fiddler+proxifier修改本地程序响应任意登录

最新推荐文章于 2024-05-13 20:59:05 发布
最新推荐文章于 2024-05-13 20:59:05 发布
阅读量8.2k 收藏 6
点赞数
分类专栏: web安全 文章标签: 修改响应 绕过登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1124794084/article/details/79109649
版权

前言

这段时间测试一个C/S产品时,需要登录才能使用。于是开始想办法进行绕过登录。

一、弯路

走了很多弯路进行尝试,因为需要联网进行认证,所以尝试断网情况,修改配置文件,sql注入都提示服务器连接失败。

二、抓包

这是想到先抓个数据包分析一下请求和响应,然后伪造一个服务器的响应。于是开始尝试抓取数据包,用wireshark抓取的时候因为是https经过SSL加密的看不到data明文。于是用brupsuite发现抓不了,只能抓代理后的请求。这时候想到用fiddler来抓,发现竟然也没抓到。

在同事的提示下,下载了个HttpAnalyze能直接抓网卡的https请求


发现响应过于简单,于是想尝试一下绕过。

三、fiddler+proxifier修改数据包

刚刚HttpAnalyze已经抓到数据包了,但是这个工具没有修改数据包的功能。接下来思路是用proxifier代理测试的本地软件后然后,fiddler进行抓包。

proxifier配置代理服务器

我设置的ip地址为127.0.0.1 代理端口和fiddler一样8888

然后设置代理规则,代理fiddler和测试软件


接下来fiddler启动拦截


fiddler拦截到数据包,先break on response 然后把响应的code改为1


然后run to completion 发现软件竟然登录成功了

四、总结

这个问题是服务器对登录认证过于简单导致的,加强校验即可解决


黑面狐
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fiddler + Proxifier 工具对PC客户端进行抓包
lelziek的博客
05-28 1752
Proxifier 功能特性 1)支持Windows和MacOS系统,Windows XP/Vista/Win7/Win10,MacOS,支持http/https、socks4/5等代理协议,支持TCP、UDP协议 2)Proxifier 代理客户端设置后,所有网络应用程序都可以实现代理上网,不需要逐一设置代理 设置Proxifier 1. 打开菜单 Profile > Proxy Servers, 添加Proxy Server, 如下设置: 设置Fiddler ...
Fiddler+Proxifier实现exe抓包功能工具包
04-28
Fiddler+Proxifier实现exe抓包功能工具包 Fiddler只能抓包浏览器请求,配合Proxifier可以同时抓包通过exe调用的请求 压缩包中同时包括了配置使用说明
2024年最全PC客户端数据分析工具Fiddler+Proxifer_抓包应用程序的数据,2024年最新深入理解Nginx
最新发布
2401_84976562的博客
05-13 629
手机端App数据分析用Fiddler同样可以,和上面PC浏览器取数据方式差不多,App端需要和PC在同一网段,手机Wifi设置代理,IP取PC机器的IP地址,比如:64.35.86.12,端口号用FIddler设置的端口号,一般都用8888,App端的所有网络/响应请求都要经过FIddler转发,可以针对请求做数据分析。然后在浏览器端设置代理:127.0.0.1:8888,可抓取到网页请求/响应,后续可以按需要在Fiddler端实现需求,设置断点,过滤请求,修改请求数据,修改响应数据,模拟JS请操作。
fiddler 三、请求数据修改
object_oriented_uy的博客
03-12 2578
接口测试和页面无关,看的是请求的数据, fiddler 除了抓取请求以外,还可以修改在请求时的数据 fiddler可以跳过页面验证直接去验证数据库 把请求拦下来,修改数据,越过页面验证,来验证数据库是否可以接受错误的数据 场景: 添加会员信息的时候会进行两层验证 页面验证和数据库验证 例手机号在输入以后,页面进行验证,验证错误后,数据库添加成功了,说明数据库没有做手机号的验证 具体步骤: ...
在本地调试,使用fiddler绕过登录验证
qq_35597524的博客
03-07 6979
