2021-08-20二、小程序｜App抓包(二)电脑端-Fiddler+Burp组合

Posted 2023-04-05

参考技术A ----------Fiddler+Burp组合---------

二、Fiddler+Burp组合

电脑上微信打开小程序：（win/mac都可以）

任意打开一个小程序：

使用Fiddler抓包：

安装和简介参考：

一、小程序｜App抓包(一)环境篇

https://mp.weixin.qq.com/s/Xy4rt1ammK8aPgT4W6obig

代理设置：

开启抓包同时开启小程序

代理转发设置：

burp设置：

参考：

https://www.jianshu.com/p/4b103721a133

注意：⚠️

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

订阅查看更多复现文章、学习笔记

thelostworld

安全路上，与你并肩前行！！！！

fiddler抓包1-抓小程序https包

抓小程序包和抓app包是一样的操作方法；安卓用fiddler，ios用charles；

一、环境准备

1.电脑已装最新版fiddler

2.手机和电脑在同一局域网

 

二、fiddler设置

1.fiddler>Tools>Options>HTTPS 勾选Capture HTTPS CONNECTs 及下边的子项；

2.fiddler>Tools>Options>Connections 勾选Allow remote computers to connect；

并记住这里的端口号：8888，后面会用到

 

三、导出证书

1.点右上角Actions按钮

2.选第二个选项，导出到桌面，此时桌面上会多一个文件：FiddlerRoot.cer,如左侧图。双击安装，直到弹出导入成功；

 

四、查看电脑IP

1.开始-运行-cmd，输入：ipconfig,记住这个IPv4地址，一会手机设置代理、手机上下载fiddler证书会用到；

 

五、设置代理

1.手机设置->WLAN设置->选择与电脑同一wifi，点右边的箭头（有的手机是长按弹出选项框）。

2.选择修改网络配置：

   代理：选择手动

   配置主机名：与主机电脑IP地址保持一致

   端口号：8888

3.保存后就可以抓到来自手机的请求了。

 

六、抓小程序上的HTTPS请求

1.如果是http请求，是不需要安装证书，能直接抓到的，如果是https请求，这时候手机就需要下载证书了。

2.打开手机浏览器输入：http://10.224.xx.xx:8888 ，这个中间的host地址就是前面查到的本机的IP。

3.出现如下画面，点箭头所指的位置，点击安装就可以了。

 

 备注：如果设置代理后，电脑无法上网，需要在浏览器中导入证书；

1. 谷歌-设置-隐私安全和密码-管理证书，一路默认操作即可。