BurpLoader抓包工具的简单使用——手机APP抓包 第一次写博客,虽然毫无头绪,但还是想把自己知道的一些记录下来,指不定以后再开发中遇到了省得还的去问度娘和Google; 16年在开发手机app过程中接触了测试抓包工具(BurpLoader),最近又有机会做类似的工作,回想起了这款工具,拿出来复习一下。很多东西长时间不使用就会忘记,所以有了以下工作。 BurpLoader的介绍就不多讲了,网上一搜一大堆,今天主要讲一下怎么简单的使用BurpLoader给app抓包; 1.首先下载BurpLoader; 2.打开后出现这个界面: 这个是大多数软件必备的,不必深究,直接点击 I Accept ; 3.同意之后出现下面界面: 继续next; 4.出现下面界面,继续下一步: 点击 start burp 启动程序; 5.成功打开程序: 6.打开程序后,接下来就是配置参数,使工具通过wifi代理和手机连接起来,在首页选择 代理(Proxy)---->选项(Options) 出现一下界面; 然后 ADD 添加 配置参数设置 端口号(自定义 如:8080,8081,8088)、域名(下拉框中选择当前电脑的ip),出现一下界面: 一切妥当后点击OK ,出现下面界面 这里注意的是一定要选中我们开始配置的域名,当然工具的默认状态也是勾选; 7.完成上面步骤后,接下来进行手机wifi代理,使手机和工具相互连接: 首先确定手机和电脑处于同一网络下(比如,在公司的时候,电脑连接的是公司的wifi,手机也是连接的公司wifi),打开手机配置wifi界面,如下, 进入当前连接的wifi详情界面,我的手机是点击右侧的向右按钮,如下所示: 进入wifi详情界面 ,选择手动代理 然后进行 代理服务器名和端口两个选项进行配置:服务器名就是电脑的IP,主机为开始在工具中设置的端口,我这里使用8082,如下所示: 当这样设置完成之后,我们的wifi代理工作就玩成了,回到电脑上的BurpLoader工具; 8.切换回工具 选择 拦截(intercept) 出现如下界面, 可以通过 intercept is on (理解为运行)或者 intercept is off (理解为暂停) 这两个按钮来检测我们手机和工具是否连接成功; 如可以在手机上打开一个有网络请求的app 如微信、QQ、支付宝、百度等; 当intercept is on为这状态时,RAW下面会出现出数据,说明连接成功; 9.打开我们需要抓包的app,记住intercept is on状态抓包时、只能抓一个url 如果存在多个,那就需要通过不断的ON/OFF之间切换,或者可以在app中控制当程序准备走这个url的时候,在工具中切换为on状态; 下面以一个登录的url为例子:抓包截图见下图 从抓到的数据可以看到: post 为地址、Host为路径、最后面就是我们请求的参数,这就是抓包的手机app登录界面请求url; 然后可以在界面单击右键(选send to repeater) 或者ctrl+R ,如下图: 就会看到工具栏中的Repeater变成黄色 说明里面有数据 点开repeater: 出现如下界面: 我们可以通过GO 按钮来查看服务器返回的数据: 通过点击GO按钮: 出现如下视图: 可以清楚的看出,左边为app请求数据,右边为服务器返回数据。 10.如果出现服务器返回有乱码的形式则这样操作: 选择 User options --->Display 出现如下界面,选择中文字体,编码为UTF-8就OK; 好了,通过工具抓包的简单操作就这样了。