[张三的渗透日记]浅谈移动端渗透测试抓包方法
2023-1-29 23:24:35 Author: 白帽子程序员(查看原文) 阅读量:31 收藏

1.APP1.环境2.测试是否可以ping3.配置fiddler4.ios下载并安装证书5.打开app ,测试2.微信公众号1.直接使用PC端微信2.MUMU模拟器3.微信小程序1.抓取流量包2 在任务管理器中找到小程

本篇只是简单分享平常笔者渗透测试过程中所使用的抓包方法,后面会继续更新其他以及安卓端的抓包方法,比较适合没理解过这方面的新手作参考。

大师傅请跳过~~~~

1.APP

目前了解的IOS端抓包是不止这么一个方法的,不过先介绍这个比较经典的抓包方法。

1.环境

这里笔者使用的测试设备是

一台手机热点 : 172.20.10.1
一台ipad(IOS版本:16)作为IOS移动端 : 172.20.10.4
一台WIN10座位PC端 : 172.20.10.2

2.测试是否可以ping通

3.配置fiddler

4.ios下载并安装证书

访问http://172.20.10.2:8888即可,然后下载,并安装描述文件

5.打开app ,测试

平板打开哔哩哔哩

PC端的fiddler查找bilibili的请求包

但是这里有个问题,哔哩哔哩端打开之后就显示没有网络,qq也有些图片发不出去,类似这样的问题。
所以可以说,fiddler抓包对于IOSAPP测试也是有局限性的

2.微信公众号

1.直接使用PC端微信

使用burpsuite即可
在PC端微信登录处,设置代理为Burp的地址和端口。

正常登录即可实现抓包。

2.MUMU模拟器

网易MUMU模拟器+burp的模式来抓包~~~~~~~

3.微信小程序

1.抓取流量包

使用proxifier和burpsuite

配置proxifier代理服务器为Burp的地址和端口

2 在任务管理器中找到小程序的exe的文件位置,如下图配置好proxifier代理规则


3 实现正常抓包

本文作者:雨下整夜, 转载请注明来自FreeBuf.COM

End

关注公众号【白帽子程序员】

回复“电子书”获取网络安全电子书资料

回复视频教程获取400网络渗透教学、编程视频教程

回复CTF视频教程获取400网络渗透教学、编程视频教程

回复python视频教程获取python学习教程

回复hw获取护网资料

回复内网靶场获取内网靶场

回复渗透镜像

学习资料截图

往期推荐

我为什么开通公众号?IT人到中年最怕的就是你只有一门技术

个人总结网络安全学习路线(文末电子书、教学视频400G获取)

黑客是怎么入侵一个网站的?(微信交流群、资料共享)

FOFA可以访问了!我的自留地-【白帽子程序员】公众号开


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3Mjc0MDQ2Nw==&mid=2247490809&idx=1&sn=2e9e9cfad609d8a595ff8796f224b6ad&chksm=ceebffe5f99c76f3e7f82b6580dc230ae1bef748e0e788c9934cda70ecf6d05ec487cce13dcf#rd
如有侵权请联系:admin#unsafe.sh