代理抓APP数据包

原创 已于 2023-05-25 21:41:07 修改 · 1k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#adb #android
于 2023-02-27 11:08:02 首次发布
本文详细介绍了如何使用Postern,Charles和BurpSuiteCommunity进行app数据抓包。首先,需要下载相关软件,然后通过Kali对Charles的证书进行修改并导入到夜神模拟器中。接着,在Charles中设置代理服务器,并在Postern中配置代理。最后,利用BurpSuite转发数据并分析。过程中提到了adb命令行操作和证书的处理步骤。

最近有需求测试app数据,但是在app中抓包的过程不是很友好,这里就写一下具体的抓包流程,网上也有相关教程,这里算是做个汇总总结,方便操作

首先我们需要四个软件:

Postern
Charles
BurpSuiteCommunity
夜神模拟器

Postern下载地址

https://soft.clbug.com/soft/postern/
https://www.malavida.com/en/soft/postern/android/

Charles下载地址和激活地址

下载地址
https://www.charlesproxy.com/latest-release/download.do
在线注册机地址
https://www.zzzmode.com/mytools/charles/

首先我们需要将charles的证书导出

这里需要使用kali对证书进行修改

openssl x509 -subject_hash_old -in ceshi.pem

这里生成了51f503bc

名称改为51f503bc.0

我使用的是夜神模拟器,使用adb链接模拟器

.\adb.exe connect 127.0.0.1:62001

输入如下命令,可以将证书导入到手机中

adb push .\51f503bc.0 /data/local/tmp/
adb shell
id   //这里要注意,一定是要root权限,及uid=0 
mount -o rw,remount -t auto /system
cp /data/local/tmp/51f503bc.0 /system/etc/security/cacerts
chmod 777 /system/etc/security/cacerts/51f503bc.0
reboot

如果第四步报错mount: '/system' not in /proc/mounts则使用如下命令:

