使用fiddler进行透明代理抓包的一些注意项:修订间差异

来自三线的随记
(创建页面,内容为“{{DISPLAYTITLE:fiddler classic android transparent}} 太久没用透明代理来进行抓包了,今天尝试抓包居然躺了快一个小时,这里做点记录…”)
 
无编辑摘要
 
第13行: 第13行:


=== 注意项 ===
=== 注意项 ===
被劫持设备需要安装导入fiddler生成的CA证书 (废话)
fiddler classic  默认不监听remote computers流量,需要自行在配置中勾选生效
fiddler classic  默认不监听remote computers流量,需要自行在配置中勾选生效


第36行: 第38行:
=== ps ===
=== ps ===


* 安卓系统 7.0 以下版本,不管微信任意版本,都会信任安卓系统提供的证书
* 在 Android7.0 及以上的系统中,每个应用可以定义自己的可信 CA 集集。 默认情况下,应用只会信任系统预装的 CA 证书,而不会信任用户安装的 CA 证书。  无论是 fiddler classic还是 Charles 等软件,想抓 https,都必须手机安装对应的证书,通过 fiddler/Charles 安装的证书恰恰正属于用户安装的 CA 证书,因此会被视作不安全的证书。
*安卓系统 7.0 以下版本,不管微信任意版本,都会信任安卓系统提供的证书
* 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任安卓系统提供的证书
* 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任安卓系统提供的证书
* 安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表
* 安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表
* 苹果手机目前信任系统提供的证书
* 苹果手机目前信任系统提供的证书


关键词
关键词

2023年1月8日 (日) 22:33的最新版本


太久没用透明代理来进行抓包了,今天尝试抓包居然躺了快一个小时,这里做点记录免得以后再躺

场景假设

有一台低于7版本的安卓手机,现在需要利用fiddler进行透明代理抓包微信小程序https的流量

安卓手机IP为 192.168.254.38

运行着fiddler classic的windows电脑IP为 192.168.254.254

一个可以调整iptables的路由器网关IP为 192.168.254.1 (利用路由器的iptables功能进行透明劫持手机的 80 和 443 等流量)

注意项

被劫持设备需要安装导入fiddler生成的CA证书 (废话)

fiddler classic 默认不监听remote computers流量,需要自行在配置中勾选生效

fiddler classic 默认的监听端口不可用作https流量的透明代理端口,所以需要建立一个专门的端口用于监听https流量

可以在fiddler classic的QuickExec工具栏中(左下方的长黑细条)中执行 !listen 8098 * 以实现独立端口监听

* 号代表着https证书的CN值,一般是域名,如果是透明代理的话,使用*即可。如果已知捕获目标,需要定向捕获某个domain的https流量的话可以替换,如 !listen 8098 baidu.com

重要的是,如果使用 * 进行建立https透明监听端口的话,需要再执行一次 prefs set fiddler.network.https.SetCNFromSNI true 以实现根据SNI动态https证书生成(不然被劫持的客户端会报证书CN错误)

fiddler.network.https.SetCNFromSNI 配置更改以后需要重启fiddler classic才可以生效,查看所有fiddler classic配置可以执行about:config 查看

实施细节

在路由器上执行

iptables -t nat -I PREROUTING -p tcp --dport 443 -s 192.168.254.38 -j DNAT --to-destination=192.168.254.254:8098   # HTTPS流量
iptables -t nat -I PREROUTING -p tcp --dport 80 -s 192.168.254.38 -j DNAT --to-destination=192.168.254.254:8080   # HTTP流量,8080端口自行根据实际情况修改
iptables -t nat -I POSTROUTING -s 192.168.254.38 -d 192.168.254.254 -j MASQUERADE # SNAT以保持会话五元组不被破坏

如无意外,这样就能在fiddler classic中看到安卓手机上劫持的流量

ps

  • 在 Android7.0 及以上的系统中,每个应用可以定义自己的可信 CA 集集。 默认情况下,应用只会信任系统预装的 CA 证书,而不会信任用户安装的 CA 证书。 无论是 fiddler classic还是 Charles 等软件,想抓 https,都必须手机安装对应的证书,通过 fiddler/Charles 安装的证书恰恰正属于用户安装的 CA 证书,因此会被视作不安全的证书。
  • 安卓系统 7.0 以下版本,不管微信任意版本,都会信任安卓系统提供的证书
  • 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任安卓系统提供的证书
  • 安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表
  • 苹果手机目前信任系统提供的证书

关键词

  • transparent proxy
  • android