Проксирование и перехват трафика приложений macOS

Прокси инструмент icon

Для перех­вата и ана­лиза тра­фика есть отличная ути­лита mitmproxy, а в паре с ProxyChains-ng они спо­соб­ны замит­мить прак­тичес­ки любое при­ложе­ние macOS, которое исполь­зует HTTP.

Еще по теме: Проксирование с помощью 3proxy и SSH

В предыдущей статье мы делали быс­трые али­асы для перек­лючения архи­тек­тур, теперь самое вре­мя их при­менить.

Для переключения меж­ду архи­тек­турами можно сде­лать себе такие али­асы в фай­ле ~/.bashrc или ~/.zshrc:

К сло­ву, под­дер­жку macOS Monterey и M1 в ProxyChains-ng добави­ли сов­сем недав­но — в начале янва­ря 2022 года.

Мы соберем две раз­ные вер­сии биб­лиотек libproxychains4.dylib для работы с обе­ими архи­тек­турами. Боль­шинс­тво прог­рамм уни­вер­саль­ны и ском­пилиро­ваны для двух архи­тек­тур сра­зу (Mach-O universal binary). Нап­ример:

Вер­сии для x86_64 и для ARM пред­назна­чены для работы с при­ложе­ниями, соб­ранны­ми под соот­ветс­тву­ющие архи­тек­туры. Нач­нем с x86_64.

Про­буем, нап­ример с TOR:

От­лично работа­ет для ути­литы curl. Давайте поп­робу­ем сде­лать прок­си для Telegram. Он как раз написан толь­ко под ARM, и нам пот­ребу­ется пересоб­рать proxychains4.

Удос­товерим­ся, что это при­ложе­ние для ARM:

Все так, теперь меня­ем архи­тек­туру:

Пе­ресо­берем ProxyChains-ng:

Здесь я намерен­но не делал make inastall, так как зат­рется пре­дыду­щая вер­сия. Буду запус­кать из пап­ки proxychains-ng. Пос­ле сбор­ки бинар­ник и биб­лиоте­ка лежит в кор­не. Под­коррек­тирую кон­фиг:

Те­перь уста­новим mitmproxy:

Про­верим работу:

Ус­тановим необ­ходимые сер­тифика­ты:

В одной вклад­ке тер­минала запус­каем mitmproxy, в дру­гой — Telegram через proxychains:

Ко­неч­но, помимо «Телег­рама», мы можем перех­ватывать, нап­ример, целый Firefox и смот­реть, куда летят зап­росы самого бра­узе­ра или его рас­ширений:

Перехват трафика приложений macOS

Та­ким обра­зом мы можем проксировать и захватывать тра­фик прак­тичес­ки любых при­ложе­ний для macOS. К сло­ву, для ана­лиза тра­фика на интерфей­се всег­да мож­но исполь­зовать Wireshark, который с вер­сии 3.6.0 стал натив­ным при­ложе­нием для архи­тек­туры ARM.

РЕКОМЕНДУЕМ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий