使用burpsuite对手机端APP抓包

最新推荐文章于 2024-05-28 12:45:00 发布
最新推荐文章于 2024-05-28 12:45:00 发布
阅读量6.3k 收藏 30
点赞数 4
分类专栏: 工具专区 文章标签: http ssl https app安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/117375035
版权

burpsuite在手机APP上抓包

burpsuite在手机APP上抓包

抓APP的包准备条件

  1. 手机和电脑要在同一网段(将手机和电脑连接同一个WIFI)
  2. 手机的代理指向电脑的IP,端口为8080
  3. 手机上要有网页证书

操作流程

1. 在电脑端或手机下载burpsuite证书

在火狐浏览器输入http://burp,然后下载
在burpsuite软件上直接导出

在这里插入图片描述
在这里插入图片描述

2. 将下载好的证书传到手机上,并进行安装。

在这里插入图片描述

3. 手机端设置代理

要让手机和电脑在同一网段(连接同一个WIFI即可),然后在手机上设置代理的IP地址为电脑端的IP地址。
在这里插入图片描述

4.在burpsute上增加一个代理

IP为电脑端的IP

在这里插入图片描述

成功抓到手机上的包

在这里插入图片描述

网页安全证书

SSL安全套接字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题

在互联网发展初期,应用层协议http,smtp,ftp采用的都是明文数据,未采用加密措施
它是在传输通信协议(TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证

为什么用burpsuite抓包,需要安装证书

因为走了代理,引起了客户端(浏览器)的怀疑,因此需要到证书管理器去查看,浏览的网站在数字证书有无记录
如果不安装证书,抓到的包是加密的

1. 不安装证书,去访问一个页面,用burpsuite抓包,是下面这种情况

在这里插入图片描述

2. 在浏览器导入证书机构
在这里插入图片描述

3. 首先burpsuite抓包–www.baidu.com
在这里插入图片描述

在这里插入图片描述
由于此网站使用了 HTTP 严格传输安全(HSTS)要求 Firefox 只进行安全连接。正因如此,您不能为此证书添加一个例外。、
因此抓不到包

4. 对www.iqiyi.com抓包可以获取数据并放行

在这里插入图片描述

SSL中的公钥算法和会话密钥

SSL协议涉及到的加密的环节,有两个加密位数,一是证书公钥位数,分为512位、 1024位、2048位,主流的是1024位。一是会话秘钥(对称密钥)位数,分为40位,128位,256位,主流的是128位。

公钥算法主要是用来加密会话秘钥,会话秘钥是SSL会话建立之后对会话内容进行加密,

会话秘钥的长度和浏览器支持的密钥长度相关,微软的IE系列浏览器,有40位和128位两种,例如firefox,可以支持256位会话秘钥。

主流的密钥长度在技术水准下,破解的难度相当高,暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的,且有效期较短,基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源,在密钥长度增加的同时,会带来更大的性能负载,在主流密钥长度可以提供足够安全的保障前提之下,更长的密钥长度只能带来无效的负载增加。

##SSL加解密过程

  1. 服务器端给客户端发送信息的时候,在签名的同时,附上CD即可
  2. 客户端得到CD(数字证书)的公钥后,对CA进行解密,得到服务器端的真实公钥
  3. 客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端对CD解密之后得到公钥,会根据这张列表,查看公钥是否在列表之内
  4. 如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。

