前言

Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台，它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。

之前的文章已经详细介绍过了BurpSuite工具的使用，有不了解这款工具的可以去看看之前的文章https://blog.csdn.net/qq_45066628/article/details/124267042

今天我们来介绍一下使用Burpsuite抓取IOS,Android(安卓)手机app数据的实际使用。

Android(安卓)端

前提条件：

电脑和手机连接同一个WIFI，即同一个局网下
电脑装有burpsuit软件
安卓手机（也可以使用安卓模拟器）

演示步骤

0x01电脑端：

此时记下电脑的IP地址：192.168.1.132

2. burpsuite设置
设置代理为我们本地电脑的ip:

3. burpsuite 证书
我们把证书导出到文件夹：E:\burpsuite_pro

当我们点击【next】后，证书导出成功，我这里的导出的路径为：我们把证书导出到文件夹：E:\burpsuite_pro

4.手机端设置代理
我们使用手机连接wifi（我们的电脑也是连接这个wifi 的），打开wifi的设置：

我们把手机的代理设置本地电脑的IP（我这里设置为192.168.1.132，端口为8011，该端口就是我们上面步骤在burpsuite设置的端口。

具体步骤：手机【设置】–【WLAN】–XX(此处为我们的wifi名称) 的【>】（点击该右尖括号)进行wifi 详情，进行代理设置。

备注：不同的手机进入wifi的方式不同，设置代理的操作也不同，这里无法对所有手机的设置进行详细说明。仅以本人手机为例。

5.手机端导入burpsuite 证书
为了避免证书问题，我们可以选择导入刚刚的burpsuite证书，把burpsuite 证书复制到手机，然后导入证书。

手机【设置】–【更多设置】–【安全】–【从手机U盘和SD卡安装】

在【设置】–【更多设置】–【安全】–【从手机U盘和SD卡安装】–【受信任的凭证】中，我们可以证书导入成功。

6.电脑端burp正常拦截手机端流量

我们可以回到电脑端的burpsuite中，看到捕获到的手机流量。接下来，我们就可以进行流量串改等操作。

0x02 手机连接电脑的WIFI

有时候，我们的电脑是有线连接，这时需要做的只是以下简单几步：

1. 电脑开启wifi
如果我们wifi 软件有各种安全设置，请关闭这些安全功能。

2. wifi 的网关
找到我们开启了wifi 的网关，这里可以看到wifi 网关的为192.168.191.1

这里WiFi网关的地址192.168.191.1相当于 0x01里面的电脑的IP地址：192.168.1.132

3. burp设置代理
此时burp需要设置绑定WiFi网关的地址，具体如下：

4. 手机端导入burpsuite 证书
为了避免证书问题，我们可以选择导入刚刚的burpsuite证书，把burpsuite 证书复制到手机，然后导入证书。

5. 电脑端burp正常拦截手机端流量
我们可以回到电脑端的burpsuite中，看到捕获到的手机流量。接下来，我们就可以进行流量串改等操作。

重点说一下：

①burpsuite 代理配置的就是监听：WiFi网关的地址192.168.191.1

②手机端导入证书还是同样的操作步骤。

IOS端

1.下载对应证书–安装描述文件
2.设置–通用–查看描述文件(自己查看验证而已)
3.设置—通用—关于本机----信任证书设置(拉倒最底下)—开启信任。

前提条件

1.手机和WIFI必须可以同一WIFI。
2.你要有台电脑
3.你要有台IPhone(肾机)

演示步骤

配置端口

配置代理IP和端口，采用WIFI，电脑和手机在同一WIFI。所以用电脑IP做代理，此处不能使用127.0.0.1。

BURP会自己列出电脑的IP让你选择。

此处配置成功
代理IP 192.168.64.170端口为8080

验证

验证是否成功
手机链接此WIFI，访问代理没问题。

安装证书

下载对应证书

安装描述文件，

安装完成变成已安装。

信任证书

然后打开手机找到，设置-----通用----关于本机------信任证书设置(拉倒最底下)—开启信任。

如果想删除在
设置-----通用----描述文件删除即可

配置代理

手机配置代理

配置成功

部分应用功能操作可能会慢，代理导致的网速问题。

最近在想办法搞谷歌浏览器HTTPS代理信任问题，火狐导入证书就可以。还有部门安卓手机需要转换是证书格式才可以导入。

证书转换问题

1.没有转换之前打开

Firefox的设置里面，选择高级，然后选择证书机构，导入刚才下载的证书
新版本在
Firefox 隐私与安全–证书—查看
然后选择证书机构，导入刚才下载的证书
导入成功后发现证书机构中多出ProtSwigger导出就可以。

