[PYTHON] Essayez de falsifier les demandes de l'iPhone avec Burp Suite

introduction

Utilisez Burp Suite pour falsifier les demandes de l'iPhone Je vais laisser quelque chose comme un mémo tutoriel.

Ce sera une expérience avec iphone et pc connectés dans le même environnement wifi.

Résumé de la procédure facile --Lancement de l'application Web Flask avec Docker

Je le ferai selon le flux de.

environnement

introduction

Soyez prêt à utiliser. J'omettrai l'explication.

Environnement

J'ai publié cette application web expérimentale sur github Je vais l'apporter.

Ce sera une application Web appropriée pour flask.

github url https://github.com/yuucu/burp_test

terminal


git clone https://github.com/yuucu/burp_test.git

Lancer l'application Web

terminal


cd burp_test
docker-compose up --build

Demandez à votre navigateur d'accéder à «http: // localhost: 5000» et Si vous voyez l'application de tableau d'affichage (), le lancement est réussi.

スクリーンショット 2019-12-31 21.03.18.png

Vérifiez également l'accès depuis l'iPhone.

Lancez un autre terminal sur votre PC et vérifiez votre adresse IP privée avec ʻifconfig`.

Pour mac, il existe également une adresse IP privée ici.

スクリーンショット 2019-12-31 21.09.44.png

Quand j'essaye d'accéder avec ʻadresse IP: 5000 (numéro de port) ʻ dans le navigateur de l'iphone Vous devriez voir l'écran ci-dessous.

写真 2019-12-31 21 17 15.jpg

Nous avons confirmé le lancement de l'application Web. Lorsque vous quittez, vous pouvez arrêter le serveur avec ctrl -c.

Configurer un serveur proxy dans Burp Suite

Lancez Burp.

Cliquez sur Proxy-> Options.

スクリーンショット 2020-01-01 20.18.34.png

Sélectionnez-en un et cliquez sur Modifier.

スクリーンショット 2020-01-01 20.20.46.png

Sélectionnez Toutes les interfaces et cliquez sur OK.

スクリーンショット 2020-01-01 20.22.15.png

Si vous pouvez confirmer l'écran suivant en accédant à l'adresse IP précédente: 8080 Le serveur proxy est en cours d'exécution.

写真 2020-01-02 1 49 58.jpg

paramètres proxy iPhone

Configurez la communication de l'iPhone pour qu'elle passe par un serveur proxy.

Appuyez sur le bouton info.

写真 2020-01-02 2 01 16.jpg

Configurez le proxy.

写真 2020-01-02 2 01 55.jpg

Définissez l'adresse IP privée et le numéro de port 8080 du PC.

写真 2020-01-02 2 02 18.jpg

Sauvegardez et vous avez terminé.

Essayez de falsifier la demande

Assurez-vous que le bouton ci-dessous est enfoncé dans Burp. Lorsque ce bouton est enfoncé, il est en mode pour arrêter la communication et vérifier le contenu avec burp.

スクリーンショット 2020-01-02 2.11.05.png

Si vous accédez à l'adresse IP privée du PC: 5000 depuis l'iPhone dans cet état C'est comme suit en rot de pc. Cliquez sur «Suivant» comme vous pouvez le faire passer.

スクリーンショット 2020-01-02 1.57.47.png

Si vous pouvez accéder à l'application Web, essayez d'envoyer un message depuis votre iPhone.

Vérifiez le contenu du côté du rot. Puisque vous pouvez vérifier le contenu publié, essayez de réécrire la valeur.

Cliquez sur Paramètres

スクリーンショット 2020-01-02 2.16.21.png

Modifiez la valeur.

スクリーンショット 2020-01-02 2.16.35.png

Après l'édition, envoyez une communication avec Forward.

スクリーンショット 2020-01-02 2.16.47.png

Lorsque je vérifie l'écran après l'envoi avec l'iphone, Vous pouvez voir que le message falsifié est écrit à la place du message que vous avez envoyé.

en conclusion

Je l'ai écrit à la hâte, alors comprenez qu'il peut être un peu difficile à comprendre. ..

Cette fois, j'ai essayé de falsifier la communication de l'iphone, mais bien sûr, la communication du PC peut être la même.

Si vous le faites de manière malveillante, vous pouvez falsifier le score du jeu et l'envoyer Il est possible de falsifier et de transmettre les informations d'autrui.

Veuillez limiter vos tests à votre propre environnement.

Recommended Posts

Essayez de falsifier les demandes de l'iPhone avec Burp Suite
Essayez de défier le sol par récursif
Essayez d'exploiter Facebook avec Python
Essayez d'extraire une chaîne de caractères d'une image avec Python3
Essayez de profiler avec ONNX Runtime
Essayez de produire de l'audio avec M5 STACK
Du «dessin» à «l'écriture» du diagramme de configuration: essayez de dessiner le diagramme de configuration AWS avec des diagrammes
[Python] Essayez de reconnaître les caractères des images avec OpenCV et pyocr
Essayez de vous connecter à qiita avec Python
Convertir de PDF en CSV avec pdfplumber
Essayez de prédire les fleurs de cerisier avec XG Boost
Essayez de convertir en données ordonnées avec les pandas
Essayez rapidement de visualiser votre ensemble de données avec des pandas
Essayez d'appeler Python depuis Ruby avec une économie
Premier YDK à essayer avec Cisco IOS-XE
Essayez de générer une image avec aliénation
Essayez d'embellir avec Talking Head Anime à partir d'une seule image [préparation python]
Obtenez des utilisateurs appartenant à votre organisation à partir de l'API Garoon REST avec les requêtes Python +
WEB grattage avec python et essayez de créer un nuage de mots à partir des critiques
Essayez de créer votre propre AWS-SDK avec bash
Essayez de résoudre le problème du fizzbuzz avec Keras
Essayez d'agréger les données de musique doujin avec des pandas
Essayez de résoudre le diagramme homme-machine avec Python
Essayez d'extraire le document Azure document DB avec pydocumentdb
Essayez de dessiner une courbe de vie avec python
Essayez de communiquer avec EV3 et PC! (MQTT)
Comment essayer l'algorithme des amis d'amis avec pyfof
Essayez de créer un code de "décryptage" en Python
Essayez de générer automatiquement des documents Python avec Sphinx
Guidage d'itinéraire vers l'emplacement de photographie iPhone avec Pythonista
Traitement asynchrone avec Arduino (traitement des demandes de traitement de Linux de manière asynchrone)
Essayez de créer un groupe de dièdre avec Python
Sauvegarde de QNAP vers Linux avec rsync
De la construction d'environnement Python à la construction d'environnement virtuel avec anaconda
Essayez de rendre le client FTP le plus rapide avec Pythonista
Essayez de détecter les poissons avec python + OpenCV2.4 (inachevé)
Essayez de créer une table d'enregistrement de bataille avec matplotlib à partir des données de "Schedule-kun"
Effectuez une recherche Twitter à partir de Python et essayez de générer des phrases avec la chaîne de Markov.