这是一篇严肃的技术分享文章,旨在向大家介绍一些网络安全方面的知识,及相关工具的使用。闲话少说,直接进入正题。
实现目标
知乎上经常有各种爆照及钓鱼贴,类似「胸大是一种什么样的体验?」, 「女生有翘臀是什么样的体验?」等。其实大家关心的只有照片,是不是?
我们的目标是在终端输入:
./get.sh 胸大
就能从知乎将胸大(或者其他关键词)相关的话题回答中的图片,一键下载到本地的文件夹中。我试着跑了下脚本,有好多让人看了就脸红😳的照片:
真的是来自知乎。。
着急的同学可以直接在我的公众号(MrPeakTech)回复z,获取可运行的脚本。
准备工作
技术手段:中间人攻击,replay attack。
工具:Mac,装有知乎App的iPhone手机,mitmproxy,mitmdump,grep,wget。
知识储备:http协议,python脚本,基础的安全知识。
实现思路
第一步:使用mitmdump记录知乎App的搜索request,和进入回答的request。
第二步:replay搜索request,hook请求,修改request参数。
第三步:获取搜索结果后,replay回答的request,hook请求,修改request参数。
第四步:使用正则提取回答response中的图片url。
第五步:使用wget将图片下载到指定文件夹。
动手
这次我们的主角是mitmproxy和mitmdump。之前我写过一篇文章介绍如何使用mitmproxy做https抓包。这次要使用到更高阶一点的功能:replay attack。建议先看下我之前那篇文章。
安装mitmproxy
没有安装mitmproxy的同学可以先通过brew安装下:
brew install mitmproxy
安装好之后,在终端启动mitmproxy:
mitmproxy
接下来需要在iPhone上设置http代理:
IP地址填你Mac系统当前的IP,端口默认8080,记住iPhone要和我们的Mac处于同一个局域网中。
如果是第一次使用mitmproxy,需要在iPhone上安装CA证书,打开iPhone Safari,输入地址:mitm.it,在下图中点击Apple安装证书。
这样就配置完毕了,下面我们来记录知乎App的request。
记录App Request
首先我们先打开知乎App,进入搜索界面:
接着启动mitmdump,来记录手机端的https请求,在终端输入:
mitmdump -w raw
回车之后,手机端的请求就都会写进raw文件了。
下面在App端输入关键字「胸大」,点击搜索,翻页(想要结果多点,可以多翻几页)。
这样我们在终端可以看到如下三个被捕捉请求。
有时候我们会捕捉到多余的请求,需要手动删除下,可以先退出mitmdump,然后再终端输入:
mitmproxy -r raw
进入请求的编辑界面,按d可以删除我们不想要的请求,编辑完之后,按w会提示保持到文件,我将请求保持到searchReq文件:
在重复上面的操作,在App端点击进入回答的操作,将单个回答的request保存到文件detailReq。
到这里我们就记录完毕原始请求了!
Replay Attack
经过之前的操作,我们有了两个原始请求文件:searchReq,detailReq。
接下来回放search请求,回放的时候我们还需要hook一个python脚本来修改请求参数。先看下search请求的格式,通过mitmproxy可以查看详情:
GET https://api.zhihu.com/search?excerpt_len=75&q=%E8%83%B8%E5%A4%A7&t=content
这是个非常简单的GET请求,参数格式也一目了然。而且幸运的是知乎的后台即没有做参数的签名,也没有加时间戳来防replay attack。看上去我们只需要替换q=xxx这个参数值即可。所以写段简单的python脚本来替换吧:
class Replacer:
def __init__(self,dst):
self.dst = dst
def request(self,flow):
flow.request.path=flow.request.path.replace("%25E8%2583%25B8%25E5%25A4%25A7", urllib.quote_plus(urllib.quote_plus(self.dst)))
flow.request.path=flow.request.path.replace("%E8%83%B8%E5%A4%A7", urllib.quote_plus(self.dst))
def start():
parser = argparse.ArgumentParser()
parser.add_argument("dst", type=str)
args = parser.parse_args()
return Replacer(args.dst)
脚本很简单,就是将我们输入的关键字urlencode下,再替换原先的参数。
我的系统是python 2.xx,3.xx的encode方法调用有些差别,要注意。
这里有点奇怪的是知乎搜索翻页的接口,将关键字连续urlencode了两次,不知道有神马讲究在里面。不过不管啦,我们继续。
写好脚本(replace_query.py)之后,再写个bash脚本来实施replay attack。这个脚本也是我们的关键执行脚本get.sh:
#!/bin/bash
#replay attack
mitmdump -dd -s "./replace_query.py $1" -znc searchReq -w searchRsp
