WinDivert+MITM实现https流量透明

最新推荐文章于 2024-06-26 11:31:03 发布
最新推荐文章于 2024-06-26 11:31:03 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: 爱好 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/121281828
版权

1.背景

自己想了解一下Https如何透明,于是找到了这个项目,但是需要自己把流量定位到8080端口。windows是支持代理流量的,常见的代理方式是修改internet setting(某不愿透露姓名的哥儿说SSR也是通过这种方式代理本地的流量),如下图所示。

接着简单分析一下这个代理服务器是如何实现。通过ProMon不难发现,iexplore是通过修改注册表的方式实现的。

那么我们怎么通过API来指定自己的代理服务器,这里通过栈回溯,发现使用的是WININET.dll下的InternetSetOptionW。

这里自己假装去找一下MSDN的定义,了解一下怎么使用这个API

2.如何自己转发流量

上述的方式可以代理当前计算机产生的流量,mitmproxy也能成功的实现https的透明化,但是有几个问题需要了解和注意:

1、修改windows代理的方式比较简单,但是也容易被其他人修改。

2、https透明需要本地安装根证书的。

3、怎么让流量走到我们设置的代理服务器。

在对上述问题有一个基本了解之后,开始查找资料。

3.使用WinDivert进行端口重定向

对https有点了解的朋友都知道,https使用的是443端口,那么我们只需要转发自己的443端口到代理服务器的端口不就行了吗?是的就是这么简单。下面是r3使用WinDivert转发端口的代码

#include <winsock2.h>
#include <windows.h>
#include <ctype.h>
#include <stdio.h>
#include <stdlib.h>
#include <iostream>
#include <map>
#include "windivert.h"

#define MAXBUF          WINDIVERT_MTU_MAX

//结构体使用的是 https://github.com/zliu-fd/WinDivertProxy
struct EndPoint {
	UINT32 addr;
	USHORT port;
	bool operator<(const EndPoint& ep) const { return (addr < ep.addr || (addr == ep.addr && port < ep.port)); }
	bool operator==(const EndPoint& ep) const { return (addr == ep.addr && port == ep.port); }
	bool operator>(const EndPoint& ep) const { return (addr > ep.addr || (addr == ep.addr && port > ep.port)); }
	EndPoint() { }
	EndPoint(UINT32 _addr, USHORT _port)
	{
		addr = _addr;
		port = _port;
	}
};

std::string ConvertIP(UINT32 addr)
{
	in_addr in_addr;
	in_addr.S_un.S_addr = addr;
	char* pAddr = inet_ntoa(in_addr);
	std::string ipaddr(pAddr);
	return ipaddr;
}

void LogRedirect(UINT32 srcAddr, USHORT srcPort, UINT32 proxyAddr, USHORT proxyPort, UINT32 dstAddr, USHORT dstPort, int direction) 
{
	if (direction == 0)
	{
		std::cout << "O Redirect ";
		std::cout << "[" << ConvertIP(srcAddr) << ":" << ntohs(srcPort) << "  " << ConvertIP(dstAddr) << ":" << ntohs(dstPort) << "]";
		std::cout << " -> [" << ConvertIP(srcAddr) << ":" << ntohs(srcPort) << "  " << ConvertIP(proxyAddr) << ":" << ntohs(proxyPort) << "]" << std::endl;
	}
	else if (direction == 1)
	{
		std::cout << "I Received ";
		std::cout << "[" << ConvertIP(proxyAddr) << ":" << ntohs(proxyPort) << "  " << ConvertIP(dstAddr) << ":" << ntohs(dstPort) << "]";
		std::cout << " -> [" << ConvertIP(srcAddr) << ":" << ntohs(srcPort) << "  " << ConvertIP(dstAddr) << ":" << ntohs(dstPort) << "]" << std::endl;
	}
	else 
	{
		std::cout << "X Error ";
	}
}

std::map<EndPoint, EndPoint> ClientToServerMap;

int main()
{
	PVOID payload = NULL;
	UINT payload_len = NULL;
	UINT packet_len = NULL;
	unsigned char packet[MAXBUF];
	WINDIVERT_ADDRESS addr = { 0 };
	PWINDIVERT_IPHDR ip_header = NULL;
	PWINDIVERT_TCPHDR tcp_header = NULL;

