BurpSuite之移动端流量抓包

已于 2024-12-15 21:38:46 修改
阅读量1.1k 收藏 11
点赞数 27
文章标签: 网络安全 系统安全 web安全 安全
于 2024-12-12 23:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35690972/article/details/144265813
版权

学习视频来自B站UP主泷羽sec,如涉及侵权马上删除文章。
笔记只是方便学习,以下内容只涉及学习内容,切莫逾越法律红线。
安全见闻,包含了各种网络安全,网络技术,旨在明白自己的渺小,知识的广博,要时时刻刻保持平等的心,很多分类组合有互相包含也属于正常情况,遇到问题就能够举一反三。

视频地址:burpsuite(5)web网页端抓包与app渗透测试_哔哩哔哩_bilibili

前言

本次教程我们来学习一下基于BP的手机移动端流量抓包。BP是个十分强大的工具,它不仅可以抓取电脑终端的流量,手机端的流量抓取也不在话下。如今手机已经成为我们日常生活中不可或缺的工具了,手机移动端的安全问题也日益增多,抓取手机移动端流量并分析其安全问题正在成为渗透测试人员的必备技能之一。

一、搭建移动端环境

这里使用MuMu模拟器12模拟移动端设备

1.到官网下载MuMu模拟器安装程序

MuMu模拟器官网_安卓12模拟器_网易手游模拟器

2.启动安装程序,根据提示进行安装(我已经安装过了,所以显示覆盖安装)

3.打开程序,等待后续操作

二、移动端安装BP证书

1.BP新增一个代理监听器,网卡使用WLAN的,然后导出CA证书,选择DER格式

2.更改证书文件后缀为cer,然后通过共享文件移动到模拟器,共享文件夹可通过工具栏打开

3.打开模拟器的设置中心,网络设置,开启网络桥接模式(第一次开启需要安装驱动)

4.模拟器安装CA证书

5.模拟器设置代理服务器,至此代理已经设置完,可以拦截流量了

三、拦截APP请求

1.使用模拟器的浏览器访问百度

2.回到burpsuite,发现流量已经拦截成功了

四、小结&注意事项

APP同样也是经过http/https协议来与服务端交互的,所以对于APP的渗透同样可以通过抓包,然后再去分析包来实现渗透,与常规网站渗透一样。

注意:

(1)证书后缀der改为cer,因为电脑端的证书后缀是der,而手机端的证书后缀为cer

(2)设置模拟器无线网卡代理的时候鼠标长按wifi,和操作手机的方式是一样的

总结

对于今天的内容,究其本质还是burpsuite拦截流量的补充使用,通过拦截移动端的流量可以对移动端进行渗透,电脑端的渗透技巧也可以用到这上面,这就统一了手机与电脑对于网页的渗透流程。这更深的本质还是扩大攻击面,因为移动端的APP也是目标的资产之一,目标可能对电脑端的服务的防护做的很好,但是移动端的却做的一般,从这下手就会收获意想不到的收获。以上就是今天要讲的全部内容,喜欢的话可以给个一键三连吗,这对我很重要ヾ(≧▽≦*)o