参数我就不一一解释啦,大家自己看mitmproxy的官方文档,总之这段脚本会回放存在searchReq当中的搜索请求,并执行replace_query.py当中的替换方法,最后将请求的结果存放在searchRsp文件当中。
大家可以先执行这段脚本,看看searchRsp有没有我们想要的请求结果。
chmod +x get.sh
./get.sh 胸大
如果一切正常,我们会看到一段格式规范,结构清晰的json串。类似:
{
"data": [
{
"content": {
"excerpt": "也要表现出来(基本上<em>胸大</em>的人.在<em>大胸</em>的对比下腰都是细的,腰围和胸围一样大的<em>大胸</em>……那种应该不是<em>大胸</em>吧.只是<em>大胸</em>围而已)很多<em>大胸</em>妹子的误区都是喜欢穿宽松的上衣.配合含胸.以为自己",
"url": "https://api.zhihu.com/answers/61382005"
},
肉眼扫描下就可以发现我们的目标是https://api.zhihu.com/answers/61382005。这种url是我们进入回答页面的url,61382005应该就是我们的detail ID号。
接下来我们需要使用grep,写个简单的正则提取出这些ID号。走你:
#extract answer url
cat searchRsp | grep -aoE 'https[^"]*(answers)[^"]*' | sed 's/\\//g' | grep -oE '[0-9]+' > answers
很简单的正则,上面的脚本就将我们的ID号统统提取出来,并写进answers文件。执行下打开answers文件,看看ID有木有。
Replay Answer Request
接下来我们按同样的步骤回放下进入回答的请求。
先看下请求的格式:
GET https://api.zhihu.com/answers/61382005
也是个光秃秃的url,替换ID号就OK拉。上脚本(replace_url.py):
import mitmproxy
import argparse
class Replacer:
def __init__(self,dst):
self.dst = dst
def request(self,flow):
flow.request.path=flow.request.path.replace("61382005", self.dst)
def start():
parser = argparse.ArgumentParser()
parser.add_argument("dst", type=str)
args = parser.parse_args()
return Replacer(args.dst)
很简单的GET请求,替换ID号即可。
接着实施replay attack:
#replay attack
while IFS= read -r p; do
#echo "$p"
mitmdump -dd -s "./replace_url.py $p" -znc detailReq -w detailRsp | grep -aoE 'http[^"]*.jpg' | xargs wget -P ./magic
done < answers
这段bash脚本将之前保存在answers文件中的ID号,一行行读取出来,再通过mitmdump进行replay,并通过replace_url.py替换ID号,最后将结果经过grep过滤,xargs传递给wget来下载,最后文件都会下载到magic目录下。
没有下载wget的同学,可以先通过brew安装下:
brew install wget
到这里所有的工作就完成啦,所以我们有了最后的get.sh:
#!/bin/bash
#replay attack
mitmdump -dd -s "./replace_query.py $1" -znc searchReq -w searchRsp
#extract answer url
cat searchRsp | grep -aoE 'https[^"]*(answers)[^"]*' | sed 's/\\//g' | grep -oE '[0-9]+' > answers
#replay attack
while IFS= read -r p; do
#echo "$p"
mitmdump -dd -s "./replace_url.py $p" -znc detailReq -w detailRsp | grep -aoE 'http[^"]*.jpg' | xargs wget -P ./magic
done < answers
赶紧运行脚本,发挥想象力,感受下知乎爱的供养吧。
安全知识总结:
这里只是给大家提供个思路,我相信还有很多App都有类似的问题,在安全方面投入太少。
这个小工具之所以能成功,是由于:
知乎App的客户端没有做ssl pinning,所以可以通过中间人攻击分析请求。
知乎Server端也没有针对replay attack做任何防范。
大家做App还是要多注意下安全方面的东西,即使上了https,也要做多做一层加密保护。安全方面的工作,做得再多也为过。
我这个脚本对应的账号有可能会被停了,如果失效,可以照着上面的步骤自己做一个:)
最后,温馨提示:在公众号恢复消息z,可以下载脚本。使用方式:
chmod +x get.sh
./get.sh 好好学习
网友评论