mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-29 08:01:00 +00:00
182 lines
12 KiB
Markdown
182 lines
12 KiB
Markdown
# Burp Sertifikasını Yükle
|
||
|
||
{% hint style="success" %}
|
||
AWS Hacking'i öğrenin ve pratik yapın:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Eğitim AWS Kırmızı Ekip Uzmanı (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
GCP Hacking'i öğrenin ve pratik yapın: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Eğitim GCP Kırmızı Ekip Uzmanı (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
||
<details>
|
||
|
||
<summary>HackTricks'i Destekleyin</summary>
|
||
|
||
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
|
||
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter**'da **bizi takip edin** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
|
||
|
||
</details>
|
||
{% endhint %}
|
||
|
||
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
|
||
|
||
{% embed url="https://websec.nl/" %}
|
||
|
||
## Sanal Makinede
|
||
|
||
Öncelikle Burp'tan Der sertifikasını indirmeniz gerekiyor. Bunu _**Proxy**_ --> _**Options**_ --> _**Import / Export CA certificate**_ kısmından yapabilirsiniz.
|
||
|
||
.png>)
|
||
|
||
**Sertifikayı Der formatında dışa aktarın** ve **Android**'in **anlayabileceği** bir forma **dönüştürelim.** **Burp sertifikasını AVD'deki Android makinesinde yapılandırmak için** bu makineyi **`-writable-system`** seçeneği ile **çalıştırmanız** gerektiğini unutmayın.\
|
||
Örneğin, şu şekilde çalıştırabilirsiniz:
|
||
|
||
{% code overflow="wrap" %}
|
||
```bash
|
||
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -http-proxy 192.168.1.12:8080 -writable-system
|
||
```
|
||
{% endcode %}
|
||
|
||
Sonra, **burp sertifikasını yapılandırmak için**:
|
||
|
||
{% code overflow="wrap" %}
|
||
```bash
|
||
openssl x509 -inform DER -in burp_cacert.der -out burp_cacert.pem
|
||
CERTHASHNAME="`openssl x509 -inform PEM -subject_hash_old -in burp_cacert.pem | head -1`.0"
|
||
mv burp_cacert.pem $CERTHASHNAME #Correct name
|
||
adb root && sleep 2 && adb remount #Allow to write on /syste
|
||
adb push $CERTHASHNAME /sdcard/ #Upload certificate
|
||
adb shell mv /sdcard/$CERTHASHNAME /system/etc/security/cacerts/ #Move to correct location
|
||
adb shell chmod 644 /system/etc/security/cacerts/$CERTHASHNAME #Assign privileges
|
||
adb reboot #Now, reboot the machine
|
||
```
|
||
{% endcode %}
|
||
|
||
Makine **yeniden başlatmayı tamamladıktan sonra** burp sertifikası kullanılmaya başlanacaktır!
|
||
|
||
## Magisc Kullanımı
|
||
|
||
Eğer cihazınızı **Magisc ile rootladıysanız** (belki bir emülatör), ve Burp sertifikasını yüklemek için önceki **adımları** takip edemiyorsanız çünkü **dosya sistemi salt okunur** ve yazılabilir olarak yeniden bağlayamıyorsanız, başka bir yol vardır.
|
||
|
||
[**Bu videoda**](https://www.youtube.com/watch?v=qQicUW0svB8) açıklandığı gibi:
|
||
|
||
1. **Bir CA sertifikası yükleyin**: Sadece **sürükleyip bırakın** DER Burp sertifikasını **uzantısını** `.crt` olarak değiştirerek mobil cihazda İndirilenler klasörüne kaydedin ve `Sertifika yükle` -> `CA sertifikası` kısmına gidin.
|
||
|
||
<figure><img src="../../.gitbook/assets/image (53).png" alt="" width="164"><figcaption></figcaption></figure>
|
||
|
||
* Sertifikanın doğru bir şekilde kaydedildiğini kontrol etmek için `Güvenilir kimlik bilgileri` -> `KULLANICI` kısmına gidin.
|
||
|
||
<figure><img src="../../.gitbook/assets/image (54).png" alt="" width="334"><figcaption></figcaption></figure>
|
||
|
||
2. **Sistem güvenilir hale getirin**: Magisc modülünü [MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts) (bir .zip dosyası) indirin, **sürükleyip bırakın** telefonunuza, telefonunuzdaki **Magics uygulamasına** gidin ve **`Modüller`** bölümüne geçin, **`Depodan yükle`** seçeneğine tıklayın, `.zip` modülünü seçin ve yüklendikten sonra **yeniden başlatın**:
|
||
|
||
<figure><img src="../../.gitbook/assets/image (55).png" alt="" width="345"><figcaption></figcaption></figure>
|
||
|
||
* Yeniden başlatmadan sonra, `Güvenilir kimlik bilgileri` -> `SİSTEM` kısmına gidin ve Postswigger sertifikasının orada olduğunu kontrol edin.
