APP测试 | 如何使用模拟器对APP/小程序抓包进行渗透测试?

最新推荐文章于 2024-03-25 00:51:15 发布
最新推荐文章于 2024-03-25 00:51:15 发布
阅读量1.3k 收藏 19
点赞数 13
文章标签: 小程序 ios web安全 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50750081/article/details/135456865
版权

1.安装手机模拟器:逍遥/雷电/夜神都可以,网页搜索下载即可,准备抓包工具burpsuite;

2.设置模拟器与主机在同一网段:安装桥接-->选择网卡;

3.设置模拟器代理:手动代理-->填写主机ip为物理机ip地址-->端口 8080;

4安装证书:模拟器浏览器访问http://burp;

5.尝试是否可以抓包:测试成功后,我们就可以打开APP像Web端一样测试,小程序就打开微信,打开小程序,正常抓包即可。

此时就可以进行APP/小程序测试了!

1.安装手机模拟器

逍遥/雷电/夜神都可以,网页搜索下载即可,这里我使用的是逍遥模拟器。

http://dx13.198449.com/xymnqwggbxz.zip

准备抓包工具burpsuite。

2.设置模拟器与主机在同一网段

运行模拟器-->设置-->网络-->安装桥接-->选择网卡;

一般设置完以后需要重启。

 

3.设置模拟器代理

模拟器设置-->WIFI-->修改网络-->手动代理-->填写主机ip为物理机ip地址-->端口 8080;

注:我们这里使用的是手机热点,所以要填写的物理机IP地址的无线IP。

Burp代理设置:

4.安装证书

方法一:模拟器浏览器访问

http://burp/

方法二:直接在burp里面导出证书

文件管理器-->Download-->长按cacert.der -->重命名-->修改为cacert.cer

设置 -->安全 -->从SD卡安装 -->cacert.cer -->修改名称 -->确定

 

5.尝试是否可以抓包

测试成功后,我们就可以打开APP像Web端一样测试,小程序就打开微信,打开小程序,正常抓包即可。此时就可以进行APP/小程序测试了!

💡遇到的问题及解决方法:

遇到一直获取IP地址获取不到/IP地址配置失败

遇到连接错误/连接超时

解决方法:

1.关闭防火墙。

2.先关闭代理,查看有没有网。

没网的话,先检查网络是否畅通。

有网的话,直接使用方法二在burp下载证书导入,打开burp但是不要抓包,再设置代理,进行抓包。

(谢谢大家!欢迎提出批评和建议!你的支持是我持续更新的巨大动力!)