零字节
关注
使用Burp Suite实现手机端的抓包
m0_47060881的博客
10-27 8233
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
【APP测试】burpsuite实现APP抓包(手机&模拟器)
weixin_43486390的博客
05-15 1万+
实验环境: Win10 burpsuite OPPO R15X / iphone 6s PC连接手机 让手机和PC使用同一个网络 1、Win10右下角开启热点 2、并让手机开启WiFi连接电脑开启的这个热点 3、配置代理,首先得知道热点的IP(这个IP是个虚拟的IP)也是这个IP分配地址给连接它的人使用,双击后点击详细信息可以看到它的IP, 4、手机上配置代理,点击图二中已连接的wifi右...
使用burpsuit捕获手机流量
热门推荐
煜铭2011
09-15 1万+
0x00 前言 我们都知道在电脑端,浏览器设置设置本地代理(127.0.0.1:8111)这种方式,burpsuite可以捕获到所有HTTP的流量,这种方式很方便我们对网站进行渗透测试。其中进行爬取网站目录结构和进行主动扫描发现漏洞,以及改动数据包进行重放攻击等等安全测试。而本文的重点是教会大家如何捕获手机端的流量,尤其是手机端的HTTP流量,这对于我们分析手机端的各种应用程...
使用Burp Suite抓取手机HTTPS请求的详细教程【附图文】
最新发布
2402_83115004的博客
03-13 1155
随着移动应用的普及,了解和分析手机应用的网络请求变得越来越重要。Burp Suite是一个广泛使用的渗透测试工具,能够帮助我们抓取、分析和修改HTTP/HTTPS请求。本文将详细介绍如何配置和使用Burp Suite抓取手机HTTPS流量,帮助大家理解和使用这个强大的工具。通过以上步骤,你可以使用Burp Suite成功抓取并分析手机应用的HTTPS流量。这对于安全测试、漏洞发现以及理解应用的网络行为都有很大帮助。希望本文能帮助你更好地掌握Burp Suite,提升自己的渗透测试技能。
【App渗透】用BurpSuite抓包安卓手机app内容(详细)
06-26 1万+
BurpSuite进行抓包,在本机,安卓手机上面作app渗透,详细的用burpsuite在安卓手机上作app渗透的教程。
Burp Suite抓包工具配置代理手机抓取数据包
伤心的辣条
08-16 2409
工作中很多手机上的问题因为环境差异导致无法在pc设备上完整的模拟真实物理手机,因此需要方法能抓取到手机设备上所有数据包发送详情。发现了这个好用的数据包抓取工具Burp Suite。
使用 Burp Suite 来进行手机抓包
weixin_46598546的博客
07-08 5364
使用 Burp Suite 来进行手机抓包???? 打开 Burp Suite 不会安装的可以参考我的这篇文章 点击 next 点击 Start Burp 这样就进去了 点击 Proxy ⇒ Options 进入代理设置界面 单机 Add 添加端口 进入这个界面 设置代理 ip,和端口 ip 一定是本机的ip,可以用电脑 cmd 来 查看 ip 这样 Burp Suite 的配置就做好了 配置手机 证书 在配置好 Burp Suite 的前提下,进入浏览器输入http://[你
使用burpsuite对手机端APP抓包
buffedon的博客
05-28 6708
burpsuite在手机APP上抓包burpsuite在手机APP上抓包抓APP的包准备条件操作流程1. 在电脑端或手机下载burpsuite证书2. 将下载好的证书传到手机上,并进行安装。3. 手机端设置代理4.在burpsute上增加一个代理网页安全证书为什么用burpsuite抓包,需要安装证书SSL中的公钥算法和会话密钥 burpsuite在手机APP上抓包 抓APP的包准备条件 手机和电脑要在同一网段(将手机和电脑连接同一个WIFI) 手机的代理指向电脑的IP,端口为8080 手机上要有网页证书
BurpSuite代理设置小技巧
2401_88858891的博客
01-16 1253
预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿在Web渗透测试过程中,BurpSuite是不可或缺的神器之一。BurpSuite的核心是代理Proxy,通常情况下使用BurpSuite的套路是:浏览器设置BurpSuite代理——>访问Web应用程序——>BurpSuite抓包分析。本人从事Web渗透测试尚不足一年,这期间在代理设置过程中踩到过一点『小坑』,现在将我踩过的『小坑』总结一下。本文主要面对新人朋友,老司机们请不吝赐教~
网络安全测试工具Burp Suite基本使用
喵酱
08-09 1126
Burp Suite 是一款由 PortSwigger 开发的集成网络安全测试工具,广泛用于渗透测试和漏洞扫描。它提供了一系列功能强大的工具和功能,帮助安全研究人员和渗透测试人员识别和修复 Web 应用程序中的安全漏洞。
BurpSuite 代理设置的小技巧.pdf
01-06
作为该领域的“神器”,BurpSuite 的核心功能之一就是其代理功能(Proxy)。通过设置浏览器或其他客户端通过BurpSuite代理访问Web应用,测试者可以在中间截获并分析网络通信数据包。本篇文章将重点介绍BurpSuite代理...
安卓手机抓包工具详解与对比-提升移动应用开发效率