	//代理服务器,不支持本地
	UINT32 ProxyAddr = inet_addr("");
	USHORT ProxyPort = htons(8080);

	//发往443端口和从8080端口返回的数据都会被拦截下来
	HANDLE handle = WinDivertOpen(
		"(outbound and tcp.DstPort == 443) or (inbound and tcp.SrcPort == 8080)",
		WINDIVERT_LAYER_NETWORK, 0, 0);

	if (handle == INVALID_HANDLE_VALUE)
		return 0;

	while (1)
	{
		//这里一直在接收数据包
		if (!WinDivertRecv(handle, packet, sizeof(packet), &packet_len, &addr))
		{
			printf("failed to read packet (%d) \n", GetLastError());
			continue;
		}

		WinDivertHelperParsePacket(packet, packet_len, &ip_header, NULL, NULL, NULL, NULL, &tcp_header, NULL, &payload, &payload_len, NULL, NULL);
		if (ip_header == NULL || tcp_header == NULL)
		{
			printf("failed to parse packet (%d) \n", GetLastError());
			continue;
		}

		if (addr.Outbound)//出去的数据
		{
			if(tcp_header->DstPort == htons(443))
			{
				EndPoint srcEndPoint(ip_header->SrcAddr, tcp_header->SrcPort);
				EndPoint dstEndPoint(ip_header->DstAddr, tcp_header->DstPort);
				ClientToServerMap[srcEndPoint] = dstEndPoint;

				LogRedirect(ip_header->SrcAddr, tcp_header->SrcPort, ProxyAddr, ProxyPort, ip_header->DstAddr, tcp_header->DstPort, 0);

				//指定到代理服务器
				ip_header->DstAddr = ProxyAddr;
				tcp_header->DstPort = ProxyPort;
			}
		}
		else//进来的数据
		{
			if (tcp_header->SrcPort == ProxyPort)
			{
				//接收到代理服务器发送的数据
				EndPoint dstEndPoint(ip_header->DstAddr, tcp_header->DstPort);

				if (ClientToServerMap.find(dstEndPoint) != ClientToServerMap.end())
				{
					EndPoint originalDstEP = ClientToServerMap[dstEndPoint];
					ip_header->SrcAddr = originalDstEP.addr;
					tcp_header->SrcPort = originalDstEP.port;

					LogRedirect(ip_header->SrcAddr, tcp_header->SrcPort, ProxyAddr, ProxyPort, ip_header->DstAddr, tcp_header->DstPort, 1);
				}

			}
		}

		WinDivertHelperCalcChecksums(packet, packet_len, &addr, 0);
		UINT writeLen = NULL;
		if (!WinDivertSend(handle, packet, packet_len, &writeLen, &addr))
		{
			printf("failed to send packet (%d) \n", GetLastError());
			continue;
		}

	}

	return 0;
}

这里需要注意的是不能使用本地的IP地址,因为443端口的数据会被全部转发到8080,导致本地的代理服务器的https请求也发不出去,形成一个闭环。

还有就是根证书问题,需要在需要https透明的主机上安装,建议使用静默安装。

证书管理器工具 (Certmgr.exe) | Microsoft Docs

当然https还有很多需要注意的细节(比如为什么要安装CA、https通信又是如何保证安全的、Http1和Http2又有说明区别、MITM又是怎么实现中间人的、SSLStrip如何实现https的降级),这里不谈,主要是自己水平有限。

最后成功透明化了流量。

 