|
||
|
||
<figure><img src="../../.gitbook/assets/image (56).png" alt="" width="314"><figcaption></figcaption></figure>
|
||
|
||
## Android 14 Sonrası
|
||
|
||
Son Android 14 sürümünde, sistem güvenilir Sertifika Otoritesi (CA) sertifikalarının yönetiminde önemli bir değişiklik gözlemlenmiştir. Önceden, bu sertifikalar **`/system/etc/security/cacerts/`** dizininde bulunuyordu ve root ayrıcalıklarına sahip kullanıcılar tarafından erişilebilir ve değiştirilebilir durumdaydı, bu da sistem genelinde anında uygulama sağlıyordu. Ancak, Android 14 ile birlikte, depolama yeri **`/apex/com.android.conscrypt/cacerts`** dizinine taşınmıştır; bu dizin **`/apex`** yolunun içinde yer almakta olup, doğası gereği değiştirilemezdir.
|
||
|
||
**APEX cacerts yolu**'nu yazılabilir olarak yeniden bağlama girişimleri başarısızlıkla sonuçlanmaktadır, çünkü sistem böyle işlemlere izin vermemektedir. Geçici bir dosya sistemi (tmpfs) ile dizini ayırma veya üstüne yazma girişimleri de değiştirilemezliği aşmamaktadır; uygulamalar dosya sistemi düzeyindeki değişikliklere bakılmaksızın orijinal sertifika verilerine erişmeye devam etmektedir. Bu dayanıklılık, **`/apex`** montajının ÖZEL yayılma ile yapılandırılmasından kaynaklanmaktadır; bu, **`/apex`** dizinindeki herhangi bir değişikliğin diğer süreçleri etkilemediğini garanti eder.
|
||
|
||
Android'in başlatılması, işletim sistemini başlatırken `init` sürecini içerir ve bu süreç aynı zamanda Zygote sürecini de başlatır. Bu süreç, özel bir **`/apex`** montajını içeren yeni bir montaj ad alanı ile uygulama süreçlerini başlatmaktan sorumludur ve böylece bu dizindeki değişikliklerin diğer süreçlerden izole edilmesini sağlar.
|
||
|
||
Yine de, **`/apex`** dizinindeki sistem güvenilir CA sertifikalarını değiştirmek isteyenler için bir çözüm bulunmaktadır. Bu, **`/apex`**'i özel yayılmayı kaldıracak şekilde manuel olarak yeniden bağlamayı içerir ve böylece yazılabilir hale getirir. Süreç, **`/apex/com.android.conscrypt`** içeriğini başka bir yere kopyalamayı, **`/apex/com.android.conscrypt`** dizinini salt okunur kısıtlamasını ortadan kaldırmak için ayırmayı ve ardından içeriği **`/apex`** içindeki orijinal konumuna geri yüklemeyi içerir. Bu yaklaşım, sistem çöküşlerini önlemek için hızlı hareket etmeyi gerektirir. Bu değişikliklerin sistem genelinde uygulanmasını sağlamak için, `system_server`'ı yeniden başlatmak önerilir; bu, tüm uygulamaları etkili bir şekilde yeniden başlatır ve sistemi tutarlı bir duruma getirir.
|
||
```bash
|
||
# Create a separate temp directory, to hold the current certificates
|
||
# Otherwise, when we add the mount we can't read the current certs anymore.
|
||
mkdir -p -m 700 /data/local/tmp/tmp-ca-copy
|
||
|
||
# Copy out the existing certificates
|
||
cp /apex/com.android.conscrypt/cacerts/* /data/local/tmp/tmp-ca-copy/
|
||
|
||
# Create the in-memory mount on top of the system certs folder
|
||
mount -t tmpfs tmpfs /system/etc/security/cacerts
|
||
|
||
# Copy the existing certs back into the tmpfs, so we keep trusting them
|
||
mv /data/local/tmp/tmp-ca-copy/* /system/etc/security/cacerts/
|
||
|
||
# Copy our new cert in, so we trust that too
|
||
mv $CERTIFICATE_PATH /system/etc/security/cacerts/
|
||
|
||
# Update the perms & selinux context labels
|
||
chown root:root /system/etc/security/cacerts/*
|
||
chmod 644 /system/etc/security/cacerts/*
|
||
chcon u:object_r:system_file:s0 /system/etc/security/cacerts/*
|
||
|
||
# Deal with the APEX overrides, which need injecting into each namespace:
|
||
|
||
# First we get the Zygote process(es), which launch each app
|
||
ZYGOTE_PID=$(pidof zygote || true)
|
||
ZYGOTE64_PID=$(pidof zygote64 || true)