现象:在本地调试调用某个接口时,会进入到spring拦截器检查登录验证,没登录的话会直接跳到线上环境进行登录操作,造成本地调试失败。 解决方案:使用fiddler设置代理,具体步骤如下: 1.先进行线上登录操作,浏览器就把对应的jsessionid存储在cookie中;线上服务器也存了对应的session; 2.开发fiddler,选中tools->ho...
HTTP 方法:GET 对比 POST
weixin_55862616的博客
06-02 419
Form 中的 get 和 post 方法,在数据传输过程中分别对应了 HTTP 协议中的 GET 和 POST 方法。二者主要区别如下: 1、Get 是用来从服务器上获得数据,而 Post 是用来向服务器上传递数据。 2、Get 将表单中数据的按照 variable=value 的形式,添加到 action 所指向的 URL 后面,并且两者使用“?”连接,而各个变量之间使用“&”连接;Post 是将表单中的数据放在 form 的数据体中,按照变量和值相对应的方式,传递到 action 所指向
接口测试之fiddler抓包篡改(一)
zm18029869246的博客
08-24 133
7、主流抓包工具:fiddler、Charles(主要用于http和https协议的抓包)、wireshark(抓取其他协议的包)。抓包和接口测试还是有很大的区别的,不要把抓包就当成了接口测试。而Postman用于接口测试,是对整个系统的接口做自动化测试。,提供对其的分析,并且更好的定位bug前后端具体位置,因此对接口的抓包是很有必要的。①大部分公司做的都是基于UI的功能测试,基于UI的功能测试虽包含接口相关内容,但仍无法对接口进行精准测试,前端会限制用户操作。接口是提供系统服务的一种渠道,用于数据交互。
小红书内容自动爬取,selenium+fiddler+微信小程序.zip
02-21
当selenium通过fiddler发送请求时,fiddler会记录下这些请求的详细信息,包括URL、请求头、响应头和数据。这使得我们能够分析小红书的接口请求规律,找到获取内容的关键参数,并可能实现更高效的爬取策略。 **微信...
fiddler+willow
07-07
fiddler+willow.zip
Fiddler+v4.6.1.5汉化版
09-13
Fiddler是一款强大的网络调试工具,特别适用于Web应用程序的开发者和测试人员。它是由Telerik公司开发的,允许用户捕获、查看、修改和重放HTTP(S)网络流量。Fiddler v4.6.1.5汉化版是该软件的一个中文版本,方便中国...
抓包工具fiddler+fiddlercertmaker.7z
01-18
2. **修改请求和响应**:Fiddler 提供了强大的规则引擎和脚本编辑器,允许用户在请求或响应被发送之前进行修改,比如更改参数、添加头信息或者模拟错误状态码。 3. **断点调试**:在特定的请求或响应上设置断点,...
使用fiddler篡改接口请求或返回的内容
白骨梦儿
09-06 7938
一、背景说明 篡改接口请求或返回的内容,会有什么影响?下面这些新闻,你或许有听说过。 因此,公司投入线上运营的产品中,涉及到与金额相关的流程,需要通过接口测试篡改请求和返回内容,验证项目是否做了此类的安全校验,避免公司产生不必要的财产损失。 fiddler工具我们日常的比较多的是抓包功能,该文档主要是针对如何使用fiddler篡改接口请求和返回内容的方法做出说明。 Fiddler篡改数...
fiddler 篡改请求数据 - **登陆
zyl2726411159的博客
10-10 679
公司是内网,所以真机无法连接fiddler,就下载了夜神模拟器; 一、打断点 1.在请求前打断点,选择“请求之前”; 2.查看界面显示 二、输入请求参数 点击【登陆】按钮,查看界面显示: 1.打断点成功了; 2.还没有返回值; 3.fiddler中显示请求的参数; 4.可修改请求参数; 三、请求参数修改完成后,可点击按钮【运行完成】 1.篡改请求参数中的密码; 2.点击按钮【运行完成】; 四、结果 1.响应部分,显示返回的结果为:密码错误 2.请求失败,结果的响应码为404(界面显示错了…) 3
fiddler抓包及Proxifier配置代理
weisian的博客
06-08 8847
在开发过程中,一些app项目运行调试不能像chrome浏览器的F12一样,很方便的查看接口调用情况。造成出现一些问题时不方便排查。本例主要介绍一些基本的抓包方法。 一、通过fiddler进行浏览器接口抓包 fiddler4下载:https://pc.qq.com/detail/10/detail_3330.html 下载,安装,打开后如下图 默认端口是8888 此时用浏览器打开我们的项目,点击菜单访问后台接口。在查看fiddler如下: 可以看到fiddler已经抓到了请求包,右侧的区域可以查看请求参数
