BurpSuite抓IOS设备HTTPS流量

于 2024-07-02 20:42:28 发布
阅读量928 收藏 17
点赞数 6
文章标签: ios https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73912575/article/details/140136003
版权

一、简述:

Burp 这个工具做过 web 安全的人都应该用过,是个非常强大的抓包工具。在 PC 的浏览器上直接配置代理就行了,本篇文章就来介绍一下如何用 Burp 抓 IOS 设备上的流量,很多文章都介绍过怎么抓包,但是很多坑都没有说到,这里一些要避免的坑我都记录了下来。

二、常规步骤

第一步,首先要在电脑上开启 Burp,并且将监听的地址选择成 LocalIP(也就是 ipconfig 出来的那个 ip,并不是本地环回),在 Burp 上下拉就可以知道当前 IP 是多少了 ,端口自己随意选择

burp

之后在 IOS 端(我是 iPhone)连上和 PC 同一个网段的 WIFI ,再手动配置一个代理,服务器就填 PC 的 IP,端口也和 PC 端 Burp 监听的端口一样,然后确定即可。

WiFi

之后在 safari 中访问 192.168.1.200:8081 (每个人配置不一样),右上角就会有一个按钮,点击一下就会让我们下载 Burp 的证书,这是为了抓 HTTPS 流量用来验证的证书。然后我们要去 IOS 的设置处去信任该证书。

cert

如果一切正常的话,只要信任了该证书,那么我们在手机上访问网络的话,在 PC 端的 Burp 就可以看到相应的请求被拦截下来,这里是我拦截的一个微信公众号的表单,可以看到,POST 请求的参数以及 cookie 等都可以被抓到,跟在浏览器上抓包是一样的。

crawl

Troubleshoot

下载不了证书

上面的内容网上的很多文章都可以找到,但是他们没有写发生问题该怎么做。开始时我已经按照上面的步骤走完了,惊奇的是,我连证书都下载不下来,更加别说抓包了,就连 HTTP 请求都不能被 Burp 抓到。然后就一直在那里找问题所在,试了好久,最终终于知道了……

第一个可能的因素就是手机开了代理,不过之后我在成功之后再将代理打开也可以抓到包,所以应该不是这个原因,总之,如果不行的话,就尝试将代理关闭,PC 端的代理也关闭试试。

第二个因素,就是这个让我连不上 Burp,那就是 Windows 防火墙,直接将防火墙全部关闭就可以抓到包了,被这坑死……

控制面板 -> Windows defender 防火墙 -> 启用或关闭 Windows defender 防火墙 -> 专用和公用网络全都关闭

复制

抓不了 HTTPS 请求

解决了上面的问题之后,我尝试抓微信的包,还是不行,拦截不了,然后在 Burp 的 Dashboard 看到了这个提示

log

上网搜索之后找到了答案,原来 IOS10 之后仅仅信任证书还是不够的,要在 设置-通用-关于本机-证书信任设置 里面对根证书进行完全信任才行。然后就可以抓到 IOS 设备上的 HTTPS 流量了,害,应该没有什么别的坑了。

setting

misc

顺带一提,Burp 在 Windows 上的默认编码并不是 UTF-8 ,所以会出现对中文字符显示乱码的问题,因此我们需要将默认的编码格式改成 UTF-8 ,在 User option 里面修改,有些字体也可能不支持中文显示,最好用微软雅黑

