[PYTHON] Versuchen Sie, Anfragen von iPhone mit Burp Suite zu manipulieren
Einführung
Verwenden Sie die Burp Suite, um Anfragen vom iPhone zu manipulieren Ich werde so etwas wie ein Tutorial-Memo hinterlassen.
Es wird ein Experiment mit iPhone und PC sein, die in derselben WLAN-Umgebung verbunden sind.
- Dies ist nur ein Experiment in Ihrer eigenen Umgebung.
- Da die Datei auf Github verbleibt, können Sie in derselben Umgebung experimentieren. Bitte tun Sie dies auf eigenes Risiko. M (_ _) m
Einfache Verfahrenszusammenfassung
- Starten der Kolben-Webanwendung mit Docker
- Starten Sie einen Proxy mit Burp Suite --Proxy-Einstellungen auf dem iPhone
- Versuchen Sie zu manipulieren
Ich werde es nach dem Fluss von tun.
Umgebung
- macOS High Sierra 10.13.6
- Burp Suite Community Edition 2.1.04
Einführung
- burp suite
- docker
Bitte seien Sie bereit zu verwenden. Ich werde die Erklärung weglassen.
Umgebung
Ich habe diese experimentelle Web-App auf github gepostet Ich werde es mitbringen.
Es wird eine geeignete Webanwendung für Kolben sein.
github url https://github.com/yuucu/burp_test
terminal
git clone https://github.com/yuucu/burp_test.git
Starten Sie die Web-App
terminal
cd burp_test
docker-compose up --build
Lassen Sie Ihren Browser auf http: // localhost: 5000 und zugreifen
Wenn Sie die Bulletin Board-Anwendung () sehen können, ist der Start erfolgreich.
Überprüfen Sie auch den Zugriff vom iPhone.
- Der Zugriff ist nur möglich, wenn sich PC und iPhone im selben Netzwerk befinden.
Starten Sie ein anderes Terminal auf Ihrem PC und überprüfen Sie die private IP-Adresse mit "ifconfig".
Für Mac gibt es hier auch eine private IP-Adresse.
Wenn ich versuche, mit dem IP-Browser mit der IP-Adresse 5000 (Portnummer) darauf zuzugreifen Sie sollten den Bildschirm unten sehen.
Wir haben den Start der Webanwendung bestätigt. Beim Beenden können Sie den Server mit Strg -c stoppen.
Einrichten eines Proxyservers in Burp Suite
Starten Sie Burp.
Klicken Sie auf Proxy-> Optionen.
Wählen Sie eine aus und klicken Sie auf Bearbeiten.
Wählen Sie Alle Schnittstellen und klicken Sie auf OK.
Wenn Sie den folgenden Bildschirm bestätigen können, indem Sie auf die vorherige IP-Adresse zugreifen: 8080 Der Proxyserver wird ausgeführt.
iPhone Proxy-Einstellungen
Stellen Sie die iPhone-Kommunikation so ein, dass sie über einen Proxyserver erfolgt.
Tippen Sie auf die Info-Schaltfläche.
Konfigurieren Sie den Proxy.
Stellen Sie die private IP-Adresse und die Portnummer 8080 des PCs ein.
Speichern und fertig.
Versuchen Sie, die Anfrage zu manipulieren
Stellen Sie sicher, dass die Schaltfläche unten in Burp gedrückt wird. Wenn diese Taste gedrückt wird, befindet sie sich im Modus, um die Kommunikation zu beenden und den Inhalt mit Rülpsen zu überprüfen.
Wenn Sie in diesem Zustand vom iPhone aus auf die private IP-Adresse des PCs zugreifen: 5000 Es ist wie folgt in Rülpsen von PC. Klicken Sie auf "Weiterleiten", um es weiterzuleiten.
Wenn Sie auf die Web-App zugreifen können, senden Sie eine Nachricht von Ihrem iPhone.
Überprüfen Sie den Inhalt auf der Rülpsenseite. Versuchen Sie, den Wert neu zu schreiben, da Sie den veröffentlichten Inhalt überprüfen können.
Klicken Sie auf "Params"
Bearbeiten Sie "Wert".
Senden Sie nach der Bearbeitung eine Mitteilung mit "Weiterleiten".
Wenn ich nach dem Senden mit dem iPhone den Bildschirm überprüfe, Sie können sehen, dass die manipulierte Nachricht anstelle der von Ihnen gesendeten Nachricht geschrieben wurde.
abschließend
Ich habe es in Eile geschrieben, bitte haben Sie Verständnis dafür, dass es etwas schwierig zu verstehen ist. ..
Dieses Mal habe ich versucht, die Kommunikation vom iPhone aus zu manipulieren, aber natürlich kann die PC-Kommunikation dieselbe sein.
Wenn Sie es böswillig tun, können Sie die Punktzahl des Spiels verfälschen und senden Es ist möglich, die Informationen anderer zu fälschen und weiterzugeben.
Bitte beschränken Sie Ihre Experimente auf Ihre eigene Umgebung.
- Vergessen Sie nicht, die iPhone-Proxy-Konfiguration nach dem Experiment zu deaktivieren.
Recommended Posts