如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。

如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。

Buffedon
关注
  • 4
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
不同局域网无需安装证书对app进行https抓包
哆啦安全
09-10 3584
Windows10开启移动热点,Android7.1.2和Android8.1连接热点未成功 不同局域网,并且无需安装任何证书,使用Charles/Burp Suite/Fiddler可对任意App进行https抓包 电脑连接wifi或电脑并没有无线网卡,电脑连接有线网络,但是手机连接的是公共wifi或其他手机的热点,二者并不在同一个网段(不同局域网);并且无需安装任何证书,使用Charles/Burp Suite/Fiddler对App进行https抓包的解决方法
App渗透】用BurpSuite抓包安卓手机app内容
04-08 1108
很多情况下,在电脑的手机模拟器上面做app测试会存在大大小小的bug或者各种坑,而且有些模拟器很不方便,非常不好用。网上的教程虽然多,但是大部分都是两年前的甚至更晚的,跟着一步步来也是会错。为了避免这种情况的发生,所以有了这篇文章。在本机上面做app渗透,才是最稳定的。当然,我检测的app都是公司的产品,如果是你们要测一个不知情的app,还是建议杀杀毒,或者另外某🐟上面买一台二手的安卓机,非常便宜,几百块的手机到处都有,反正就是做个app测试,专门给自己买个测试机或者拿来搞安卓逆向都是很香的。
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
主要介绍了安卓APP测试之使用Burp Suite实现HTTPS抓包方法,本文详解讲解了测试环境和各个软件的配置方法,需要的朋友可以参考下
使用Burpsuite对安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 5576
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
Burpsuite抓取APP、小程序数据包教程】
最新发布
m0_61869253的博客
05-28 816
本节主要讲如何利用burpsuite抓取APP和小程序数据包,希望对你有帮助!接下来我将给各位同学划分一张学习计划表!
charles抓包时,电脑和手机是否需要在同一wifi下?
Python入门
02-26 4629
答案是不用,我看好多文档写的都是需要在同一wifi下,本人验证是可以在不同wifi下抓包
charles 抓包工具,连接手机和电脑在同一网络,抓取手机访问的相关数据
青崖梦
04-20 5101
如果是使用charles抓包。一定要保证手机和电脑连的是一个网。 1、proxy setting,查看charles,端口 2、勾选 3、ipconfig,查看自己电脑的ip地址 4、手机通过设置http代理服务器,连接到电脑   服务器输入电脑的ip   端口和charles的端口一致,   返回 5、此时charles会给出提示。有新的连接。点击all...
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
抓包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于抓包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
网络代理之后无法抓包的解决方案
鹤啸九天
10-14 3247
背景: 公司因为安全考虑一般都会建立自己的内网,与外网隔绝。在公司时用电脑直接连接公司的办公网络就可以默认连接上了内网,此时直接使用Charles等抓包工具时,可以直接抓取到电脑的请求和响应数据。但如果在外网环境(比如在家办公)时,需要电脑通过网络代理软件连接公司内网,此时使用抓包软件抓取不到电脑的请求和响应数据。如果在家办公代理访问了公司内网,又需要抓取电脑的请求和响应,可以参考本文。 步骤: 一、安装Chrome浏览器,并在Chrome浏览器扩展程序中打开其“网上应用店”,搜索”P...
burp模拟器抓包手机app
yzl_007的博客
10-26 1137
burp模拟器抓包手机app 1、下载一个安卓模拟器 我这里使用的是夜神模拟器 官网:https://www.yeshen.com/ 安装过程很简单,不多介绍 2、下载burp配置监听本机地址 查看本机 IP cmd然后ipconfig 然后burp设置监听,地址是172.17.108.251 下拉后会直接有对应地址 3、模拟器设置代理 这里环境是夜神模拟器 找到设置->wifi ,然后长按选中,修改网络 然后填入对应的ip和端口,和burp端保持一致 保存 4、ca证书安装 如上配置完成后
火狐浏览器&burpsuite抓取app&https数据包配置指南
weixin_44320747的博客
11-27 4096
正在上传…重新上传取消。
关于burp suite安装无法抓包问题(火狐)
qq_63062528的博客
01-24 6815
刚进该领域的纯小白一个,按照网上的教程一步步都搞好了(包括CA证书、Java jdk1.8版本等)但是就是弄不好。代理调整好后访问百度网址显示 建立安全连接失败,一开始我以为他就该这样,但是发现burp suite无法抓包。按照提示先点击拦截禁用off(他默认是拦截请求on), 然后访问百度网址,再点击拦截请求,发现还是没有抓到包。 此时可以试试导出CA证书 把他保存在你知道的位置,然后点开浏览器的设置,找到隐私与安全,找到证书 点击查看证书,导入你刚刚从burp suite里面导出的.
app渗透测试抓不到数据包怎么办?
阿大撒大撒的博客
11-16 2635
app渗透测试抓不到数据包怎么办
Fiddler抓取HTTPS最强攻略
diankejue6264的博客
08-27 3271
对于想抓取HTTPS的测试初学者来说,常用的工具就是fiddler。可是在初学时,大家对于fiddler如何抓取HTTPS真是伤了脑筋,可能你一步步按着网上的帖子成功了,那当然是极好的。 有可能没有成功,这时候你就很抓狂了,我把一些我的安装经验和网络上的教程进行了整合(其中注意事项及10、11步骤)。 下面为大家演示如何用fiddler抓取HTTPS的详细教程。如若失败,请先仔细检查...
解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
游语
12-02 10万+
这里写自定义目录标题问题:描述:概念解释:解决:网上最多的解决方案实际解决参考 问题: 访问github失败 描述: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常 概念解释: HSTS:HSTS 是 HTTP 严格传输安全HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全连接HTTPS)访问的方法。 如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不
Burpsuite抓取手机app数据包
demopy’s blog
09-10 2476
1、打开burp,proxy代理处,options设置,add添加一个代理。 2、选择所有接口,端口为8081(随便一个就好),点击ok,burp就设置好了。 3、现在在手机上设置,电脑打开热点,或者同一局域网下。 手机连接上同一wifi后,设置电脑的ip地址,和burp里设置的端口。 1、进入wifi设置 2、http代理设置为手动,配置http代理 3、查看电脑ip 将手机代理设置为电脑的ip就好了。 4、测试效果 设置好后,开启抓包,手机访问知乎APP,数据包就抓取到了。 ...
Burpsuite抓取app数据包
一期一会的博客
02-11 3300
0x00 工具下载 逍遥模拟器官网 https://www.xyaz.cn/ 0x01 证书安装 Burpsuite证书下载,找到import/export CA certificate 选择第一个,然后找路径下载 将下载好的证书后缀更改为.cer 将证书导入模拟器中 在模拟器中找到安全选项,选择从SD卡安装即可 0x02 设置代理 手机端选择WLAN修改网络,高级中代理服务器写电脑主机ip,端口随意,只要和Burpsuite保持一致即可 Burpsuite中添加 拦截打开,手机端数据即可被B
如何使用burpsuite抓包
07-27
默认情况下,Burp Suite使用代理地址是`localhost`,端口是`8080`。您可以在Burp Suite中的`Proxy`选项卡下找到这些设置。 3. 启动Burp Suite和浏览器:启动Burp Suite,并确保已经成功配置了代理设置。然后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值