宣告!
學習影片來自B站up主 瀧羽sec 有興趣的師傅可以關注一下,如涉及侵權馬上刪除文章,筆記只是方便各位師傅的學習和探討,文章所提到的網站以及內容,只做學習交流,其他均與本人以及瀧羽sec團隊無關,切勿觸碰法律底線,否則後果自負!!!!有興趣的小夥伴可以點選下面連線進入b站主頁B站瀧羽sec
前言
前面配置抓取資料包等操作,都是在PC端的瀏覽器進行抓取的,那麼如何在手機端也能抓取資料呢,因為現在的小程式、app等也是有漏洞存在的可能
可以使用各種模擬器,或者直接在自己的手機進行實操
模擬器抓包
對於模擬器抓包,也是需要進行一個證書匯入等過程,不過在手機端證書的格式為.cer,然後還需要修改burp的配置。
因為這是兩個裝置之間的抓取,也就是兩個IP之間的抓取,之前在迴環地址抓取,是因為就在本機上完成的所有操作。
配置
檢視burp所在機器的IP地址
配置burp抓包地址,指定IP地址以及埠號
開啟模擬器的無線網介面,和連線無線網的設定
點選編輯按鈕
然後在這裡配置burp所在的IP地址以及埠號,也就是前面在burp配置的,然後點選儲存
開啟瀏覽器訪問http://burp,然後點選下載證書
然後下載完成,找到下載證書的位置
修改其字尾名為.cer後,開啟設定,選擇安全性和位置資訊
選擇加密與憑據
選擇從SD卡安裝,因為證書下載到SD卡中
然後選擇剛剛的證書。對於第一次使用模擬器並且沒有設定鎖屏或PIN碼時,這可能會讓你先設定PIN碼等再進行操作,只需設定即可。然後就會安裝成功,可以在上圖信任的憑據中看到
這時候在burp的代理模組中就可以抓取資料包,或者在歷史記錄中看到手機端的一些資料包
比如開啟一個app,只要涉及http協議的通訊,都會被burp抓取到
手機抓包
開啟網路設定,配置代理,修改網路
點選代理進行配置
配置代理地址和埠為burp的地址和埠
瀏覽器訪問然後下載證書
開啟手機設定中的安全設定,點選更多設定
點選加密和憑據
點選從儲存裝置安裝
點選CA證書進行安裝
開啟瀏覽器隨便進行訪問
開啟burp可以看到訪問的記錄