溯溯学网安
关注
  • 13
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
设置Fiddler抓取APP接口请求
heyueying的专栏
07-21 1254
3. 再打开“Connections”,设置监听端口号,比如8888,同样勾选以下的选项,到这里电脑设置就可以了。如何使用Fiddler抓取APP接口和微信授权网页源代码,电脑,手机,微信,源代码,浏览器,app。选择手动,填写电脑的IP地址,还有上面设置的监听端口。1. 安装Fiddler后,打开“Tools”,选中“Options”,先找到“HTTPS”。这样就设置完成了,在模拟器中操作APP,Fiddler中就会出现对应的请求。进入模拟器WLAN的设置页面,左键长按,出现如下页面,点击修改网络。
通过Fiddler模拟器抓包微信小程序(适用APP
qq_41340803的博客
12-12 9720
微信小程序通过fiddler抓包(安卓系统模拟器,需要root权限)
通过模拟器实现APP抓包
摸鱼域的空气。
01-11 8203
使用wireshark、雷电模拟器、charles抓取APP数据
关于模拟器App无法抓包情况及绕过手段
最新发布
qq_46081990的博客
03-25 1343
App无法抓包总的来说分为App有没有做限制,当App没有做限制抓不到包时,可能是工具(BurpSuite、Charles等)证书没有配置好,或者有的数据包走的不是http/https协议,这时可以选用Wireshark、科来等能抓其他协议数据包的工具,这是比较好解决的一种情况。1、反模拟器调试2、反证书检验3、反代理或VPN。
Fiddler对安卓模拟器里的APP抓包(步骤详细,各种抓包工具总结)
热门推荐
Fiverya的博客
09-16 3万+
转自公众号 : Hacking黑白红 0x00常用抓包工具特点 常用的抓包工具有fiddler、wireshark、httpwatch、 firebug、F12/等。抓包抓的是协议,fiddler抓的是HTTP、HTTPS协议,wireshark抓的是其他协议。fiddler、wireshark可以修改接口的参数和返回值,常用的F12调试工具只可以查看接口的参数和响应值。 fiddler最适合,在APP测试的时候抓包; wireshare适合对整个流量进行抓取; ...
夜神模拟器进行APP抓包
m0_49879527的博客
09-03 1314
使用Fiddler对模拟器进行APP抓包
Charles结合MuMu模拟器进行app抓包(超详细)
weixin_45786938的博客
06-04 1万+
一、下载并配置抓包软件Charles (一)下载 在此为各位准备的有两种下载方式: 1.通过官网下载 [Charles官网](https://www.charlesproxy.com/latest-release/download.do) 2.通过系统之家下载 [汉化版](http://www.xitongzhijia.net/soft/10683.html) 下载好后正常安装 (二)配置 点击代理(后续配置操作基本就是在这里进行的) 因为我主要是需要APP端的抓包,所以就把Wind
微信小程序抓包https抓包的血泪史
HAPP NEW JAVA
06-14 2万+
最近调试小程序发现无法使用chales抓包,为了搞清楚这个问题,找了相关资料分析了下。 在Android7.0及以上的系统中,每个应用可以定义自己的可信CA集集。 默认情况下,应用只会信任系统预装的CA证书,而不会信任用户安装的CA证书 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书 安卓...
app抓包
weixin_60423670的博客
11-25 899
场景:APP识别到模拟器开有代理,导致数据包错误或者hi不能正常打开访问APP,这种情况我们可以利用以代理的方式,达到绕过的效果。场景:在实际的环境中,有很多的APP模拟器中打开,会直接闪退,或者提示检测到使用模拟器打开。3、下载Proxifier并打开修改完成,如下图:IP与端口需要对应BURP设置的IP和端口。1、安装burp证书,burp设置好代理(ps:设置的IP和端口要与真机的一致)代理的名称任意填,应用程序需要抓取模拟器程序的进程,这里用的夜神。2、安装burp证书,burp设置好代理。
微信小程序抓包-夜神模拟器结合BurpSuite抓包(可用于现在最新版本微信)
动感超人的博客
09-04 1万+
即可,我看另外一个人的教程计算生成出来的结果和这个一样,可能是统一的吧。这一步好像可以跳过,直接把转换后的per证书名称改为。OpenSSL默认的安装路径我这里是。,然后安装的时候一直下一步即可。安装完成后就要配置运行环境了。安装好微信后登录自己微信。
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:...
charles抓包工具配合genymotion模拟器抓包 今日头条app数据-附件资源
03-02
charles抓包工具配合genymotion模拟器抓包 今日头条app数据-附件资源
安卓手机抓包工具,查看指定APP请求及服务端返回数据
10-15
手机端抓包工具,可以抓取指定应用的网络请求,也可以抓取手机全部请求。偶尔开发时需要查看服务端返回数据是否异常是可以使用APP抓包
Fiddler+雷电模拟器APP抓包
千牛云的博客
10-28 2852
因为工作中涉及到移动端的内容相对较多,在需要接口文档时,开发人员无法立即提供,因此需要我们自己使用APP进行抓包,完成相关的测试工作。
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 6041
微信小程序手机抓包方案
模拟器抓包操作
HaoChaop的博客
03-27 5431
1.打开charles 2.首先把web抓包工具关了,不然会影响模拟器抓包 3.打开模拟器 4.点击模拟器里面的设置 5.点击wlan 6.长按这个网络 7.点击修改网络 8.修改端口号 9.在模拟器浏览器上下载chls.pro/ssl 10.安装成功 ...
网络安全进阶篇(十一章-7)APP渗透测试篇(下)
划水的小白白
08-09 2446
一、快速自建一个App 1.App难写吗? (1) ~问:我不懂Java我能写App吗? 答:我觉得大部分人都觉得自己不能。 ~问:你还记得CMS吗? 你会CMS里面的全部代码吗? 答:你也不会,但是网站就那么建立了起来。 (2) ~App其实也可以快速自建: 在线自建App地址:https://www.bslyun.com/ //可以做安卓端的,也可以做IOS端的 进网站,最下方找
项目抓包使用工具Fiddler +夜神模拟器使用详解。
fzx19910714的博客
06-02 2万+
网络抓包配合模拟器配置
app测试抓包charles
09-01
要在Charles中进行APP测试抓包,你可以按照以下步骤进行操作: 1. 首先,你可以在Charles的设置中进行配置,将只代理指定的APP。你可以点击右上角的菜单按钮,选择"Local proxy chain"作为"Action",然后在"Application"中选择需要抓取的APP,并保存设置。这样可以避免其他不需要抓取的APP的干扰。 2. 接下来,你需要修改系统中的WLAN设置。进入系统的WLAN设置项,将代理主机设置为127.0.0.1,端口设置为8020,并保存设置。这样这些APP的连接就会经过Charles代理。 3. 如果你需要抓取webSocks的数据包,可以使用Drony这个APP来代理设备上的APP,并在使用Charles进行抓包。你可以在模拟器或移动设备上安装Drony,并按照其设置来配置代理。具体的设置包括设置Proxy type、Hostname、Port,其中Hostname为电脑端的IP,Port为Charles中的端口。同时,将Default value设置为Direct all,以确保所有的流量都经过代理。 4. 最后,如果你在使用Charles时遇到证书问题,可以将压缩包内的charles.jar复制到安装目录的lib目录下,并设置Charles电脑端的安装证书。这样可以确保Charles能够正常工作。 通过以上步骤,你就可以在APP测试使用Charles进行抓包了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [如何使用Charles进行APP抓包](https://blog.csdn.net/wyx1275/article/details/113249468)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值