mount -o rw,remount -t auto /

手机系统中这里可以看到证书导入成功 XK72 Ltd

然后进入Charles中设置代理服务器

proxy - proxy settings

选择socks proxy模式

取消勾选windows proxy

proxy-ssl proxy settings

之后在Postern中添加代理服务器地址端口

在Postern中设置代理类型

在手机模拟器右上角上出现小钥匙图标,证明代理已经开启,进入对应app即可看到成功抓包

使用charles分析其实不是很方便,还是bp比较好用,所以这里将数据转发选择

External Proxy Settings

然后按照下图进行设置

然后导出证书

最后在bp中添加对应证书,即可

新版 Postern 2022年Postern,Postern-3.1.2.apk
08-17
新版 Postern 2022年Postern,Postern-3.1.2.apk
Postern-3.1.2 apk.zip
12-08
Postern-3.1.2 apk.zip
Android
小龙在线
12-31 2508
包原理 常用包方案 Fiddler Fiddler是使用HTTP代理包,属于OSI七层模型的应用层,容易被客户端绕过。 Burp Suite HTTP代理包程序,主要用于安全渗透。 Charles + Postern Charles也是代理包,不仅包含HTTP代理,还包含Socket包。 Postern可以实现代理转发,把普通代理设置为VPN代理,VPN属于OSI七层模型的网络层,比应用层更底层。 HTTP Analyzer V7 HTTP Analyzer V7属于全局包,不走代理。 Htt
Postman系列(一)-下载地址与安装
公众号|软件测试老吴
08-12 1万+
Postman系统教程,postman的下载与安装
安卓APP包解决方案(教程)
Python_0011的博客
10-18 9887
kaliwindowsburpsuite夜神模拟器 Android7.0以上 版本V7.0.2.2000Charlespostern下载地址: Charles是一款非常强大的HTTP包工具,通过对该软件的设置让其成为系统网络访问服务器,即所有的网络访问都要通过该软件来完成,这样它就可以轻松获得所有HTTP、HTTPS的数据封包,监视所有的流量包括所有的浏览器和应用进程,方便开发人员查看计算机与Internet之间的所有通信。Charles下载后有30天免费使用权限,过了之后可以选择重新下载或者购买,未激活
app渗透测试不到数据包解决方法(根证书)
墨痕诉清风的博客
05-21 919
APP在安卓7.0或更高的系统下,无法数据包,是因为安卓从7.0开始应用只会信任系统预装的CA证书,而不会信任用户安装的CA证书,所谓的中间人攻击就不起效果了。这种的情况下,一个解决方法就是使用低于7.0版本的安卓系统进行包,另一个就是把使用的伪证书安装到系统证书目录中,伪装成系统证书)1. 使用burpsuite导出der证书,然后放到kali下,做如下操作。2. windows下 进入到夜神模拟器的bin目录,在此处打开cmd。3. 将 9a5ba575.0 复制到此文件夹下,执行下面的命令。
嘟嘟牛app算法hook
灰太的表格的博客
01-26 1009
嘟嘟牛app算法hook
关于安卓模拟器或手机设置了BurpSuite代理和安装证书后仍然取不到APP数据包的解决办法
最新发布
提供C#相关开发 、云计算、运维测试、网络安全相关技术分享与服务,有意向可联系。
11-19 2418
当我们在安卓模拟器或者手机上已经设置了BurpSuite代理且安装了BurpSuite的CA证书,正常情况下,我们是可以取到大部分APP关于网络(http、https等协议)的全部数据包了。但是也有一些App数据包取不到(通常这些取不到数据包App会显示如:“无网络连接”、“服务器连接错误”、“服务器连接超时”等提示;且BurpSuite上也没有拦截到任何请求数据)。
已解决 | burp无法取iphone https数据包
Sp4rkW的博客
03-28 5168
文字版看不懂?详细视频演示教程,见我的b站视频,传送门 利用burp取iphone的https数据包基本上分三步走: 下载burp证书,安装,系统信任设置 设置代理 burp监听来自局域网的流量 但其实从去年下半年的时候开始,突然发现这么配置不到数据包了,后来用内网穿透成功解决这个问题。 比较简单的内网穿透就是ngrok了,注册个账号,免费可以享受低带宽内网穿透 这个网站的说明挺详细的,...
postman下载地址
weixin_41126842的博客
09-08 4789
https://www.postman.com/downloads/
软件测试-fiddler设置代理进行包或者给手机切换host访问测试服
qq_74184107的博客
03-31 8750
1、电脑端(输入cmd-ipconfig)查看电脑的ipv4地址:2、电脑端打开fiddler3、手机端设置WLAN种给网络设置代理,选择与电脑一样的wifi名字,长按点击修改。对该网络进行编辑,代理选择手动,主机名填上面电脑ipv4地址(我的截图IP地址有两个,反正这个不行换另一个,都试试,可以上网并包了,说明就是对的),端口写fiddler提供的端口。默认是:8888(可更改,保持一致就可以了)4、这样代理就设置好了,但是如果去手机浏览器输入IP:8888,下载安全证书。。
如何官网下载Postman???
ADbyCool的博客
08-15 3217
如何官网下载Postman??? 完成:第一遍 1. 如何官网下载Postman??? Post官网下载地址 ——》【Download】 ——》【Windows 64-bit】
postman官网下载安装登录测试详细教程
热门推荐
快乐学习
08-10 3万+
简单来说:是一款前后端都用来测试接口的工具。 展开来说:Postman 是一个用于测试 API(应用程序接口)的工具,它可以帮助开发人员在开发、测试和调试阶段更轻松地与后端服务进行交互。Postman 提供了一个直观的界面,允许用户创建和发送 HTTP 请求,以及查看和分析响应结果。以下是 Postman 的一些主要功能和特点:总的来说,Postman 是一个功能强大、易于使用的工具,适用于开发人员、测试人员和 API 设计者,在开发和测试 API 时起到了极大的帮助作用。它可以加速开发流程、提高码质量
burpsuite 五种代理包方式(本地、谷歌、火狐浏览器两种插件)
qq_37776764的博客
04-09 2万+
burpsuite 五种代理包方式(本地、谷歌、火狐浏览器两种插件)
Postman的下载和安装
qq_44690947的博客
03-02 5104
Postman的下载和安装
手机包2021/5/13
cutjgh的博客
05-13 1607
爱加密工作第三天 包(手机端,http/https协议) 正常流程:APP----------------->后端服务器 包:APP--------中间人(包工具)--------->后端服务器 http:不是加密传输,不需要证书,只要在手机上设置代理 https:需要在过程中伪造一个APP与中间人对应的证书,才可以取到此协议的明文数据 取大多数APP的网络请求,忽略HTTPS的证书校验: 1.Postern:做VPN转发 <虚拟专用网络(VPN),在公用网络上建立专用
Android9.0 Charles 模拟器
weixin_47115747的博客
05-10 7132
Charles
脱壳工具 postern.apk文件
爬楼梯的巨人的博客
05-26 5507
官方下载链接(较慢):下载链接 百度网盘下载:百度网盘 提取码:zkzs
【免费下载】 新版 Postern 2022年Postern 资源下载
gitblog_09741的博客
10-15 1814
新版 Postern 2022年Postern 资源下载 【下载地址】新版Postern2022年Postern资源下载 - **文件名**: Postern-3.1.2.apk- **版本**: 3.1.2- **发布年份**: 2022年 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值