几个问题
1、为什么要抓包?-抓有用的信息进行安全测试
2、抓包应用对象有哪些?-小程序,APP,桌面应用等
3、抓包协议区别工具?-有部分应用不走HTTP/S,需要用到全局协议抓包
4、封包和抓包不同之处?-零散整体的区别,封包能精确到操作的数据包
知识点
1、抓包技术应用意义:抓取相关应用的数据,进行安全测试时,有些目标直接给到了我们(ip,域名),但是有些目标看不见
2、抓包技术应用对象:对哪些东西进行抓包
3、抓包技术应用协议:http协议
4、抓包技术应用支持:工具运行在什么环境(windows,linux)
5、封包技术应用意义:将看不见的东西转换成我们可以操作的数据
总结点:学会不同对象采用不同抓包封包抓取技术分析
工具介绍
1、Fiddler:
是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件),Fiddler要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。
2、Charles:
是一个Http代理服务器,Http监视器,反转代理服务器,当浏览器连接Charles的 代理访问互联网时,Charles可以监控浏览器发送和接收所有数据。它允许一个开发者查看所有连接互联网的HTTP通信,这些包括request,response和HTTP headers(包涵啊cookies与caching信息)
3、TCPDump:是可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
4、Burpsuite:是用于攻击Web应用程序的集成平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。
5、WireShark:是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。WireShark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
6、科来网络分析系统:是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。
7、WPE&封包分析:是强大的网络封包编辑器,WPE可以截取网络上的信息,修改封包数据,是外挂制作的常用工具,一般在安全测试中可用来调试数据通讯地址。
复现
演示案例:
WEB应用站点操作数据抓包-浏览器审查查看元素网络监听
APP&小程序&PC抓包HTTP/S数据-Charles&Fiddler&Burpsuite
程序进程&网络接口&其他协议抓包-WireShark&科来网络分析系统
通讯类应用封包分析发送接收-WPE四件套封包&科来网络分析系统,(没找到这个游戏……,而且复现的时候模拟器的进程也没找到)
1、WEB应用站点操作数据抓包-浏览器审查查看元素网络监听
查看网页源代码,随便输入用户名密码即可成功抓包
2、APP&小程序&PC抓包HTTP/S数据-Charles&Burpsuite
①Burpsuite:基本的思路文章->https://blog.csdn.net/weixin_43910861/article/details/123851267
用burp也能轻松抓取到包,到后期我们一般都是用burp,因为charles就只有单纯的抓包,但是burp可以进行后续的安全测试,可以很方便的修改数据包,但是burpsuite是不好抓小程序的数据包,因为没法设置代理
用Burpsuite抓包逍遥模拟器时,要安装CA证书,(遇到了坑解决文章如下https://blog.csdn.net/weixin_54693379/article/details/126076409),安卓模拟器**长按**可以修改文件名称及其后缀,要把后缀从der改为cer然后点击设置里的安全性和位置信息,再点击里面的加密与凭据,再点击从SD卡安装,选择刚刚修改过的cer文件就可以成功安装证书。
②Charles:证书安装文章->https://blog.csdn.net/qq_41965798/article/details/134075811
点击help再如图点击即可
在wifi里的硬件属性一栏就可以查看到自己ip地址,再将模拟器的代理设置为ip地址就可以用Charles捕捉到模拟器上的流量了
Charles成功抓取了微信公众号金科青年的数据包QAQ
3、程序进程&网络接口&其他协议抓包-WireShark&科来网络分析系统
先点击wireshark中的WLAN,进去后访问xiaodi8.com并刷新两下,并可抓到访问的http数据包了,但是我访问百度却无法抓到包,这是为什么呢?
成功使用科来网络分析系统抓到了网易有道词典的数据包
破案了,百度走的是TCP协议,所以当时我用wireshark过滤http协议当然找不到百度的数据包……
总结一下
apk -> ccproxy -> wpe 监控cc进程,实现封包抓包
burpsuite 茶杯 fiddler
模拟器设置证书后
设置HTTP代理 -> 运行工具的本机IP 端口
burpsuite 茶杯 fiddler 配置代理监听抓取
wireshark 科来 不需要配置任何东西,因为它直接抓取了网络接口
思维导图