(为了看对比效果)，转换格式之后抓安卓安卓安装自行google方法很多了。

使用Burpsuite抓取IOS,Android(安卓)手机app数据相关推荐

python如何进行数据抓取_如何进行手机APP的数据爬取？
Python爬虫手机的步骤: 1. 下载fiddler抓包工具 2. 设置fiddler 这里有两点需要说明一下. 设置允许抓取HTTPS信息包操作很简单,打开下载好的fiddler,找到 Tool ...
Android安卓手机APP应用自有keystore签名证书怎么生成？
Android安卓keystore签名证书怎么生成? 1.安装JRE环境 Oracle官方下载jre安装包:https://www.caochai.com/article-4206.html ,并记住 ...
爬虫用fiddler抓取网易新闻客户端手机app内容
一,工具电脑安卓模拟器:夜神模拟器抓包工具:fiddler 代码:pycharm 二.分析 1.首先要设置好fiddler和夜神模拟器的关联,这个网上很多教程这里不做介绍 2.打开网易app,观察 ...
burpsuite 设置https_新手教程：如何使用Burpsuite抓取手机APP的HTTPS数据
* 本文原创作者:smartdone,本文属FreeBuf原创奖励计划,未经许可禁止转载 1.所需条件· 手机已经获取root权限 · 手机已经成功安装xposed框架 · 电脑一台 2.详细步骤 2 ...
burpsuite抓取手机app数据包（通过笔记本开热点方式）
burpsuite抓取手机app数据包(通过笔记本开热点方式) 1,点击笔记本右下方网络图标,出现移动热点,右键转到设置进去之后设置热点名称密码,手机连接热点,笔记本查看连接设备的网段,这儿可以看到 ...
Fiddler利用Xposed框架+JustTrustMe抓取手机APP数据
文章目录 1. Xposed安装 2. JustTrustMe安装 3. 确保Fiddler在模拟器里配置此文只是针对Fiddler抓取APP数据失败情况下的方案,主要想解决的是安卓手机APP抓包H ...
Burpsuite 抓取微信小程序数据包
Burpsuite 抓取微信小程序数据包一.网上的方法 ① 手机导入CA证书,设置指定DNS,亲测无效备注:此方法可抓取微信公众号的数据,但是无法抓取微信小程序的数据 ② 使用安卓模拟器,我下载的 ...
利用charles 抓取ios app的https数据包-----软件配置和抓取步骤
背景:最近在做数据缓存相关的工作:我们的设备是放在高铁里面的,主要是提供wifi服务.然而我们的wifi是由sim卡4g网络拨号提供的,用户在上网时需要下载我们的APP:掌上高铁:所以领导提出一个要求 ...
EasyRTMP Android安卓手机直播推流摄像头偏暗的问题解决
在我们测试EasyRTMP Android安卓手机推流的过程中发现有些设备预览时,明显偏暗!在稍微暗点的环境中几乎很难看清东西-额,这是怎么回事呢?又是安卓设备的兼容性问题,头疼! !!!好吧,停止抱 ...

使用Burpsuite抓取IOS,Android(安卓)手机app数据

前言

Android(安卓)端

前提条件：

演示步骤

0x01电脑端：

0x02 手机连接电脑的WIFI

IOS端

前提条件

演示步骤

配置端口

验证

安装证书

信任证书

配置代理

配置成功

证书转换问题

使用Burpsuite抓取IOS,Android(安卓)手机app数据相关推荐

最新文章

热门文章