반응형
1. 개요

 

 저 같은 경우 웹/모바일 진단 시, 전송되는 패킷을 가로채 전송/변조하는 Proxy 툴로 Burp Suite를 많이 사용하고 있습니다. 하지만, 특정 모바일 어플리케이션을 진단할 때, Burp 툴로 패킷이 잘 잡히지 않고 매우 느려 진단이 불가능할 정도의 상황이 발견되었습니다. 처음에는 SSL 인증서 문제여서 Pinning을 고려해보았으나, SSL 패킷이 잡히긴 한다는 점에서 다른 방법을 물색해보았습니다. 이러한 경우 Fiddler라는 또 다른 Proxy 툴을 이용하여 패킷을 가로챈 후 Burp로 보내는 방법으로 이를 해결할 수 있습니다. (원리는 잘 모르겠네요ㅠ)

 

2. 방법

 

Step 1. Fiddler Tool Download

>> https://www.telerik.com/download/fiddler

위 링크에서 피들러 툴 다운로드 받기(개인 이메일 주소 필요)

 

Step 2. Fiddler Option Setting

1) PC에 Fiddler 인증서 설치

Fiddler 실행 후 [Tools - Options - HTTPS 탭 - Actions 버튼 - Trust Root Certificate - Yes] 클릭하여 인증서 설치

 

2) HTTPS 패킷 캡쳐 옵션 활성화

[Tools - Options - HTTPS 탭] 에서 "Capture HTTPS CONNECTs", "Decrypt HTTPS traffic" 옵션 선택하여 HTTPS 통신의 패킷을 캡쳐한다. 

 

Step 3. Mobile Device Setting

1) 피들러의 [Tools - Options - Connections 탭] 에서 Fiddler 리슨 포트 확인한다. (디폴트가 8888로 설정)

 

2) PC의 IP 확인 후 모바일에서 프록시 설정 진행

 

3) 모바일 디바이스에서 Fiddler 인증서 설치

모바일 브라우저에서 [컴퓨터 IP:Fiddler listen port](192.168.0.115:8888)로 접근 후 [Fiddler Root certificate] 버튼 클릭하여 인증서 설치

※ 왼쪽의 Fiddler Echo Service 화면이 나오지 않는 경우, PC에서 피들러 툴을 끈다음 다시 실행 후 재접근!

 

Step 4. Fiddler & Burp Connect

1) 피들러의 [Tools - Options - Connections 탭]에서 "Allow remote computers to connect" 체크하여 활성화

 

2) Burp Suite를 실행한 후 [Proxy - Options - Proxy Listeners] 메뉴에 "All interfaces"로 피들러와 연결할 포트 설정

 

3) 다시 피들러의 [Tools - Options - Gateway 탭 - Manual Proxy Configuration] 설정

 

4) 피들러 툴 재시작

 

Fiddler에서만 패킷이 잡히고 Burp에서는 잡히지 않는 경우

Fiddler의 [Tools - Options - Gateway 탭]에서 "No Proxy" 체크 후 저장 → Fiddler 재시작 후 Step 4의 3) 재설정(피들러의 [Tools - Options - Gateway 탭 - Manual Proxy Configuration] 설정)

 

 

3. 결론

 

즉, 그림으로 쉽게 표현하면 아래와 같습니다(위의 세팅으로 설정한 경우)

 

모바일 디바이스의 패킷을 Burp Suite 툴로 바로 캡쳐하는 경우 속도가 매우 느리지만(경우에 따라 다름),

중간에 Fiddler 툴을 두어 속도를 향상시킬 수 있습니다.

반응형
반응형

모의해킹이나 취약점 진단 업무를 수행하다 보면 서버 측의 방화벽으로 인해 IP 주소가 차단되는 경우가 있습니다.

 

이러한 경우 지속적으로 IP 주소를 변경하는 작업이 필요한데요,

 

Ultra Surf 툴과 Tor Browser를 이용해서 IP 주소를 우회해보고, Proxy 설정까지 해보도록 하겠습니다.

 

우선, 제 컴퓨터의 IP 주소를 확인해보면

39.xx 이며 위치 또한 한국인 것을 알 수 있습니다.

 

방법 1. Ultra Surf

Step 1) Ultra Surf 툴 다운로드 및 실행

Ultra Surf 홈페이지 >> https://ultrasurf.us/ 왼쪽의 링크를 통해 들어가신 후 우측 상단의 Free Download를 클릭하면

"u.zip" 파일이 다운로드 됩니다.

Ultra Surf는 무설치 프로그램이기 때문에 "u.zip" 압축을 푸신 후 실행파일을 더블 클릭하는 것 만으로 실행시킬 수 있습니다.

 

Ultra Surf 프로그램을 실행하면, 자동으로 서버와 연결시켜 줍니다.

기본적으로 9666 포트 또한 Listen 하고 있는 상태입니다.

 

Step 2) 우회된 IP 주소 확인

단순히 Ultra Surf 파일을 실행하는 것 만으로 IP 주소가 변경된 것을 확인할 수 있습니다.

 

위와 같이 원래 저의 IP 39.xx(한국)이 아닌 미국 IP 주소로 변경되었습니다.

 

Step 3) Burp Suite Configuration Setting

Burp Suite 툴을 이용해 Proxy 서버를 통해 전송되는 패킷을 잡아보도록 하겠습니다.

[User option - Upstream Proxy Server - Add] 메뉴에 들어가서 아래와 같이 세팅합니다.

 

Step 4) Packet Intercept 확인

우회된 IP 주소를 이용해 전송되는 Request 와 Response가 정상적으로 잡히는 것을 확인할 수 있습니다.

 

방법 2. Tor Browser

Step 1) Tor Browser 다운로드 및 실행

Tor 홈페이지 >> https://www.torproject.org/download/ 왼쪽 링크로 들어간 후 윈도우 용 토르 브라우저를 다운로드 합니다.

 

다운로드 후 설치 진행하고 토르 브라우저를 실행시킵니다.

 

Step 2) 우회된 IP 주소 확인(Tor Browser)

Tor 또한 단순히 토르 브라우저를 사용하는 것 만으로도 IP 주소가 변경된 것을 확인할 수 있습니다.

 

원래의 제 컴퓨터 IP 39.xx(한국)이 아닌 미국 IP 주소로 변경되었습니다.

 

Step 3) Tor Configuration Setting

[메뉴 - options - Advanced] 에 들어가 토르의 Socks5 설정을 아래와 같이 세팅해줍니다.

 

Step 4) Burp Suite Configuration Setting

이번에는 Burp Suite 툴에서 설정 세팅을 진행합니다.

[User option - Socks Proxy] 메뉴에서 Use SOCKS proxy를 체크하고 아래와 같이 설정해줍니다.

Do DNS looksups over SOCKS proxy 또한 체크해줍니다.

 

 

Step 5) 우회된 IP 주소 확인(Chrome)

Socks 포트를 열어주면 이제 Chrome 등의 타 브라우저에서 IP 주소가 변경된 것을 확인할 수 있습니다.

Chrome 브라우저에서 IP 정보를 확인한 것입니다. 한국 IP 주소가 아닌 미국으로 변경되어 있습니다.

 

 

Step 6) Packet Intercept 확인

우회된 IP 주소를 이용해 전송되는 Request 와 Response가 정상적으로 잡히는 것을 확인할 수 있습니다.

 

※ 악용금지!!  

반응형

+ Recent posts

반응형
반응형