返回顶部
首页 > 资讯 > 精选 >【App渗透】用BurpSuite抓包安卓手机app内容(详细)
  • 684
分享到

【App渗透】用BurpSuite抓包安卓手机app内容(详细)

androidweb安全安全渗透测试APP渗透网络安全 2023-08-17 15:08:00 684人浏览 安东尼
摘要

文章目录 前言一、电脑端的配置二、BurpSuite的配置三、手机端的配置四、抓包总结 前言 很多情况下,在电脑的手机模拟器上面做app测试会存在大大小小的bug或者各种坑,而且有些模拟器很不方便,非常不好用。网上的教程虽然多


前言

很多情况下,在电脑的手机模拟器上面做app测试会存在大大小小的bug或者各种坑,而且有些模拟器很不方便,非常不好用。网上的教程虽然多,但是大部分都是两年前的甚至更晚的,跟着一步步来也是会错。

为了避免这种情况的发生,所以有了这篇文章。

在本机上面做app渗透,才是最稳定的。当然,我检测的app都是公司的产品,如果是你们要测一个不知情的app,还是建议杀杀毒,或者另外某🐟上面买一台二手的安卓机,非常便宜,几百块的手机到处都有,反正就是做个app测试,专门给自己买个测试机或者拿来搞安卓逆向都是很香的。

现在介绍一下今天的主角:二手小米-Mi MIX 2S,渗透神器burpsuite,我。


提示:以下是本篇文章正文内容,下面案例可供参考

一、电脑端的配置

真机做app渗透,前提是手机要和电脑连接同一个wifi,这样确保两者的网段一致并且可以通信。
电脑查看wifi的网卡ip地址。

在这里插入图片描述

当然,linux系统的电脑用ifconfig,windows的电脑用ipconfig去看也是可以的。
这里做个备注:电脑端的ip地址是:10.188.0.114

二、BurpSuite的配置

将代理的地址改成wifi网卡的ip地址,然后监听的端口随便,我改成了9876,因为越奇怪的端口就越不容易冲突,抓包就会更顺利。

在这里插入图片描述

修改完之后长这样。

在这里插入图片描述

三、手机端的配置

前面两个搞定了,接下来就到最繁琐的手机端配置了。

安卓手机从上往下拉,找到wifi的图标,然后长按,就可以进去设置wifi信息了。

在这里插入图片描述

进来之后点这个。

在这里插入图片描述

看到代理,点进去。

在这里插入图片描述

然后将代理改成手动,进行配置,主机名就是我们电脑的ip地址。端口就是bp的9876.

在这里插入图片描述

记得保存。保存完之后,我们就开始导入bp证书了。

Options(选项、导入/导出CA证书、DER格式的证书。

在这里插入图片描述

导出到一个你知道的路径下。

在这里插入图片描述
文件后缀命名为.cer !!!!!!!!!!!!
因为手机只能安装.cer的证书类型,默认的der格式是不能被识别安装的。

然后将这个证书发给手机,不管用什么方法,能发给手机就行,你可以微信发送,也可以数据线传输,也可以开python3开个Http服务直接用手机访问你的地址然后下载。
python3开启http服务命令:

Python3 -m http.server 8001

我是用的py的方法,我把这个cer文件放在了一个文件夹里,然后在这个文件夹的目录下执行上面那条python命令,这个时候,手机只需要用浏览器访问电脑ip地址:8001就可以看到并且可以下载这个文件夹下的文件了。

在这里插入图片描述

然后下载下来,证书名称要英文,比如dd.cer,sec.cer等等。凭据用途一定要改成WLAN。然后点击确定。

在这里插入图片描述

四、抓包

一切准备完毕,这个时候可以抓包渗透了。

随便打开一个浏览器,然后bp开启代理。

在这里插入图片描述

ok,这里就搞定了。

随便运行个app试试。

比如QQ。

在这里插入图片描述

ok。有问题再私信或者评论。


总结

app渗透其实跟WEB渗透差不多,没有想象中那么难和繁琐,跟喝水一样简单。

    文章原创,欢迎转载,请注明文章出处: 【App渗透】用BurpSuite抓包安卓手机app内容(详细).。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。

来源地址:https://blog.csdn.net/weixin_43847838/article/details/131403812

--结束END--

本文标题: 【App渗透】用BurpSuite抓包安卓手机app内容(详细)

本文链接: https://lsjlt.com/news/373013.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作