前言
在上一篇文章BaseProxy:異步http/https代理中,我介紹了自己的開源項目BaseProxy狞贱,這個項目的初衷其實是為了滲透測試刻获,抓包改包。在知識星球中瞎嬉,有很多朋友問我這個項目的原理及實現(xiàn)代碼蝎毡,本篇文章就講解一下和這個項目相關(guān)的HTTPS的中間人攻擊。
HTTPS隧道代理
HTTPS隧道代理簡單來說是基于TCP協(xié)議數(shù)據(jù)透明轉(zhuǎn)發(fā)佑颇,在RFC中顶掉,為這類代理給出了規(guī)范,Tunneling TCP based protocols through Web proxy servers挑胸。瀏覽器客戶端發(fā)送的原始 TCP 流量痒筒,代理發(fā)送給遠端服務(wù)器后,將接收到的 TCP 流量原封不動返回給瀏覽器。交互流程如下圖所示:
以連接百度為例簿透,瀏覽器首先發(fā)起 CONNECT 請求:
CONNECT baidu.com:443 HTTP/1.1
代理收到這樣的請求后移袍,根據(jù) host 地址與服務(wù)器建立 TCP 連接,并返回給瀏覽器連接成功的HTTP 報文(沒有報文體):
HTTP/1.1 200 Connection Established
瀏覽器一旦收到這個響應(yīng)報文老充,就可認為與服務(wù)器的 TCP 連接已打通葡盗,后續(xù)可直接透傳。
在BaseProxy項目中啡浊,https=False是對于https實行透傳觅够。
HTTPS中間人攻擊
HTTPS 代理本質(zhì)上是隧道透傳,僅僅是轉(zhuǎn)發(fā) TCP 流量巷嚣,無法獲取其中的GET/POST請求的具體內(nèi)容喘先。這就很麻煩,現(xiàn)在 HTTPS 越來越普遍廷粒,做安全測試也就拿不到 HTTP 請求窘拯。那怎么做呢? 代理需要對 TCP 流量進行解密坝茎,然后對明文的HTTP請求進行分析涤姊,這樣的代理就稱為HTTPS中間人。
正常的HTTPS隧道
在上圖中嗤放,隧道代理負責瀏覽器和服務(wù)器之間的TCP流量的轉(zhuǎn)發(fā)思喊。
HTTPS中間人
如果需要對TCP流量進行分析和修改,就要將上圖中的代理功能一分為二次酌,即代理既要當做TLS服務(wù)端搔涝,又要當做TLS客戶端,如下圖所示和措。
在上圖中,用一個 TLS 服務(wù)器偽裝成遠端的真正的服務(wù)器蜕煌,接收瀏覽器的 TLS 流量派阱,解析成明文。這個時候可以對明文進行分析修改斜纪,然后用明文作為原始數(shù)據(jù)贫母,模擬 TLS 客戶端將原始數(shù)據(jù)向遠端服務(wù)器轉(zhuǎn)發(fā)。
CA證書問題
CA證書是我當時遇到的坑盒刚,之前沒接觸過腺劣。HTTPS傳輸是需要證書的,用來對HTTP明文請求進行加解密因块。一般正常網(wǎng)站的證書都是由合法的 CA 簽發(fā)橘原,則稱為合法證書。在上圖中,瀏覽器會驗證隧道代理中 TLS 服務(wù)器 的證書:
- 驗證是否是合法 CA 簽發(fā)趾断。
- 驗證該證書 CN 屬性是否是所請求的域名拒名。即若瀏覽器打開
www.baidu.com,則返回的證書 CN 屬性必須是www.baidu.com芋酌。
對于第一點增显,合法的 CA 機構(gòu)不會給我們簽發(fā)證書的,否則HTTPS安全性形同虛設(shè)脐帝,因此我們需要自制CA證書同云,并導(dǎo)入到瀏覽器的信任區(qū)中。
對于第二點堵腹,我們由于需要對各個網(wǎng)站進行HTTPS攔截炸站,因此我們需要實時生成相應(yīng)域名的服務(wù)器證書,并使用自制的CA證書進行簽名秸滴。
BaseProxy源碼分析
通過以上的講解武契,HTTPS中間人的原理已經(jīng)基本清楚,下面簡要地說明一下BaseProxy源碼荡含。
HTTP服務(wù)器
代理其實就是一個HTTPS服務(wù)器咒唆,使用了Python中的HTTPServer類,為了增加異步特性释液,將其放到線程池中全释。
class MitmProxy(HTTPServer):
def __init__(self,server_addr=('', 8788),RequestHandlerClass=ProxyHandle, bind_and_activate=True,https=True):
HTTPServer.__init__(self,server_addr,RequestHandlerClass,bind_and_activate)
logging.info('HTTPServer is running at address( %s , %d )......'%(server_addr[0],server_addr[1]))
self.req_plugs = []##請求攔截插件列表
self.rsp_plugs = []##響應(yīng)攔截插件列表
self.ca = CAAuth(ca_file = "ca.pem", cert_file = 'ca.crt')
self.https = https
def register(self,intercept_plug):
if not issubclass(intercept_plug, InterceptPlug):
raise Exception('Expected type InterceptPlug got %s instead' % type(intercept_plug))
if issubclass(intercept_plug,ReqIntercept):
self.req_plugs.append(intercept_plug)
if issubclass(intercept_plug,RspIntercept):
self.rsp_plugs.append(intercept_plug)
class AsyncMitmProxy(ThreadingMixIn,MitmProxy):
pass
HTTPS請求與響應(yīng)
對HTTP請求的解析與響應(yīng),關(guān)鍵在于ProxyHandle類误债,實現(xiàn)其中的do_CONNECT和do_GET方法浸船,并在do_CONNECT方法中判斷是使用透傳模式還是中間人模式。
class ProxyHandle(BaseHTTPRequestHandler):
def __init__(self,request,client_addr,server):
self.is_connected = False
BaseHTTPRequestHandler.__init__(self,request,client_addr,server)
def do_CONNECT(self):
'''
處理https連接請求
:return:
'''
self.is_connected = True#用來標識是否之前經(jīng)歷過CONNECT
if self.server.https:
self.connect_intercept()
else:
self.connect_relay()
def do_GET(self):
'''
處理GET請求
:return:
'''
......
