Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ » 11. 12. 2019, 22:36:16
-
Ahoj, potřeboval bych zprovoznit následující věc:
na notebooku, který je přes LAN připojen na net, udělat na něm access point , přes který se bude možné připojit na net.
To není těžké, stačí v windows dát netsh wlan start hostednetwork a v vlastnostech připojení dát sdílení. (Případně pak ve vlastnostech adaptéru ručně připsat IP gateway / DNS - bug)
Ale já chci navíc aby Charles proxy umožnil MITM útok HTTPS (aby na ntb šlo číst https traffic) - odbočka - buď přímo v charles proxy (který z logiky věci vidí dešifrovaný traffic, protože on je ten proxy) a nebo přes wireshark na nějakém (? virtuálním rozhraní, kde dočasně poběží dešifrovaný traffic než se zase zašifruje), ale to nevím, zda jde udělat, jestli takto charles proxy funguje. Nebo za ttřetí zachytávat traffic "ZA proxy" (zašifrovaný známým klíčem charles proxy). Která možnost přichází v úvahu? Ideálně by se mi líbilo přímo v charles proxy to vidět (který umí i modifikovat/zatloukat requesty a response) + raději ještě ve wiresharku
Ale jaké kroky k tomu mám udělat? Je ve windows nějak možné bastlit rozhraní? Nebo jak toto udělat se současnými rozhraními windows (tedy LAN a WIFI-AP, žádný třetí tam není)
A mám zapnout ICS sharing nebo vypnout ? ( bez charlese musí být zapnuté, aby šel net v mobilu)Resp je nějak možné dosáhnout funkcionality mitm proxy s vypnutým ICS("sdílení připojení)?
A jak půjde přepisování? Nebude tam nějaký konflikt, že když se s telefonem připojím na 88.28.76.123 : 80 nebo 8888, tak sdílení internetu bude mít prioritu a rovnou to forwardne na rozhraní LAN, místo toho, aby to zachytil charles?
Otázky:
Když v charles proxy vypnu Proxy-Windows proxy, tak charles proxy je nefunkční? nebo jen vypne konfiguraci proxy pro windows
V charles proxy jsou nikde není možnost volit síťová rozhraní, jak se určí, pro která rozhraní co má jít
co dělá v charles proxy enable transparenty proxying?
co dělá Reverse proxy? pomůže mi v tom co chci?
-je možné to nastavit tak, abych v mobilu nemusel nastavovat proxy hodnoty (HTTP/S proxy že mění IP: Port a do hlavičky Host dává originální IP nebo tak) ? (tedy něco co by se dalo nazvat transparentní nebo přímý režim) rovnou když telefon vyšle HTTPs request na určitou IP v americe, zachytí to charles.
-Pokud bude nutné nastavit proxy (na port 8888), jak zajistit, že nepůjde komunikovat přes port 80 (a kompletně to obejde charles proxy)?
-
Situace musí být asi opravdu zoufalá, když se na Rootu objevují dotazy na windowsí network stack. Šlo by takové dotazy flagovat třeba [WIN] před názvem, že by na to člověk na titulce neklikal?
-
Situace musí být asi opravdu zoufalá, když se na Rootu objevují dotazy na windowsí network stack. Šlo by takové dotazy flagovat třeba [WIN] před názvem, že by na to člověk na titulce neklikal?
Root.cz má v podtitulu "Informace nejen ze světa Linuxu."
-
Pokud si zarizeni, ktera se pres tebe pripojuji, nenainstaluji certifikat te tve proxy, aby mohla fungovat jako SSL/TLS proxy, tak bych rekl, ze mas asi smolika :)
-
Ano, zařízení umožňují importovat certifikát a nastavit proxy. Mě by ale zajímal ten teoretický základ a konkrétní dotazy na Charles proxy (forwarding,reverse, Transparent proxy) Případně ty věci na paketové a síťové úrovni (jestli je Sdílení netu nutné zapínat, má teorie je, že když se připojím na IP počítače a port proxy, tak charles proxy to přepošle pak do netu) a další věc, jak to udělat v bez-proxy režimu) - že na telefon o proxy vůbec nemusí vědět, a nějak na počítači zařídit, aby všechna příchozí připojení (na ip v japonsku třeba) z mobilu šla přes charles proxy, který požadavek zpracuje a zároveň i odpověď předá správně.
Situace musí být asi opravdu zoufalá, když se na Rootu objevují dotazy na windowsí network stack. Šlo by takové dotazy flagovat třeba [WIN] před názvem, že by na to člověk na titulce neklikal?
A proč si to neudělal ty?
-
Situace musí být asi opravdu zoufalá, když se na Rootu objevují dotazy na windowsí network stack. Šlo by takové dotazy flagovat třeba [WIN] před názvem, že by na to člověk na titulce neklikal?
Root.cz má v podtitulu "Informace nejen ze světa Linuxu."
Nicméně tohle je forum.root.cz nikoli root.cz a očekávat tady takové specifické rady ohledně Windows je tak trochu mimo.