被遗弃的庸才
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
WinDivertProxy:通过 WinDivert 将任何程序代理到特定服务器
07-04
WinDivertProxy 通过 WinDivert 将任何程序代理到特定服务器
Https流量透明
被遗弃的庸才博客
06-07 1073
WinDivert-openssl-https流量透明
https抓包-中间人攻击原理(MITM)
最新发布
wuyongfan6589的博客
06-26 1121
httphttps,无疑是安全性上很大的一次升级,我们想搞清楚https抓包的原理,我们可首先回顾一下httphttps的过程。
驱动层改包神器windivert
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-16 1361
windivert主要运行在内核层,但是最重要的是,windivert为开发者提供了应用层的接口,通过这些应用层接口,开发者可以实现windows平台上数据包的任意修改。不过需要注意的是:windivert只能修改ip层以及以后的tcp层(udp层)和数据部分的内容,而不能修改mac层以及相对应的链路层。虽然wireshark可以做到修改数据包中的任意内容(包括mac层),本文简要介绍windows下驱动层kit开发包windivert的改包操作。
超好用的网络抓包框架(Windivert)之一(介绍)
热门推荐
caicaptain
07-30 1万+
一种网络抓包,修盖包的框架
使用WinDivert抓包,开发windows弱网工具(C++版)
qq_17347313的博客
06-30 5010
介绍 WinDivert最简单的接入教程,以及使用的一些心得 目录介绍前言一、WinDivert是什么?二、使用步骤1.下载库2.接入项目3.使用测试:总结 前言 -最近开发的实时战斗游戏,在国外某国测试了,有很多其他国家的也想体验,通过梯子来到了我们游戏,我们发现他们在直播玩的时候,拉扯很严重,延迟较高,我们当时在这种极度弱网下表现并不是很好,因此打算找一个弱网工具模拟这种情况。经过分析,我发现主要原因在于UDP包的堆积,然后大量同时到达导致。 曾经用过一个叫NEWT(Network Emulator
Windivert:可抓包,修改包,对比WinTun,shadowsocks-windiver
sun007700的专栏
07-22 1516
Windivert
WinDivert+VS2015——安装、学习、示例
jmhIcoding
02-22 7636
背景 导师布置一个主动测量的小任务: 在windows是实现主动修改某特定进程发出的IP数据包的IPID字段。 这个任务,说简单不简单,说复杂不复杂。主要是解决两个问题: 如何确定特定进程的数据包?简单起见能确定到传输层就行。 如何修改特定的数据包? 关键在于如何拦截ip层的数据包,并修改它。因为修改是对流的“主动”行为,winpcap类似的东西是做不来的。而且因为需要修改的是IP层的东西...
winDivert手册
06-27
winDivert手册 翻译版
divert-go:转到WinDivert的绑定
03-31
转到绑定 ...支持WinDivert 2.x 可选的CGO支持以消除WinDivert.dll的依赖性,请使用-tags="divert_cgo" 支持从rsrc数据加载dll,请使用-tags="divert_embedded" 有关WinDivert的更多详细信息,请参阅 。
WinDivert-2.1.0-A
12-08
WinDivert-2.1.0-A,.NET版本的WinDivert开发源代码。驱动采用divert,包含32和64.
winDivert手册 网络技术.zip
05-16
这种能力对于创建透明代理、流量分析工具或进行网络安全防御至关重要。 4. **过滤器语法**: winDivert 使用一种类似于iptables的过滤器语法,允许开发者定义复杂的规则来决定哪些数据包应该被捕获。过滤器可以...
WinDivert驅動的簡單分析(1)
被遗弃的庸才博客
11-16 1128
。。。 爲什麽你的字體變成了繁體字?因爲按錯了Ctrl+shift+F,於是先將就用幾天看好不好用。不知道會不會持續更新這個,先寫寫看,因爲我比較懶,説不定就不想寫了! 背景 WinDivert是一個開源的基於WFP的網絡驅動,主要用在嗅探、抓包、防火墻,這裏就簡單的分析一下該驅動,因爲自己也沒怎麽接觸過WFP和WDF的驅動編程,文中一定會出現理解或者解釋有誤的地方,我也控制不了! WFP簡介 WFP是windows提供的用來做網絡過濾的一種組件,當然還有tdi、ndis這類傳統的網絡過濾,一般w
超好用的网络抓包框架(Windivert)之三(实例一)
caicaptain
08-01 6008
如果出现编译不通过,请尝试以下方法 1.程序要用管理员权限打开! 并且添加WinDivert头文件 2.添加以下代码:#pragma comment(lib, "winDivert.lib") #pragma comment(lib, "WS2_32.lib")3.在WinDivert-1.2.0-rc-MSVC下查找对应的文件,注意匹配64位和32位 这三个文件需要添加到exe文件同一目录
超好用的网络抓包框架(Windivert)之二(语言)
caicaptain
08-01 5224
