bis heute nicht verstanden wie man das richtig benutzt, erst recht nicht für z.B. ein iPhone :/

[wielands]

Mit der Kombination von Genymotion, FakeGPS und BurpSuite konnte ich den Traffic für die App Fling mitlesen.
Soweit ich das sehen kann, werden alle Daten im json-Format abgerufen/gesendet.

pn mich sonst mal, dann kann ich dir ein Beispiel schicken.