【App渗透】用BurpSuite抓包安卓手机app内容(详细)

这篇具有很好参考价值的文章主要介绍了【App渗透】用BurpSuite抓包安卓手机app内容(详细)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


前言

很多情况下,在电脑的手机模拟器上面做app测试会存在大大小小的bug或者各种坑,而且有些模拟器很不方便,非常不好用。网上的教程虽然多,但是大部分都是两年前的甚至更晚的,跟着一步步来也是会错。

为了避免这种情况的发生,所以有了这篇文章。

在本机上面做app渗透,才是最稳定的。当然,我检测的app都是公司的产品,如果是你们要测一个不知情的app,还是建议杀杀毒,或者另外某🐟上面买一台二手的安卓机,非常便宜,几百块的手机到处都有,反正就是做个app测试,专门给自己买个测试机或者拿来搞安卓逆向都是很香的。

现在介绍一下今天的主角:二手小米-Mi MIX 2S,渗透神器burpsuite,我。


提示:以下是本篇文章正文内容,下面案例可供参考

一、电脑端的配置

真机做app渗透,前提是手机要和电脑连接同一个wifi,这样确保两者的网段一致并且可以通信。
电脑查看wifi的网卡ip地址。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

当然,linux系统的电脑用ifconfig,windows的电脑用ipconfig去看也是可以的。
这里做个备注:电脑端的ip地址是:10.188.0.114

二、BurpSuite的配置

将代理的地址改成wifi网卡的ip地址,然后监听的端口随便,我改成了9876,因为越奇怪的端口就越不容易冲突,抓包就会更顺利。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

修改完之后长这样。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

三、手机端的配置

前面两个搞定了,接下来就到最繁琐的手机端配置了。

安卓手机从上往下拉,找到wifi的图标,然后长按,就可以进去设置wifi信息了。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

进来之后点这个。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

看到代理,点进去。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

然后将代理改成手动,进行配置,主机名就是我们电脑的ip地址。端口就是bp的9876.

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

记得保存。保存完之后,我们就开始导入bp证书了。

Options(选项、导入/导出CA证书、DER格式的证书。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

导出到一个你知道的路径下。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)
文件后缀命名为.cer !!!!!!!!!!!!
因为手机只能安装.cer的证书类型,默认的der格式是不能被识别安装的。

然后将这个证书发给手机,不管用什么方法,能发给手机就行,你可以微信发送,也可以数据线传输,也可以开python3开个http服务直接用手机访问你的地址然后下载。
python3开启http服务命令:

python3 -m http.server 8001

我是用的py的方法,我把这个cer文件放在了一个文件夹里,然后在这个文件夹的目录下执行上面那条python命令,这个时候,手机只需要用浏览器访问电脑ip地址:8001就可以看到并且可以下载这个文件夹下的文件了。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

然后下载下来,证书名称要英文,比如dd.cer,sec.cer等等。然后点击确定。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

四、抓包

一切准备完毕,这个时候可以抓包渗透了。

随便打开一个浏览器,然后bp开启代理。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

ok,这里就搞定了。

随便运行个app试试。

比如QQ。

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

ok。有问题再私信或者评论。


总结

app渗透其实跟web渗透差不多,没有想象中那么难和繁琐,跟喝水一样简单。

    文章原创,欢迎转载,请注明文章出处: 【App渗透】用BurpSuite抓包安卓手机app内容(详细).。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。文章来源地址https://www.toymoban.com/news/detail-502462.html

到了这里,关于【App渗透】用BurpSuite抓包安卓手机app内容(详细)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • app渗透,frida解密参数定制抓包

    使用小黄鸟进行抓包发现所有接口都是通过paras进行传递 paras参数值是被加密了的   需要解密后才能进行正常抓包 通过mt对apk进行反编译发现是360加固,这是使用万能脱壳法 通过对dex代码反编译进行分析,然后使用瞎几把搜索乱下段定位法 定位到了以下代码块 通过分析发现

    2024年01月18日
    浏览(42)
  • 安卓App抓包经验谈

    在实际工作中,对应用程序进行网络抓包是分析网络行为必不可少的一步,这里谈一下抓包的具体过程。 Windows下一般会使用wireshark,wireshark只是一个可视化的应用,底层还是借助了WinPcap,而WinPcap也是基于libpcap的封装。Linux下使用tcpdump,这是基于libpcap的一个命令行工具。安

    2024年02月03日
    浏览(52)
  • APP渗透—微信小程序、解包反编译、数据抓包

      在之前的第一篇文章中简单的描述了一下微信小程序抓包的过程,但是不是很详细,所以这里单独写一篇关于微信小程序抓包、解包、反编译的一篇文章。   这里对小程序进行抓包、反编译等操作,都是为了进行信息收集,主要就是提取资产进行渗透测试。   不管

    2024年02月09日
    浏览(50)
  • 安卓上基于透明代理对APP抓包

    使用iptables将手机的全部tcp流量转到指定的透明代理上; 再使用redsocks将流量转发到正向代理,如Charles的socks5代理 基于iptables + redsocks2 + Charles,最终实现对安卓APP进行抓包, 且APP无感知 即APP不能通过检查系统代理或者VPN来判断是不是有抓包行为 root过的安卓手机一部,电脑

    2024年02月05日
    浏览(51)
  • 安卓APP抓包解决方案(教程)

      在我们日常的渗透测试工作中经常会发现手机APP抓取不到数据包的情况,本篇文章讲解的是通过postern代理软件来全局转发流量至charles联动BURP来对APP进行渗透,在这套环境配置完成之后可以为你后面的app抓包省下不少时间与麻烦。 kali windows burpsuite 夜神模拟器 Android7.0以

    2023年04月12日
    浏览(46)
  • APP渗透—MobSF安全评估、frida、r0capture抓包

      在之前的文章都已经介绍了如何对APP应用及小程序的抓包方式,本次将主要探讨,如何更全面的获取详细信息与获取非HTTP/S的流量,同时利用自动化工具对APK文件继续自动化扫描相关的威胁。   APP与小程序—信息收集   在之前的演示中只是介绍了一下AppInfoScanner项目

    2024年02月03日
    浏览(43)
  • 手机APP抓包过程

    0.手机连接WiFi,运行Fiddler的PC连接同一WiFi;假设手机IP为192.168.100.10,PC的IP地址为192.168.100.13 1.PC端打开Fiddler软件,Tools--Options,选择HTTPS标签页,勾选“Capture HTTPS CONNECTs”,勾选“Decrypt HTTPS traffic”,勾选“Ignore server certificate errors(unsafe)”;选择Connections标签,勾选“Allow

    2024年02月16日
    浏览(53)
  • 【mitmproxy手机端App抓包】

    前置条件 mitmproxy 已成功安装, 可参考上一篇 手机配置代理 Mac端查看电脑的ip地址 打开命令行输入: ifconfig 或者直接去 System Preference(系统偏好设置) → Network(网络)→Advance(高级) Windows端查看电脑的ip地址 打开命令行输入: ipconfig iOS 配置代理 一定确保手机和电脑用的是同一

    2024年02月15日
    浏览(44)
  • adb对安卓app进行抓包(ip连接设备)

    一,首先将安卓设备的开发者模式打开,提示允许adb调试 二,自己的笔记本要和安卓设备在同一个网段下(同连一个WiFi就可以了) 三,在笔记本上根据ip来连接安卓设备:adb connect 192.168.1.11  输入adb devices查看刚刚连接的设备   四,查找包名  输入adb shell 进入刚刚连接的

    2024年02月13日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包