-
Nicméně tohle je forum.root.cz nikoli root.cz a očekávat tady takové specifické rady ohledně Windows je tak trochu mimo.
Tomu nějak nerozumím. Forum.root.cz stojí nějak mimo root.cz?
-
Nicméně tohle je forum.root.cz nikoli root.cz a očekávat tady takové specifické rady ohledně Windows je tak trochu mimo.
Tomu nějak nerozumím. Forum.root.cz stojí nějak mimo root.cz?
Forum.root.cz nejsou ty informace nejen ze světa Linuxu. Root.cz je zpravodajský web, forum ne. Ale myslím, že to víte, jen hrajete blbého.
-
Tomu nějak nerozumím. Forum.root.cz stojí nějak mimo root.cz?
Tak vzhledem k tomu, že se k němu extra přihlašuje, tak asi ano.
-
Forum.root.cz nejsou ty informace nejen ze světa Linuxu. Root.cz je zpravodajský web, forum ne. Ale myslím, že to víte, jen hrajete blbého.
Já jenomže i dole pod fórem vidím ten samý nápis.
-
Forum.root.cz nejsou ty informace nejen ze světa Linuxu. Root.cz je zpravodajský web, forum ne. Ale myslím, že to víte, jen hrajete blbého.
Já jenomže i dole pod fórem vidím ten samý nápis.
Jo, který je ale o www.root.cz nikoli forum.root.cz. Hra na blbého pokračuje? No nic, mě už to neba ;)
-
Jo, který je ale o www.root.cz nikoli forum.root.cz. Hra na blbého pokračuje? No nic, mě už to neba ;)
Ani mě ne. Je to podobná argumentace, jako že zakladatel, protektor a beneficient svěřenského fondu v jedné osobě nemá na vložený majetek vliv a zájem na jeho zhodnocování.
Forum patří pod root.cz, není to nezávislá říše o jiném tématu.
-
Tak se mi to podařilo částečně rozchodit. Zbývají 2 problémy:
Aplikace ignorují nastavení proxy v telefonu, takže se snaží lovit DNS 8.8.8.8.
A když se dovzí pravou IP, tak se se snaží připojit na IP na internetu, ?? Telefon vysílá pakety s destination ip internetovou. Ty odchytím jak, aby je zpracoval charles? Zatím se děje to, že telefon dostává odpověď ICMP not reachable. (z wifi ap adaptéru neodpoví na TCP SYN).
-
Takže je kurva nějaká možnost, jak zpracovávat síťové požadavky ze zkoumaného zařízení, které proxy ignorují, že je bude zpracovávat Charles proxy? Existuje na tohle tedy i v linuxu kurva síťové pravidlo nebo nastavení iptables, aby pakety s libovolnout cílovou adresou odchytil program charles proxy, zpracoval a vyslal do internetu?
-
...
REDIRECT a DNAT
-
Takže je kurva nějaká možnost, jak zpracovávat síťové požadavky ze zkoumaného zařízení, které proxy ignorují, že je bude zpracovávat Charles proxy? Existuje na tohle tedy i v linuxu kurva síťové pravidlo nebo nastavení iptables, aby pakety s libovolnout cílovou adresou odchytil program charles proxy, zpracoval a vyslal do internetu?
Ano, podle mě na Linuxu stačí "iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT". (a "echo 1 > /proc/sys/net/ipv4/ip_forward", ale to už asi máš) Stejným způsobem můžeš unášet i ten port 53 pro DNS.
Situace musí být asi opravdu zoufalá, když se na Rootu objevují dotazy na windowsí network stack. Šlo by takové dotazy flagovat třeba [WIN] před názvem, že by na to člověk na titulce neklikal?
A proč si to neudělal ty?
Protože změna titulku odpovědi se už neprojeví ve výpisu témat ani na homepage.
-
. (omyl, furt klikám vedle!)
-
\Tak jsem to zatím zkusil jinak, dle rad jsem do androida nainstaloval 9MEGOVOU appku Drony, co by mělo být proxy, a systémtové proxy nastavil na 127.0.0.1/8020 a v Drony nastavil jeho proxy na původní 192...1.1:8080. Ale nejde mi to... Poradíte, jak tímto způsobem umožnit proxy, aby chodilo na charles proxy? To drony má být vpn
-
Podařilo se mi na BSD pomocí pravidla
echo "rdr pass on bridge100 inet proto tcp from any to any port {80} -> 127.0.0.1 port 8888" | sudo pfctl -ef -
zajistit, aby charles proxy fungoval Transparentně (tzn, že na testovaných zařízeních není potřeba ádné proxy nastavovat).
Ale je zde problém: jak to udělat pro HTTPS? Pokud si navolím
echo "rdr pass on bridge100 inet proto tcp from any to any port {443} -> 127.0.0.1 port 1234" | sudo pfctl -ef -
a v charles proxy zadám u SSL proxying *:1234, pak se vůbec nic neděje.
Jen v wiresharku vidím, jak telefon posílá TCP SYN (na správnou IP, ne na IP 192.168...)
Proč to tedy nejde?
PS:nemám windows.