|
||
# N.b. some devices appear to have both!
|
||
|
||
# Apps inherit the Zygote's mounts at startup, so we inject here to ensure
|
||
# all newly started apps will see these certs straight away:
|
||
for Z_PID in "$ZYGOTE_PID" "$ZYGOTE64_PID"; do
|
||
if [ -n "$Z_PID" ]; then
|
||
nsenter --mount=/proc/$Z_PID/ns/mnt -- \
|
||
/bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
|
||
fi
|
||
done
|
||
|
||
# Then we inject the mount into all already running apps, so they
|
||
# too see these CA certs immediately:
|
||
|
||
# Get the PID of every process whose parent is one of the Zygotes:
|
||
APP_PIDS=$(
|
||
echo "$ZYGOTE_PID $ZYGOTE64_PID" | \
|
||
xargs -n1 ps -o 'PID' -P | \
|
||
grep -v PID
|
||
)
|
||
|
||
# Inject into the mount namespace of each of those apps:
|
||
for PID in $APP_PIDS; do
|
||
nsenter --mount=/proc/$PID/ns/mnt -- \
|
||
/bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts &
|
||
done
|
||
wait # Launched in parallel - wait for completion here
|
||
|
||
echo "System certificate injected"
|
||
```
|
||
### Bind-mounting through NSEnter
|
||
|
||
1. **Yazılabilir Bir Dizin Kurma**: İlk olarak, mevcut olmayan APEX sistem sertifika dizininin üzerine bir `tmpfs` monte edilerek yazılabilir bir dizin oluşturulur. Bu, aşağıdaki komut ile gerçekleştirilir:
|
||
```bash
|
||
mount -t tmpfs tmpfs /system/etc/security/cacerts
|
||
```
|
||
2. **CA Sertifikalarını Hazırlama**: Yazılabilir dizinin kurulumu sonrasında, kullanılmak istenen CA sertifikaları bu dizine kopyalanmalıdır. Bu, `/apex/com.android.conscrypt/cacerts/` dizininden varsayılan sertifikaların kopyalanmasını içerebilir. Bu sertifikaların izinlerinin ve SELinux etiketlerinin uygun şekilde ayarlanması önemlidir.
|
||
3. **Zygote için Bağlama Montajı**: `nsenter` kullanarak, Zygote'un montaj ad alanına girilir. Zygote, Android uygulamalarını başlatmaktan sorumlu olan süreçtir ve bundan sonraki tüm başlatılan uygulamaların yeni yapılandırılmış CA sertifikalarını kullanmasını sağlamak için bu adım gereklidir. Kullanılan komut:
|
||
```bash
|
||
nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
|
||
```
|
||
Bu, başlatılan her yeni uygulamanın güncellenmiş CA sertifikaları ayarlarına uyacağını garanti eder.
|
||
|
||
4. **Çalışan Uygulamalara Değişiklik Uygulama**: Zaten çalışan uygulamalara değişiklikleri uygulamak için, `nsenter` tekrar kullanılarak her uygulamanın ad alanına ayrı ayrı girilir ve benzer bir bağlama montajı gerçekleştirilir. Gerekli komut şudur:
|
||
```bash
|
||
nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
|
||
```
|
||
5. **Alternatif Yaklaşım - Yumuşak Yeniden Başlatma**: Alternatif bir yöntem, `init` sürecinde (PID 1) bind mount işlemi gerçekleştirmek ve ardından işletim sistemini `stop && start` komutlarıyla yumuşak bir şekilde yeniden başlatmaktır. Bu yaklaşım, değişikliklerin tüm ad alanlarına yayılmasını sağlar ve her bir çalışan uygulamayı ayrı ayrı ele alma ihtiyacını ortadan kaldırır. Ancak, bu yöntem genellikle yeniden başlatmanın getirdiği rahatsızlık nedeniyle daha az tercih edilmektedir.
|
||
|
||
## Referanslar
|
||
|
||
* [https://httptoolkit.com/blog/android-14-install-system-ca-certificate/](https://httptoolkit.com/blog/android-14-install-system-ca-certificate/)
|
||
|
||
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
|
||
|
||
{% embed url="https://websec.nl/" %}
|
||
|
||
{% hint style="success" %}
|
||
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
||
<details>
|
||
|
||
<summary>Support HackTricks</summary>
|
||
|
||
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
||
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
||
|
||
</details>
|
||
{% endhint %}
|