is-Rain
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IOSBurpsuiteHttps问题.pdf
01-09
### IOSBurpsuiteHttps问题 #### 一、引言 在进行移动应用的安全测试时,特别是针对iOS平台的应用程序,我们经常会遇到需要通过工具如Burpsuite来进行网络流量捕获的情况。对于HTTPs加密通信的数据包捕获,由于...
包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
IOS 使用BurpSuite
qq_45746876的博客
08-13 4266
IOS 使用BurpSuite包环境配置
无需下载任何软件!BurpSuite如何取iphone数据包
RexHa的博客
07-12 3015
burpsuite取iphone数据包详细教程,无需安装其他软件
iOS安全】BurpSuite iOS https包 | DNS Spoofing
最新发布
Juruo@Security
05-19 495
iOS安全】BurpSuite iOS https包 | DNS Spoofing
使用BurpsuiteIOS,Android(安卓)手机app数据
GitHub质检员
11-21 1677
Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。之前的文章已经详细介绍过了BurpSuite工具的使用,有不了解这款工具的可以去看看之前的文章今天我们来介绍一下使用BurpsuiteIOS,Android(安卓)手机app数据的实际使用。
苹果IOS手机设置BurpSuite包(详细步骤)
热门推荐
Zichel77的博客
08-09 1万+
0×01 添加BP的Proxy Listeners 点击Add添加 端口填写8080,然后选择Specific address,选手机和电脑同时在的那个IP区段 IP具体查询方式使用Win+R 输入ipconfig 然后看这个 在Specific address
burpsuite包神器
12-18
burpsuite包神器
安卓APP测试之使用Burp Suite实现HTTPS包方法
09-03
完成这些步骤后,安卓APP的所有HTTP和HTTPS流量都会经过Burp Suite的代理,从而实现包。 总结来说,虽然大多数安卓APP采用HTTP通信,但HTTPS的使用也在逐渐增加,尤其是在涉及敏感信息传输时。由于HTTPS使用SSL/...
burpsuite工具包练习
01-21
burpsuite
Burpsuite取APP的https所需证书
04-09
Burpsuite拦截APP的https所需证书。 1、将证书放到手机内从中(部分手机读取不到sd卡上的证书) 2、到手机设置中: 安全——查看安全证书CA证书(不同手机显示不同)——用户(有些手机需要自己添加导入的证书,有些手机会自动读取)——点击证书 安装即可。 3、安装好后,就可以轻松取app的https请求啦~ ~
burpsuite手机APP的http、https数据包——教程
W小哥
04-02 1万+
第一种:使用真实安卓手机取APP数据包 第二种:使用安卓模拟器取APP数据包 第三种:使用安卓模拟器取 微信小程序、微信公众号 数据包 在取微信小程序和微信公众号的数据包的时候,怎么也取不到,这就很难受 百度后发现一个大佬分享的文章内容:https://www.it610.com/article/1281515529177153536.htm 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书 安卓系统
给iPhone手机设置BurpSuite代理手机HTTP/HTTPs流量
weixin_43487849的博客
01-25 4483
iPhone设置BurpSuite代理 给iPhone手机设置BurpSuite代理手机HTTP/HTTPs流量 1. Burpsuite设置代理 在burpsuite中添加代理ip和端口,ip为电脑的ip地址,端口8080 2. 手机设置代理 手机与电脑连接同一wifi,然后进入设置->WLAN->点击wifi右边的information符号->点击设置代理,配置和burpsuite一样的ip和端口。 至此可以在burpsuite取http流量。 3. 手机安装burpsuit
苹果手机配合burp如何
逍遥小哥的博客
04-21 5009
(苹果)首先将苹果手机和电脑连接到同一Wi-Fi网络中,
【解决方案】ios真机包踩坑之burpsuite不到小程序数据包
qq_45196785的博客
02-11 674
3、ios首次打开微信app,应该允许“想要查找并连接到本地网络上的设备”,否则应该在设置-隐私-本地网络中开启权限。1、ios和电脑需要连接同一个wifi,台式电脑可以买无线网卡。2、电脑首次连接wifi,需要允许电脑访问其他设备。否则应该在属性中将公用改为专用。
BurpSuite从iPhoneHttp包
青草 绿叶 百合
06-13 858
BurpSuite从iPhone包(包含http和https
burpsuite包雷电模拟器https
07-27
根据引用\[1\]和引用\[2\]的内容,你可以在雷电模拟器上使用burpsuiteHTTPS流量。首先,你需要在burpsuite中配置代理,然后下载证书。接下来,在模拟器中安装证书并设置代理。最后,你可以测试一下,在模拟器中打开一个APP,看是否可以到包。这样就可以在雷电模拟器上使用burpsuiteHTTPS了。 另外,根据引用\[3\]的内容,如果你没有无线网卡,无法使用将设备放在一个WiFi局域网下开代理的方法,你可以考虑使用安卓模拟器来进行测试。雷电模拟器是一个不错的选择,但在安装burpsuite证书时可能会遇到一些问题。你可以参考其他人的经验和方法来解决这些问题。 #### 引用[.reference_title] - *1* [【渗透】Burpsuite 取 APP 数据包环境搭建](https://blog.csdn.net/qq_43427482/article/details/113657630)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [如何为雷电模拟器安装Burpsuite证书并包](https://blog.csdn.net/nuaa_llf/article/details/103354579)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值