前言
主要讲述抓包封包的意义,对象,协议,支持。
通过不同的对象采取不同的抓包封包技术。
- http和https的数据包
请求(request) , 代理(proxy) , 响应返回数据包(response)
- http和https的区别
http超文本传输协议,是明文传输,无状态,不需要加密。
https是安全的超文本传输协议是通过ssl加密协议,密文传输更加安全。
两者利用的端口也不同http:80端口,https:443端口。
https协议需要ca证书的申请。
- http的通信过程
建立连接-发送请求数据包-响应数据包-关闭连接
- https的通信过程
https主要依赖于ssl/tls协议,但你要访问一个网站时,客户端发送请求连接,服务端响应返回你一个ssl的公钥,客户端先进行证书合法性的验证根据这个公钥生成一个随机数进行加密并发送服务端,服务端利用私钥进行解密并生成一个会话密钥,接下来客户端与服务端通过这个会话密钥进行通信文件传输。
- request请求数据包的格式
请求头:请求的协议、路径、版本号等。
请求头三个标志组成-请求方法,请求url和请求http版本
- Request响应数据包格式
Response返回数据包数据格式
一个响应由四个部分组成:状态行、响应头标、空行、响应数据
抓包软件介绍
环境配置
- 安卓软件
常见:逍遥,雷电,夜神等
- 抓包软件安装过及环境配置
Charles
https://blog.csdn.net/weixin_45459427/article/details/108393878
Fidder
https://blog.csdn.net/weixin_45043349/article/details/120088449
BurpSuite
https://blog.csdn.net/qq_36658099/article/details/81487491
一般通过网络的接口,协议,进程,程序,对象,系统进行抓包。
通过网络应用对象进行封包-WPE动作数据包重放通讯。
Fiddler
- fiddler是一个http协议调试工具,它能记录电脑与互联网之间的http通信,设置断点记录通过fiddler中的数据包含(cookie,html,js,css等)。
Charles
- 是一个http代理服务器,http监听器,当通过charles代理访问互联网时,可以监听记录客户端与服务端请求响应的数据包,允许开发者访问所有与互联网的http通信。这些包括request, response和HTTP headers (包含cookies与caching信息)。
BurpSuite
- 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Wireshark
- 是一个网络封包分析软件,目的是截取网络封包并尽可能的展示网络封包的信息。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
科来网络分析系统
- 通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。
WPE&封包分析
- 可以截取网络中的数据包,并进行数据包的修改常做为外挂使用。安全测试中可以测试网络通信的地址。
- 封包是什么?网络中分片传输的数据,通过整合封装。
总结:
apk ->ccproxy->wpe监控cc进程 实现封包抓包
burpsuite 茶杯 fiddler
模拟器设置证书后
设置http代理->运行工具的本机IP 端口
burpsuite 差别 fiddler 配置代理端口
wireshark 科来 不需要配置任何端口,因为他是直接抓取网卡的数据流量的
案列
X-Forwarded-For (XFF):客户端最初发送请求的ip地址。
- 墨者学院投票系统程序设计缺陷分析
没一个ip只能点击一次投票的机会。
发送到intruder,设置变量
封包实现安卓模拟器游戏回城功能
要先找到目标进程,通过封包监听工具知道回城功能的ip地址。进行发送实现不点击回城。
总结
- 抓包的资产信息进行网络安全测试,抓包的对象app,协议,接口等,有些不走http协议需要用到全局协议抓包。