正在阅读:

Android APP抓包方法总结

21,434

好久没有更新博客了,主要是最近太忙了,还好有朋友对小弟不离不弃,老是"督促"我,今天就朋友关心的问题,来做一个总结吧。

随着APP应用越来越广泛,APP的安全也越来越受到重视,做为web攻城师,肯定是对APP的http/https抓包方法比较关注的,那么常用的抓包工具有哪些? 当然是fiddler 和 burpsuite 了 ^_^ , 接下来分别总结:

Android模拟器:

想必大家也不想在自己的手机上装各种app吧,十分不方便,所以推荐大家使用android模拟器来完成抓包。

xiaoyao

逍遥安卓模拟器官网

代理设置工具:Proxydroid,可以很方便的一键打开关闭http代理。

点我下载

proxy

将其中的host及端口修改为你的本机ip地址,及fiddler/burpsuite的监听端口

fiddler 抓包方法:

fiddler

1、fiddler下载地址:

点我下载

2、fiddler设置要点:

fiddler2

请注意图中的勾选,这么做是为了排除系统本身的其它数据包影响,这里我们只考虑抓android的包。

fiddler3

隐藏图片及CONNECTs数据包,去掉一些不需要的链接地址。

fiddler4

开启https抓包,请注意相关选项。。

3、在android模拟器中导入fiddler证书。

证书

下载证书,并导入到模拟器中,需要为模拟器设置一个密码,这个随意设。

证书

这样就表示安装成功了。导入证书主要为了解决https抓包的相关问题。。

4、接下来就可以开始抓包了。

burpsuite 抓包方法:

1、burpsuite 下载地址

请在本博客自行查找

2、burpsuite设置

burpsuite想必大家都熟悉,不熟的请在我博客找视频教程,也可以参考下面的文章。

http://drops.wooyun.org/tools/1548

3、证书导入方法:

访问http://burp/ 看是否会出现burpsuite的界面,如果不行的话就直接访问http://ip:8080即可,端口写你自己的。

证书

4、开始愉快的抓包吧。。

ok,本次总结,就总结这么多了,burpsuite由于黑客们用的比较多,所以写的比较简单,不会玩的,在博客留言。

PC端抓包,请参考下面的文章:

http://blog.csdn.net/zyw_anquan/article/details/47904495

目前有:3条访客评论,博主回复1

  1. Xman21
    2017-07-07 20:42

    现在https还能抓么

  2. 带头小弟
    2017-07-16 01:11

    你好,我按照http://www.freebuf.com/articles/terminal/113940.html(抓取手机APP的HTTPS强制证书认证报文)方法在客户端添加了burpsuit证书,也安装了JustTrustMe模块,代理但是还是抓取不到那个APP的报文,APP登录就提示网络异常了,手机就其他流量可正常抓取到,请问是啥原因?要怎么处理

    • 独自等待
      2017-07-20 21:39

      有些app,使用了强证书校验,确实不好整。

    • bob
      2017-10-27 10:46

      @带头小弟:你好,我也在研究app抓包,相关的问题希望可以一起讨论,如果看到回复,希望加qq详聊,972766157,

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