hacktricks/mobile-pentesting/android-app-pentesting/android-burp-suite-settings.md

6.5 KiB

Configuração do Burp Suite para Android

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥


Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Este tutorial foi retirado de: https://medium.com/@ehsahil/basic-android-security-testing-lab-part-1-a2b87e667533

Adicionar um proxy no Burp Suite para escutar.

Endereço: 192.168.56.1 e Porta: 1337

Escolha a opção Todas as Interfaces.

Adicionando um ouvinte no dispositivo Android.

Configurações → Wi-Fi → SSID com fio (Pressione e segure)

Escolha Modificar rede → Verifique as opções avançadas.

Selecione Proxy para manual

Testando a conexão via http e https usando o navegador do dispositivo.

  1. http:// (funcionando) testado — http://ehsahil.com

2. https:// erro de certificado — https://google.com

Instalando o certificado do burp no dispositivo Android.

Baixe o certificado do burp. — Use sua máquina desktop para baixar o certificado.

https://burp

Clique em CA certificate para baixar o certificado.

O certificado baixado está com a extensão cacert.der e o Android 5.* não o reconhece como arquivo de certificado.

Você pode baixar o arquivo cacert usando sua máquina desktop e renomeá-lo de cacert.der para cacert.crt e colocá-lo no dispositivo Android, e o certificado será adicionado automaticamente em file:///sd_card/downloads.

Instalando o certificado baixado.

Configurações → Segurança → Instalar certificado de cartões SD

Agora, vá para: sdcard → Downloads → Selecione cacert.crt

Agora, nomeie-o como qualquer coisa "portswigger"

Você também precisa configurar o PIN antes de adicionar o certificado. Verificando o certificado instalado usando certificados confiáveis.

Certificados confiáveis → Usuários

Após instalar o certificado dessa maneira, os pontos de extremidade SSL também funcionam corretamente, testados usando → https://google.com

{% hint style="info" %} Depois de instalar o certificado dessa maneira, o Firefox para Android não o usará (com base nos meus testes), portanto, use um navegador diferente. {% endhint %}


Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