手机抓包
抓包(手机端,http/https协议)
正常流程:APP----------------->后端服务器
抓包:APP--------中间人(抓包工具)--------->后端服务器http:不是加密传输,不需要证书,只要在手机上设置代理
https:需要在过程中伪造一个APP与中间人对应的证书,才可以抓取到此协议的明文数据抓取大多数APP的网络请求,忽略HTTPS的证书校验:
1.Postern:做VPN转发 <虚拟专用网络(VPN),在公用网络上建立专用网络,进行加密通讯>
2.Xposed:justMeTrust(一个小插件)<要两个配合一起使用>
所需工具:
Xposed.apk
Postern.apk
JustTrustMeZQ.apk
burp
过程:
1.在模拟器上安装所有apk,先打开Xposed.apk
打开APP后的界面:
点击“安装/更新”,出现以下界面,选择“install”
然后点击三横线
选择模块
我这里是已经安装过了,第一次安装是没有打钩钩的,要选择它,重启整个模拟器,重启之后回到模块界面,会发现它打钩了,之后就可以退出APP了
2.再打开Postern.apk
打开APP后的界面:
点击添加代理服务器
出现以下界面:
名称不填,地址用ipconfig查自己的IP地址,端口填你的监视端口(不知道就填8080)代理类型选http
然后回到主界面,点击四个横线:
选择配置规则:
打开后第一次应该是有两个,我的配置过了,所以只显示了一个
这是规则配置界面,第一次配置请点击动作中的代理设置
然后保存就完成了
3.burp
打开后进入以下界面进行配置,一般只有127.0.0.1:8080,点击“Add”添加你自己设置的(IP地址:监测端口)
抓包之前,确认这个页面的这个键是开着的
再在模拟器运行APP就可以抓包成功了
实例
