渗透学习-3

知识点：

1、抓包技术应用意义
2、抓包技术应用对象
3、抓包技术应用协议
4、抓包技术应用支持
5、封包技术应用意义

总结点：学会不同对象采用不同抓包封包抓取技术分析
基于网络接口抓包-网络接口
基于程序进程抓包-程序进程
基于数据协议抓包-HTTP/S&TCP&UDP
基于应用对象抓包-APP&小程序&PC_UI
基于系统使用抓包-模拟器&WIN&LINUX
基于应用对象封包-WPE 动作数据包重放通讯

参考点：

Fiddler：

是一个 http 协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的 http 通讯，设置断
点， 查看所有的“进出”Fiddler 的数据（指 cookie,html,js,css 等文件）。 Fiddler 要比其他的网络调试
器要更加简单，因为它不仅仅暴露 http 通讯还提供了一个用户友好的格式。

Charles：

是一个 HTTP 代理服务器,HTTP 监视器,反转代理服务器，当浏览器连接 Charles 的代理访问互联网时，
Charles 可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的 HTTP 通
信，这些包括 request, response 和 HTTP headers （包含 cookies 与 caching 信息）。

TCPDump：

是可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、
网络或端口的过滤，并提供 and、 or、 not 等逻辑语句来帮助你去掉无用的信息。
BurpSuite：是用于攻击 web 应用程序的集成平台，包含了许多工具。 Burp Suite 为这些工具设计了
许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的 HTTP 消息、持
久性、认证、代理、日志、警报。

Wireshark：

是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出
最为详细的网络封包资料。 Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。

科来网络分析系统：

是一款由科来软件全自主研发，并拥有全部知识产品的网络分析产品。该系统
具有行业领先的专家分析技术，通过捕获并分析网络中传输的底层数据包，对网络故障、网络安全
以及网络性能进行全面分析，从而快速排查网络中出现或潜在的故障、安全及性能问题。

WPE&封包分析：

是强大的网络封包编辑器， wpe 可以截取网络上的信息，修改封包数据，是外挂制
作的常用工具。一般在安全测试中可用来调试数据通讯地址。

演示案例：

 WEB 应用站点操作数据抓包-浏览器审查查看元素网络监听

 APP&小程序&PC 抓包 HTTP/S 数据-Charles&Fiddler&Burpsuite

 程序进程&网络接口&其他协议抓包-WireShark&科来网络分析系统

比如 棋牌、游戏什么的，他可能压根就没有用http协议，而是直接tcp协议传输，这个时候Burp等工具就无效了。此时可以抓到其IP地址，然后再去IP上扫描其端口之类，寻找其他服务接口，继续进行渗透
视频 01:10:00左右游戏案例

 通讯类应用封包分析发送接收-WPE 四件套封包&科来网络分析系统

环境配置：

1、安卓模拟器安装搭建
逍遥，雷电，夜神等自行百度下载安装

2、工具相关证书安装指南
Charles
Fidder
BurpSuite

3、封包抓取调试见课程操作

1、为什么要抓包？ - 不能直接进行测试，需要抓包应用的资产信息进行安全测试
2、抓包对象有那些？ -小程序,APP,桌面应用、游戏等
3、抓包协议区别工具？ -有部分应用不走 HTTP/S，需要用到全局协议抓包（科来系统或wireshark）
4、封包和抓包不同之处？ - 零散整体的区别，封包是零散的，能精确到每个操作的数据包。比如，能精确到游戏的每一个动作；抓包是抓整个的数据传输

APP也好或者其他桌面应用也罢，多半都有自身服务器，只不过这些可能所用到的协议不一样，有些可能不是用的http协议。如果给的是http协议产品，那么就直接burp等测试，如果给定的只有一个IP或者其他应用资产，那么抓包找到IP扫描端口再寻找其他服务进行测试