1.1基本api WinDivertOpen //1.开启 WinDivertHelperCheckFilter //2.检测过滤条件是否按照规格 WinDivertRecv //3.接收原包 WinDivertHelperParsePacket //4.解析原包信息 WinDivertHelperCalcChecksums //5
超好用的网络抓包框架(Windivert)之五(范例程序的使用-1.3版本)
caicaptain
11-28 2814
1.netdump.exe: 一种基于 WinDivert 滤波器语言的简单数据包嗅探器。此程序采用在命令行中指定的筛选器, 并打印与筛选器匹配的任何数据包的信息。此示例在 “数据包嗅探” 模式中使用 WinDivert, 类似于 winpcap。但是, 与 winpcap 不同的是, WinDivert 可以看到本地 (回送) 数据包。 2.webfilter.exe: 一个简单的 url 黑名...
SSL/TLS安全之——中间人攻击(MITM)浅析
ssoullllll
10-21 7508
首先需要理解SSL/TLS协议的原理,然后我们通过Burpsuite对HTTPS数据包进行抓包,来分析中间人攻击的实现场景。一、SSL握手协议1.客户端生成相关参数-> a)协议版本号 b)随机数(cRandom) c)Client支持的加密方式 -> 将三条信息传输给服务器2.服务器确认并返回服务器参数->确认加密方法 , 给出数字证书,生成sRandom ->将相关信息回传给客户端3.客
中间人环境mitmproxy搭建
至臻求学,胸怀云月
04-03 4933
关于两台虚拟机ubuntu+无线网卡构建中间人mitmproxy环境的搭建说明
selenium+mitm mitm代理详细配置 跳坑必看 If you can see this, traffic is not passing through mitmproxy.
big__banana的博客
11-26 6178
mitm详细配置&代理配置&If you can see this, traffic is not passing through mitmproxy. mitmproxy优点 功能看包上和fiddler,Chrome的浏览器抓包一样强大,都能解析所有信息和响应。但是在解析和操作上,Chrome不能对包数据作任何的更改,fiddler只能按着自带的参数对包进行保存或修改,而无法高度定制,尤其是对python开发者而言。而mitm却是python编写,不需要像mob-browserproxy
python运维,需要拦截win系统上面所有进入或者出去的tcp和http请求如何实现
06-08
要拦截 Windows 系统上所有进入或出去的 TCP 和 HTTP 请求,您可以使用 Python 的第三方库 WinDivert 或 PyDivert。这些库允许您在 Windows 系统上捕获和操作网络数据包。 以下是一些可能的步骤来实现这个目标: 1. 安装 WinDivert 或 PyDivert 库。您可以使用 pip 命令来安装 PyDivert: ``` pip install pydivert ``` 而 WinDivert 库需要手动下载并安装。 2. 使用 WinDivert 或 PyDivert 库创建一个 Divert 对象。Divert 对象允许您捕获和操作网络数据包。您可以使用以下代码创建一个 Divert 对象: ``` from pydivert import WinDivert, WinDivertLayer, WinDivertFlags with WinDivert("tcp.DstPort == 80", layer=WinDivertLayer.Network, flags=WinDivertFlags.SNIFF) as w: for packet in w: # 处理网络数据包 ``` 以上代码将创建一个 Divert 对象,用于捕获所有目标端口为 80 的 TCP 流量。您可以将此条件更改为其他条件来捕获其他类型的流量。 3. 在 Divert 对象的循环中,处理捕获的网络数据包。您可以使用第三方库,如 dpkt 或 scapy,来解析和操作网络数据包。例如,以下代码使用 dpkt 库解析 TCP 流量,获取源和目标 IP 地址和端口: ``` import dpkt with WinDivert("tcp.DstPort == 80", layer=WinDivertLayer.Network, flags=WinDivertFlags.SNIFF) as w: for packet in w: ip = dpkt.ip.IP(packet.raw) tcp = ip.tcp src_ip = dpkt.inet_ntoa(ip.src) dst_ip = dpkt.inet_ntoa(ip.dst) src_port = tcp.sport dst_port = tcp.dport # 处理网络数据包 ``` 您可以使用类似的代码来处理 HTTP 流量。例如,您可以检查 TCP 流量的目标端口是否为 80 或 443,并解析 HTTP 请求和响应。 请注意,拦截和操作网络数据包可能会对系统性能产生影响,并可能需要管理员权限。因此,请小心操作,并确保您的程序不会干扰网络通信或泄露敏感信息。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值