• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

APK приложение при снифе трафика зависает на капче. Как решить?

Y

YouTwin

Member
16.06.2019
7
0
BIT
14
Всем привет.
Есть приложение, например вот:
Ссылка скрыта от гостей

Там при регистрации есть ReCaptcha.
Трафик спокойно смотрится если использовать frida или xposed + sslunpinning, разницы нет (запрос на login успешно показывает). Но когда доходим до решение капчи то приложение зависает на загрузке картинок для капчи (не показывает запросы качпи, следовательно не узнать site-key и не отправить запрос на регистрацию так как не решили капчу).

Как можно такое решить? Пробовал и с эмулятора смотреть запросы и с реального устройства, не помогло. Абсолютно все приложения стопорятся если есть капча.

Может есть еще какие методы снятие сертификата крмое frida, sslunpinning и trust me already
 
Сортировать по дате Сортировать по голосам
M

M0r7iF3r

Green Team
01.09.2020
92
2
BIT
203
Добавлен ли серт Burp в доверенные на устройстве? Ошибки можно посмотреть во вкладке Event Log в BurpSuite, если есть проблемы с подключением, он обычно говорит.
 
За 1 Против
Y

YouTwin

Member
16.06.2019
7
0
BIT
14
M0r7iF3r сказал(а):
Добавлен ли серт Burp в доверенные на устройстве? Ошибки можно посмотреть во вкладке Event Log в BurpSuite, если есть проблемы с подключением, он обычно говорит.
Нажмите, чтобы раскрыть...
Ошибок нет. А доверенных вроде нет на Galaxy a50 просто можно поставить и всё. (перелазил, ничего про доверенные не нашел)
 
За 0 Против
larchik

larchik

Администратор
07.06.2019
370
417
BIT
186
YouTwin сказал(а):
Ошибок нет. А доверенных вроде нет на Galaxy a50 просто можно поставить и всё. (перелазил, ничего про доверенные не нашел)
Нажмите, чтобы раскрыть...
Выше правильно сказали - добавь сертификат бурпа в доверенные, скорее всего это решит твою проблему. Как это сделать, можно почитать тут:
Ссылка скрыта от гостей
 
За 0 Против
M

M0r7iF3r

Green Team
01.09.2020
92
2
BIT
203
YouTwin сказал(а):
Ошибок нет. А доверенных вроде нет на Galaxy a50 просто можно поставить и всё. (перелазил, ничего про доверенные не нашел)
Нажмите, чтобы раскрыть...
Настрой на трубке проксю, например через ProxyDroid, и попробуй в браузере перейти на https://google.com. Если будет предупреждение о сертификате, то надо добавлять, если ничего такого и в Burp будет трафик, то, по-идее, должно и приложение работать.
 
За 0 Против
M

M0r7iF3r

Green Team
01.09.2020
92
2
BIT
203
YouTwin сказал(а):
Спасибо. Люблю вас! Нужно было добавить сертификат в доверенные)
Нажмите, чтобы раскрыть...
Не за что.
Еще на всякий случай. Бывают ситуации когда это не помогает и приложение работает с косяками (наверное при наличии HSTS, подробности не копал), может помочь опция в Burp Proxy -> TLS Path Through -> Automatically add entries on client TLS negotiation failure, тогда проблемные соединения будут добавлены в исключения, их трафик расшифрованным не увидишь, но программа продолжит выполнение.
 
За 0 Против
Y

YouTwin

Member
16.06.2019
7
0
BIT
14
А теперь главный вопрос. Как её решить чрез site key? Вообще можно такое реализовать?
Пробовал через RuCaptchu с разными url-ми - не решает.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