记一次手机APP抓包的坎坷过程

最新推荐文章于 2024-06-15 12:20:26 发布
最新推荐文章于 2024-06-15 12:20:26 发布
阅读量636 收藏 3
点赞数
分类专栏: Java 文章标签: java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang18238032891/article/details/103985742
版权

记一次手机APP抓包的坎坷过程

目前我所知道的手机抓包方式

有两种大的方向:

  • 用电脑进行代理抓包:常用的有fiddlerCharels等,缺点:对于从未进行过手机抓包的人配置比较复杂,要配置在手机端配置代理,还要获取手机root权限,然后在系统中安装根证书,最关键抓包的是效果并不好,会出现:部分请求不走代理https加密等情况。优点当然是如果成功,在电脑端分析会特别方便
  • 直接在移动端抓包:其实和电脑端很相似,主流的是:
    • tcpdump 需要root,并且数据包分析复杂,一般需要使用到第三方分析工具,没法解析https。
    • Packet Capture 利用安卓vpn的方式进行抓包,无需root,可以分析https包内容。解析文件不可以下载,代码不开源。
    • AndroidHttpCapture利用手机本地代理的方式进行抓包,无需root,可以分析https包内容。可以下载解析文件,代码开源。缺点是需要在wifi环境下操作。

实现方式:

在电脑端

电脑端我用的fiddler,然后配置fiddler,在同一网段下,修改手机wifi代理,然后安装证书什么的,然而并没有实现,不知道怎么回事。
可以具体可以参考:https://jingyan.baidu.com/article/3a2f7c2e0d5f2126aed61175.html
https://www.cnblogs.com/lulianqi/p/11380794.html
https://blog.csdn.net/weixin_33571137/article/details/100944804
强调说明的是对这方面技术有限,没有跑通

在手机端

上面三个软件都用了一下,个人感觉Packet Capture特别方便好用,可以抓到阿里系的数据包,需要说明如果不行:可能是Android需要7.0以下,并且需要开root权限,可以用手机模拟器;
成功截图:
在这里插入图片描述
下载地址:https://sj.qq.com/myapp/detail.htm?apkName=app.greyshirts.sslcapture