fiddler抓包的基本操作(篡改数据)
热门推荐
weixin_42343146的博客
07-13 1万+
1、打开fidder之后 2、网页进行操作,使用fidder进行抓包(例如:百度搜索ip地址,并对1.1.1.1进行查询) 3、对获取的请求进行挑选,选择对自己想要的那一条,可以右键mark一下。(ctrl+F,可直接搜索1.1.1.1) 4、如下图显示的信息: 工具栏(view--show--toolbar,可进行打开) 5、现进行篡改数据,添加断点:在fidder下方的命令窗口,bpu URL,回车。添加该请求前断点成功 6、点击工具栏中Replay,点击下方出现的请求(还未返回),
Windows抓包指南①:Proxifier+Fiddler对第三方程序强制抓包
软件架构农
05-21 8443
HOW & WHY 如果只看标题,类似的文章在网上已经一搜一大把了,关于Fiddler抓包的文章不计其数,但大多只告诉你How,没有告诉你Why。HTTPS不是加密的吗,为什么Fiddler还能抓到包?我按照网上的文章使用Fiddler抓包,为什么有的程序抓得到,有的程序抓不到?有的程序可以抓到,但是似乎只能抓到一部分,关键的HTTP请求都没有抓到,这是怎么回事?我们该怎么办?本文尽可能的...
Fiddler三种方式改包
安卓世界库
09-28 1732
2.URLWithBody 这里要匹配两个url和body,所以一般都是用例匹配POST请求,比如 URLWithBody:baidu name,当遇到url中包含baidu,且body中有name的,就会自动返回设定的值。1.匹配链接,我们拖进去会显示为EXACT:xxx,我们可以改为要匹配的链接的子字符串,如baidu,当有链接包含baidu就会自动返回设定的值。按照上面的步骤,把这个请求拖到AutoResponder,选择find a file,选择刚才的entire,
FIddler+Proxifer工具对windows PC客户端进行抓包
thlzjfefe的博客
05-26 2272
开篇:要想实现写爬虫,抓取到数据,首先我们应该分析客户端和服务器的请求/响应,前提就是我们能监控到客户端是如何与服务器交互的,下面来记录下常见的三种情况下的抓包方法 1.PC端浏览器网页抓包 网页板抓包是最简单和常见的,比如Google/Firfox/IE等浏览器自带的开发者调试工具(F12)就可以满足一部分需求,如果在请求前和响应后最些处理,比如修改浏览器发出的请求数据和修改服务器相应的数据,用F12开发这工具,就不能满足我们的需求,这里我们引入Fiddler抓包工具,可以理解为本地的代理服务器,实现转
Fiddler+Proxifier抓pc应用包(c/s架构)
weixin_45203607的博客
04-20 3314
Fiddler安装 链接:https://pan.baidu.com/s/1r6AN5QwvVzYN4PTGA4DhQw?pwd=1234 提取码:1234 Proxifier安装 链接:https://pan.baidu.com/s/1khRo9t9AMNOnnBasQz97UA?pwd=1234 提取码:1234 配置Proxifier代理Fiddler 打开http的代理 Proxifier默认是关闭HTTP协议的,需要手动开启。 打开软件,依次选择,配置文件–>高级–>HTTP代理服务器
Fiddler如何修改请求修改响应
06-06
Fiddler修改请求和响应分别有两种方法: 1. 修改请求 在 Fiddler 的请求列表中选中要修改的请求,然后在右侧的 Inspectors 栏中的 Raw 或者 Headers 选项卡中修改请求的内容。修改完成后,点击左下角的 Save 按钮保存修改。如果要取消修改,可以点击左下角的 Revert 按钮。 2. 修改响应Fiddler响应列表中选中要修改响应,然后在右侧的 Inspectors 栏中的 Raw 或者 Headers 选项卡中修改响应的内容。修改完成后,点击左下角的 Save 按钮保存修改。如果要取消修改,可以点击左下角的 Revert 按钮。 除了在 Inspectors 栏中修改请求和响应的内容,还可以使用 Fiddler 提供的 AutoResponder 功能来修改响应。具体步骤如下: 1. 在 Fiddler 的 AutoResponder 栏中添加一个规则,将要修改的请求和响应的 URL 模式和文件路径填写进去。 2. 在右侧的 Response 栏中编辑要返回的响应内容。 3. 点击左下角的 Save 按钮保存修改。 这样,当 Fiddler 拦截到符合规则的请求时,就会自动返回修改后的响应

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值