burp Suite(四)抓到流量才是好汉
一、浏览器抓包设置
firefox and chrome
见安全测试必备工具之burp Suite(一)
二、app/miniapp抓包
mumu 安卓模拟器抓包
指路:mumu
android版本:6.0.1
逍遥模拟器设置类似逍遥,支持设置android版本
mumu设置代理
burp监听同一个IP和端口
mumu安装证书,通过文件共享的方式导入证书
打开共享文件夹安装证书
需要先设置锁屏密码
随便打开一个app,可以正常拦到https数据包
安卓7.0以上https抓包
在模拟器或者手机中,部分app/miniapp可正常抓包,但有些不可以。为解决这些不可以的,测试使用其他方式。
- 模拟器/设备root 安装系统根证书
- VirtualXposed 和 JustTrustMe 抓包
实验1
测试对象:某 app、某微信小程序
测试设备:mumu模拟器,android6.0.1
测试结果:可直接安装证书抓包
问题:mumu模拟器安装新版本wx,但是wx小程序不能搜索,只能使用以前用过的。在其他手机上搜索了,再用mumu打开,需要设备切换,略麻烦。
实验2
测试对象:某 app、某微信小程序
测试设备:逍遥模拟器
测试方式:安装系统根证书
1、先正常安装burp cer格式证书(der重命名一下)
2、应用市场搜索re文件管理器
3、re文件管理器 进入:/data/misc/user/0/cacerts-added 这个文件夹下(该目录存储的是用户自己安装的证书文件)复制.0文件到到系统证书目录/etc/security/cacerts 下(re文件管理器需要挂载读写权限、模拟器中自带root管理授权即可)
4、抓包测试
测试结果:某 app能正常抓取流量,某小程序抓不到
根据查找资料猜测:微信7.0版本无法抓取HTTPS数据包。
所以,得换一个较低版本的微信
实验3
测试对象:某 app、某微信小程序
测试设备:逍遥模拟器
测试方式:安装系统根证书
1、下载一个微信6.7.3的版本
2、卸载之前的微信,安装老版本
测试结果:某小程序可正常抓取流量,但是部分图片加载不出来,勉强能用了。且发现部分小程序不支持在低版本微信上运行,抓包问题没有彻底解决。
IOS流量抓包
设备:iphone6s(ios没有模拟器)
1、iphone导入burp证书
2、打开iphone
设置-通用–描述文件与设备管理–PortSwiggerCA-安装
设置-通用–关于本机–证书信任设置–信任 PortSwiggerCA证书
注意:
(1)ios支付功能都走苹果内购,苹果不信任burp证书,测不了支付
(2)有些应用不能抓包
总结
老折腾了。。。。。。凑合着用吧
如果burp抓不到包,要先排查问题:
1、从客户端到服务端是否走http/https协议
可能1:客户端到服务器走TCP协议 有些app和服务器是tcp连接的,实际上是从服务端发起http/https请求,然后把结果给app
所以burp拦截不到数据包,可以使用wireshark监听网卡,然后写脚本重发或者修改数据包
2、安装证书有无问题
3、跟依赖平台的一些安全性限制有关,比如android7以上就加了相关限制,wx也有限制