结语

想请问怎么才能实现用fiddler进行手机抓包???实现的可以在评论区留下联系方式或者教程,蟹蟹

锵锵忒
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手机实时提取SIM卡打电话的信令和声音-(五、最终解决方案-智能拨号器方案)
limingade的博客
09-06 811
依赖第三方方案,最终还是实现了我们最初的需求:在大量手机的存量市场的前提下,采用一种所有手段都无法约束的标准化方式,打通互联网/移动互联网 与传统电话网络之间的隔离,并且在行业客户的需求上,满足了【AI来电自动接听】、【所有通话都要有录音,可回溯与核查】、【套餐分钟数太多、打不完,想共享给部门内其它同事】、【SIM卡电话用AI来播出,收集用户的语音反馈】等相当特殊化的需求。完成最初的项目和技术预研。
Fiddler抓包详细实用保姆级教程,小白一看就会
软件测试技术分享官
10-26 738
Fiddler 是一款以代理web服务器的形式工作的,它使用代理地址:127.0.0.1,端口:8888,这是fiddler的默认端口。
APP各种抓包教程
最新发布
小司机的奥拓
06-15 2056
整理了以上九种不同的抓包方式其实是可以应对目前市面上各大的 APP 抓包场景,当然抓包的方式肯定不只这九种,比如还有肉丝大佬 `r0ysue` 的安卓应用层抓包通杀脚本[10],有兴趣的大佬可以去尝试一下。其实能多掌握一些抓包的技巧,也许能够在测试的过程中发现更多意想不到的新技术。
安卓tcpdump抓包网卡
热门推荐
xing
09-15 2万+
https://www.cnblogs.com/tjp40922/p/11327870.html
App抓包的四种绕过方法(详细)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 1万+
平时做app渗透的适合,是不是经常会遇到burp抓不到包的问题,本文梳理了一些APP抓不到包的解决思路
APP抓包-资产获取+Frida反代理绕过和证书校验绕过
xiaoheizi的博客
07-22 3811
有时候明明配置没问题,为什么抓不到app数据包呢? 1.目标没走http/s协议 解决方案:抓取目标使用的协议或者全局(全协议)抓包 2.目标设置了反虚拟机 解决方案:使用手机配合抓包即可 3.目标设置了反代理或证书校验的检测—防抓包机制
APP抓包( 过二次校验思路)
01-08
已经说了怎么简单抓取数据包,和过一次校验抓取数据包的思路和大概的过程。 今天说说过二次校验的思路。 你下载了APP 然后解压 过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述...
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
旧版APP抓包教程.rar
04-13
在IT行业中,网络数据传输的安全性和隐私保护是至关重要的议题,而抓包工具则为开发者、测试人员和安全研究人员提供了一种监视网络通信的方法。本教程聚焦于“旧版APP抓包教程”,旨在帮助你理解如何对旧版本的应用...
安卓手机抓包工具,查看指定APP请求及服务端返回数据
10-15
手机抓包工具,可以抓取指定应用的网络请求,也可以抓取手机全部请求。偶尔开发时需要查看服务端返回数据是否异常是可以使用该APP抓包
安卓手机抓包工具.rar
07-31
然而,本压缩包“安卓手机抓包工具.rar”提供了一种解决方案,无需对手机进行root操作,即可突破这一限制。 首先,让我们深入了解HTTPS协议。HTTPS(HyperText Transfer Protocol Secure)是HTTP的安全版,它通过...
APP渗透—绕过反代理、反证书检测
剁椒鱼头没剁椒的博客
04-23 5966
在之前的文章都写到了,如何对APP应用进行抓包,但是所演示的APP都是一些未设置防护的,或者使用的抓包工具能够避免这种情况的,所以都正常显示,本章就是针对APP设定了反代理或者反证书验证机制进行绕过。在反代理这里我们只是介绍一下如果绕过反代理,但是通常情况下APP不单单只有一个反代理机制,还会存在反证书机制,这里我们算是绕过了一个机制。由此也能推断出这个牛牛是反代理+反证书机制。
APP抓包-代理转发绕过反代理+Xposed绕过证书校验
xiaoheizi的博客
07-23 3975
而这里的牛牛不止设置了反代理还设置了证书校验,一闪而过的三个数据包就是在校验证书。而proxifier工具的转发机制获取的是网络接口出口数据,相当于是在网络接口设代理。这个时候就可以在夜神打开牛牛开始抓包了,打开牛牛可以看到proxifier有夜神流量通过。关闭代理之后牛牛就正常了,可恶的牛牛啊,这样我没办法抓包啊,怎么办啊。模拟器开启代理,burp开启监听。打开牛牛app,牛牛不在报错。牛牛app检测的是系统代理,也就是在模拟器或手机上设置的代理。再在浏览器下载两个模块,在夜神安装,用来屏蔽证书校验。
IOS设置系统代理+APP不走代理绕过方式
qq_45764684的博客
04-28 6007
IOS如何设置系统代理的问题,以及IOS安装ipa文件出现的问题,问题1:DeviceNotSupportedByThining.问题2:设备未安装appsync越狱,解决方法;部分APP设置不走代理绕过的方式
wireshark提取流量包中的文件_通过tcpdump+wireshark工具进行抓包统计分析系统应用消耗的流量...
weixin_39838758的博客
12-20 700
抓包准备1. Android手机需要先获得root权限。一种是否获得root权限的检验方法:安装并打开终端模拟器(可通过安卓市场等渠道获得)。在终端模拟器界面输入su并回车,若报错则说明未root,若命令提示符从$变#则为rooted;因使用的是车镜产品,通过wifi方式连接,故直接输入以下步骤即可,adb connect x.x.x.x ---> adb root --->ad...
抓包神器之Charles(绕过代理屏蔽)以及证书校验绕过
qq_32445755的博客
11-21 3760
代理屏蔽:app不走系统代理[最常见] okhttp框架 破局:利用软件挂VPN 走charles再链接burp改包;单向认证,证书绑定 (必须要有证书 app得有证书) 客户端检测服务端 破局: hook[我们通过技术手段不让代码执行哪一块] 解包app,改代码,捞里面的合法证书,拿来伪装;双向认证:客户端、服务端都检测;(需要二进制功底)
使用BurpSuite进行APP抓包如何绕过代理检测
H5oSir
12-15 1万+
文章目录使用BurpSuite抓包如何绕过代理检测场景描述如果绕过呢?总结与思考 使用BurpSuite抓包如何绕过代理检测 场景描述 最近接手到一个项目,对某客户的iosAPP进行渗透测试,虽然说客户发过来的是测试包,但是开了代理检测,我是怎么知道的呢,当然是先猜到了,后面尝试验证了的。因为开了代理检测,所以我在WIFI属性处设置代理就被检测到了。一设置代理打开APP就提示网络,点击前端功能点皆提示网络错误。代理关闭,APP就可以正常使用。 关于APP抓不到包可能是以下问题: SSL证书没配置好 客户端
APP代理检测绕过------基于proxifier
2302_79590880的博客
03-24 816
基于proxifier的APP代理绕过。包含绕过案例
simtrace之探秘SIM卡中的世界
weixin_33922670的博客
02-14 137
0×00 关于SIM卡 众所周知SIM卡是一张插在手机上的小卡,其全称为Subscriber Identity Module 客户识别模块。不过,这个世界上并没有多少人知道SIM卡中的操作系统是基于jvm的。该系统简称SCF(Smart Card Filesystem)又称SAT(SIM Application Toolkit)。 那么这个系统能够做什么...
wireshark手机app抓包
06-24
Wireshark手机app是一款可以用来抓包的工具。如果你想查看网络流量,或者想分析数据包的内容,那么Wireshark手机app就是一个很好的选择。 在使用Wireshark手机app进行抓包时,首先需要确保你的手机和电脑处于同一个网络环境中。接着,你需要在电脑端安装Wireshark软件,在手机端下载并安装Wireshark手机app。 一旦你在手机端启动Wireshark手机app,它就会开始捕获你手机与其他设备之间的网络流量。你可以在应用程序中选择特定的应用程序或端口,或者使用过滤器来限制网络流量捕获的范围。在捕获流量时,你可以录数据包并分析其内容,以便更好地理解应用程序的行为。 需要注意的是,在使用Wireshark手机app进行抓包时需要谨慎,因为这可能会涉及到不合法的活动。因此,确保你已经受到授权,并遵守了所有相关法律和政策。同时,为了最大程度地保护你的隐私和安全,请确保从可信任的来源下载Wireshark手机app,不要轻易将敏感数据暴露给陌生人。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值