目录
[使用Proxy SwichyOmega设置代理](#使用Proxy SwichyOmega设置代理)
BP中监听192.168.1.102:8080(这里是填写你的IP和你所监听的端口)
网页端抓包
网页端抓包的原理就是让流量在去往服务器时经过BP,这样BP就可以将流量拦截下来。
既然要在去往服务器的过程中拦截流量那么我们就需要BP监听我们主机某个端口,同时浏览器也要通过这个端口向服务器发送信息。
如下BP监听本机8080端口
步骤
设置代理
使用Proxy SwichyOmega设置代理
浏览器代理本机的8080端口,我这里使用的使用的是Proxy SwichyOmega插件,使用这个插件可以修改代理,当然也可以直接在浏览器中修改代理
浏览器中直接修改代理
首先打开浏览器的设置
打开在常规中找到网络设置,找不到可以在搜索框中搜索。(这不同的浏览器的情况可能不一样,按自己实际情况来)
选择手动配置代理,选择需要的机子配置即可
(以前我在使用BP的社区版时还需要配置证书,但是在使用紫色的BP
好像不需要配置证书,需要配置证书可以参考下面文章
Burp Suite抓取明文_burpsuite抓包看是否明文传输教程-CSDN博客)
BP监听端口
BP这里默认的是监听127.0.0.1:8080端口,所以上面设置代理的时候可以直接设置BP默认的代理
抓包实例
当浏览器代理和BP的监听端口都设置好后我们就可以开启拦截请求,开始抓包了。如下图我们抓取了一个发去百度的包我们这里只要BP这里不放包这个包是发不过去的。当然我们也可以通过BP的其他功能进行对包进行一些其他操作,如爆破、修改等等
BP抓取手机端的数据包
经过刚刚的网页端抓包我们应该对抓包的流程有一些了解。无非就是在数据传输过程中添加一个可控的中转站,让这个中转站来控制数据包的传输。那么手机端的操作当然也是相同的,在手机端和服务器的通信中间加上我们的BP即可了。已经知道了原理,如何操作请接着往下看
拦截手机端APP的请求(手机端APP的数据传输本质也是HTTP和HTTPS),我们一般是在模拟器中安装APK,然后再进行抓包,当然也可以直接抓取手机端的数据包
步骤
导出证书
网页端证书der格式
手机端证书cer格式
我们这里的是在手机端进行抓包所以将后缀改为cer,生成证书时选择第一个
选择一个路径,你下载后的证书就在那里
下载完成
将证书导入模拟器
证书存入模拟器
双击打开后会让你命名,命名为burp
这里凭证用途选WIFI
查看电脑IP
使用ipconfig命令
模拟器WiFi设置代理
模拟器WiFi设置代理在这里
这里代理配置选择手动
这里代理服务器主机名就填写你刚刚查到的IP地,端口就填写你想要监听的端口(不要忘记保存)
BP中监听192.168.1.102:8080(这里是填写你的IP和你所监听的端口)
此时BP监听的就是192.168.1.102:8080
抓包实例
开启拦截抓包,这里以抖音为例子,抓取成功