do_HEAD = do_GET
do_POST = do_GET
do_PUT = do_GET
do_DELETE = do_GET
do_OPTIONS = do_GET
CA證書生成以及代理證書的自簽名
與CA證書相關(guān)的內(nèi)容都放在了CAAuth類中寝蹈。生成CA證書代碼如下:
def _gen_ca(self,again=False):
# Generate key
#如果證書存在而且不是強制生成李命,直接返回證書信息
if os.path.exists(self.ca_file_path) and os.path.exists(self.cert_file_path) and not again:
self._read_ca(self.ca_file_path) #讀取證書信息
return
self.key = PKey()
self.key.generate_key(TYPE_RSA, 2048)
# Generate certificate
self.cert = X509()
self.cert.set_version(2)
self.cert.set_serial_number(1)
self.cert.get_subject().CN = 'baseproxy'
self.cert.gmtime_adj_notBefore(0)
self.cert.gmtime_adj_notAfter(315360000)
self.cert.set_issuer(self.cert.get_subject())
self.cert.set_pubkey(self.key)
self.cert.add_extensions([
X509Extension(b"basicConstraints", True, b"CA:TRUE, pathlen:0"),
X509Extension(b"keyUsage", True, b"keyCertSign, cRLSign"),
X509Extension(b"subjectKeyIdentifier", False, b"hash", subject=self.cert),
])
self.cert.sign(self.key, "sha256")
with open(self.ca_file_path, 'wb+') as f:
f.write(dump_privatekey(FILETYPE_PEM, self.key))
f.write(dump_certificate(FILETYPE_PEM, self.cert))
with open(self.cert_file_path, 'wb+') as f:
f.write(dump_certificate(FILETYPE_PEM, self.cert))
根據(jù)域名實時生成服務(wù)器證書,并對服務(wù)器證書進行自簽名。代碼如下:
def _sign_ca(self,cn,cnp):
#使用合法的CA證書為代理程序生成服務(wù)器證書
# create certificate
try:
key = PKey()
key.generate_key(TYPE_RSA, 2048)
# Generate CSR
req = X509Req()
req.get_subject().CN = cn
req.set_pubkey(key)
req.sign(key, 'sha256')
# Sign CSR
cert = X509()
cert.set_version(2)
cert.set_subject(req.get_subject())
cert.set_serial_number(self.serial)
cert.gmtime_adj_notBefore(0)
cert.gmtime_adj_notAfter(31536000)
cert.set_issuer(self.cert.get_subject())
ss = ("DNS:%s" % cn).encode(encoding="utf-8")
cert.add_extensions(
[X509Extension(b"subjectAltName", False, ss)])
cert.set_pubkey(req.get_pubkey())
cert.sign(self.key, 'sha256')
with open(cnp, 'wb+') as f:
f.write(dump_privatekey(FILETYPE_PEM, key))
f.write(dump_certificate(FILETYPE_PEM, cert))
except Exception as e:
raise Exception("generate CA fail:{}".format(str(e)))
最后
關(guān)注公眾號:七夜安全博客
- 回復(fù)【1】:領(lǐng)取 Python數(shù)據(jù)分析 教程大禮包
- 回復(fù)【2】:領(lǐng)取 Python Flask 全套教程
- 回復(fù)【3】:領(lǐng)取 某學(xué)院 機器學(xué)習 教程
- 回復(fù)【4】:領(lǐng)取 爬蟲 教程
知識星球已經(jīng)50多人了,隨著人數(shù)的增多扭吁,價格之后會上漲密末,越早關(guān)注越多優(yōu)惠。星球的福利有很多:
- 比如上面的教程,已經(jīng)提前在知識星球中分享
- 可以發(fā)表一些問題,大家一塊解決
- 我之后寫的電子書,錄制的教學(xué)視頻笆制,對于知識星球的朋友都是優(yōu)惠的(基本上免費)
- 一些節(jié)假日會給大家發(fā)個紅包或者贈書
