赞
踩
在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方法进行实践
笔者认为在抓包界,Wireshark 应该算是综合排名第一的工具(其实 Wireshark 自带的命令行工具 tshark 更牛逼)
本文总结记录了 5 种抓包方式,掌握其一即可进行实践,欢迎大家一起交流分享
实验步骤:
1.1 在电脑主机上使用猎豹 Wifi之类的工具,开启热点,将所要测试的手机连接该热点,记录其IP地址
1.2 使用 Wireshark 对以上 IP 地址进行捕获
Capture——Options
该方法简单粗暴高效,可以将捕获的数据包随时保存下来,便于后续分析或者进行 PCAP 可视化分析。
关于命令行工具 tshark 在此不做赘述,感兴趣的读者自行研究。
实验环境:
下载安装 Genymotion 安卓虚拟机,在该模拟器环境种进行实践操作(基于实体手机亦然,前提是手机必须得 ROOT)
笔者仅在 Android 系统下测试,未在 iOS 系统下实验
实验步骤:
模拟器中自带的 tcpdump 工具,位于: /system/xbin/ 目录下
可以通过 adb shell 命令在 CMD 模式下连接模拟器,su 到 root 模式进行抓包
tcpdump -vv -s 0 -i eth1 -w /sdcard/capture.pcap
参数说明:
捕获结束,直接按 Ctrl + C 即可
将捕获到的数据包拖到本地使用 Wireshark 进行查看:
adb pull /sdcard/capture.pcap C:\tmp
TIPS:将数据包文件 push 到手机上命令为
adb push C:\tmp\capture.pcap /sdcard/
实验步骤:
点击下载 Fiddler 4
打开Fiddler,Tools-> Fiddler Options (配置完成记得重启 Fiddler)
首先,获取安装 Fiddler 4 的 PC 对应的 IP 地址(ipconfig):
确保手机和 PC 是连接在同一个局域网中!!!
下面对手机进行设置(笔者使用小米测试机):点击手机中“设置”——Wi-Fi——选择已经连接的wifi——代理设置改为手动
下载 Fiddler 的安全证书
使用手机浏览器访问:http://10.2.145.187:8888,点击”FiddlerRoot certificate”,然后安装证书即可。
至此,已经全部设置完毕。
重新打开 Fiddler 4,然后打开手机中的浏览器,访问任意网址,Fiddler 抓包信息如下:
Enjoy!
实验环境:
win7 + Charles v3.11
一般使用 Charles 都是基于 MAC OS ,笔者在 mac 平台以及 windows 平台均试验过,操作过程和思路基本一致,因此,本文以 win7 为测试环境
实验步骤:
手机设置代理:
打开 Charles 即可捕获数据包(Proxy —— Proxy Settings):
手机端安装证书:
Android 手机或者 iPhone 均可直接访问 http://www.charlesproxy.com/ssl.zip ,然后根据图示点击证书安装
设置 Charles:
选择 Proxy —— SSL Proxying Settings —— Locations —— Add
在弹出的表单中填写 Host 域名(也就是你想要抓包链接的主机名),以及对应的 Port 端口(此处相当于过滤作用)
当然,你可以采用更加粗暴的方式:使用通配符,例如你想要捕获所有的 https 包,这里也可以直接都为空,表示捕获所有的主机和端口;或者都分别填“*”星号,匹配所有的字符,捕获所有的 https。
实验步骤:
PC 端 Burpsuite 设置:
手机端代理设置方法同以上 3.3 4.1
打开 Burpsuite 即可捕获 http 数据包:
手机端设置好代理之后,使用浏览器访问:http://burp/
此处存在一个问题:下载的证书是 der 格式的,我们手机端安装的是 crt 格式的,需要使用 firefox 浏览器转一下格式:可以首先在 Brupsuite 中导出 der 格式证书,然后导入火狐浏览器,然后从火狐浏览器导出证书格式为 crt
打开火狐浏览器:工具——选项——高级——证书——查看证书
成功捕获 https 数据包
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。