12-12
内容概要:本文详细介绍了五款常见的安卓手机抓包工具(Wireshark、Fiddler、Charles Proxy、Packet Capture、Burp Suite),涵盖各工具的特点、使用方法及其适用场景。抓包技术在移动应用开发、网络故障排查和安全...
使用burpsuite抓取android流量
littlecjx
12-02 2581
使用burpsuite抓android app的https流量,最主要的步骤就是在android里安装burp的证书,经常在配置burp证书的时候踩坑,今天记录一下配置过程。 1、将手机连上跟电脑IP处于同一网段的WLAN,查看电脑IP,代理服务器主机名为电脑IP,端口任意设置。 2、设置burp,端口为第一步手机设置端口,IP为电脑IP。 3、手机浏览器访问:http://burp,点击C...
burpsuite学习——手机抓包
csu_vc的博客
07-17 1225
今天依旧在学习burpsuite的使用 今天主要利用burpsuite来对手机进行抓包第一步跟PC端差不多,我们先设置代理,在这里,我们先查看PC的IP地址 第二步对burpsuite进行设置 第三步对手机端进行设置,手机端需要和PC端接入同一个网 在WIFI设置处可以进行代理设置第四步设置完毕之后就可以抓包啦~
Burpsuite之夜神模拟器之手机APP抓包设置
weixin_50464560的博客
09-27 1256
Burpsuite之夜神模拟器之手机APP抓包设置 </h2> <div class="postbody"> <div id="cnblogs_post_body" class="blogpost-body blogpost-body-html"> 题目起的挺绕的,主要是可能使用不同的模拟器会有不同的问题产生,有时候IT是一个玄学问题。 事情的起因是我买了一个安全牛的内网课程,想要加QQ群,但是不得不说搞安...
burpsuite实现APP抓包(手机&模拟器)
zhangpeng999123的博客
07-15 5475
实验环境: Win10 burpsuite xiaomi/ 夜神模拟器(Android5.1) PC连接手机实现抓包(Android和ios都适用) 让手机和PC使用同一个网络,使用电脑开启热点 1、Win10右下角开启热点 2、并让手机开启WiFi连接电脑开启的这个热点 3、配置代理 首先得知道热点的IP(这个IP是个虚拟的IP)也是这个IP分配地址给连接它的人使用,双击后点击详细信息可以看到它的IP, 4、手机上配置代理 点击wifi右边那个详情按钮查看热点详情进行配置,开启底下代理,代.
【App渗透】用BurpSuite抓包安卓手机app内容(详细)_burpsuite抓app
2401_86951318的博客
09-12 2270
当然,linux系统的电脑用ifconfig,windows的电脑用ipconfig去看也是可以的。这里做个备注:电脑端的ip地址是:10.188.0.114。
BurpSuite抓包安卓真机app内容(详细)
m0_65663088的博客
02-02 5681
因为工位上的台式电脑没有WiFi,因此无法与手机连同一个WiFi,但是要确保两者的网段一致并且可以通信。能发给手机就行,你可以微信发送,也可以数据线传输,也可以开python3开个http服务直接用手机访问你的地址然后下载。将代理的地址改成电脑与手机USB共享的内网IP地址,然后监听的端口,我改成了8888。3.3 然后下载下来,证书名称要英文,比如dd.cer,sec.cer等等。因为手机只能安装.cer的证书类型,默认的der格式是不能被识别安装的。注意:文件后缀命名为.cer!1.按图示步骤进行。
burpsuiteapp抓包
02-21
### 如何使用 Burp Suite App 进行抓包操作 #### 安装与配置 Burp Suite 为了成功进行抓包,需先完成 Burp Suite 的安装以及基本设置。对于特定版本如 2021.9.1,确保按照官方指南正确部署软件环境[^1]。 #### 配置移动设备网络连接 针对安卓设备而言,建议选取较低版本的操作系统以便于兼容性考虑;同时要导出并导入由 Burp Suite 自动生成的安全证书至目标测试装置内,并调整好相应的代理服务参数,包括但不限于指定 PC 主机作为代理服务器地址及其开放用于通信的数据传输端口号[^2]。 #### 获取并安装备用根 CA 证书 当尝试通过 HTTPS 协议捕获数据流时,由于 SSL/TLS 加密机制的存在,必须事先获取来自 Burp Suite 发放的中间人(MITM)认证机构签发的信任凭证——即所谓的 CA 证书。具体做法是在移动端浏览器里访问 `http://burp` 地址来下载该文件,并依照指示将其保存下来之后再利用系统的安全中心功能完成正式加载过程[^3]。 #### 开启流量截取模式 一旦上述准备工作就绪,则可以在应用程序界面中看到 Intercept 功能选项,默认情况下处于 Off 关闭状态。此时只需简单切换成 On 启用形式即可激活实时监控作用域内的 HTTP(S) 请求响应交换情况了[^4]。 ```bash # 示例命令:启动Burp Suite社区版或专业版的服务进程 ./burpsuite.sh --project-file ./my_project.burp & ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值