2019-12-03 18:04:15 xymxwz 阅读数 45
  • Fiddler入门使用

    本套课程讲解了掌握Fiddler工具后,可以进行Web端抓包、手机端抓包并分析数据包;可以篡改客户端向服务器提交的数据,也可以篡改服务器响应的数据;根据业务的复杂性也可以进行自定义GET请求、自定义POST请求;所以说Fiddler工具 是功能测试、性能测试和安全测试的必备工具之一。

    692 人正在学习 去看看 董云飞

今天用fiddler抓https,发现突然不能用了,心累,耽误时间,顾整理下具体操作过程,希望在你遇到次问题的时候,不会再耽误时间。

第一步:先下载fiddler抓包工具,并自行安装。

 

第二步:fiddler--Tools--Options--Connection按照如图配置好

 

第三步:获取本机ip

cmd打开输入ipconfig

 

 

第四步:手机代理设置(ios--设置--无线局域网--当前wifi点进去--最下面配置代理--手动)如图

 

第五步:安装证书

手机浏览器上输入:http://电脑ip:fiddler端口号

如我的电脑ip是192.168.117.141

则输入http://192.168.117.141:8888 点击页面最后一句蓝色字体:FiddlerRoot certificate 安装证书

 

 

 

第六步:启用证书。因安装的证书默认不启用。

设置-》通用-》关于本机-》证书信任设置 将Fiddler的证书开关打开

 

第七步:正式抓https

此时就可以抓取 app内嵌的https地址了


2017-08-15 11:40:55 weixin_39465984 阅读数 4472
  • Fiddler入门使用

    本套课程讲解了掌握Fiddler工具后,可以进行Web端抓包、手机端抓包并分析数据包;可以篡改客户端向服务器提交的数据,也可以篡改服务器响应的数据;根据业务的复杂性也可以进行自定义GET请求、自定义POST请求;所以说Fiddler工具 是功能测试、性能测试和安全测试的必备工具之一。

    692 人正在学习 去看看 董云飞

在爬取B2B网站企业联系方式之后,老板又突发奇想要抓取竞争对手手机APP中显示的客户信息,于是乎,对于手机抓包、APP爬虫一无所知的我开始了艰难的探(百)索(度)之路,最终成功拿到两家竞争对手APP中的客户列表。如果你也想爬取某个APP,这篇文章或许能帮到你。

各类问答平台、博客网站的前辈们分享的经验固然丰富,却不一定是在同样的环境(譬如系统版本)下做出来的,因此借鉴的意义也比较有限,总之大家都是摸着石头过河。

 

系统:Win10

Fiddler:V4.6

手机:iOS 10.3.3


第一步:设置Fiddler与手机

关于Fiddler的下载,安装,与手机端HTTP代理的设置,随便百度“手机APP抓包”就能出来一堆非常相似的文章。譬如这篇讲得很详细:使用Fiddler进行iOS APP的HTTP/HTTPS抓包

不过其中可能遇到的最大困难就是HTTPS的截取,作为新手的我,真是吃尽了苦头。在百度过N篇文章后,我总结了以下几个步骤(这里假设你已经按照上述博客指导流程走了一遍):

1、打开Fiddler,点击工具栏中Tools,选择Options,选择其中HTTPS一栏,右上角Actions点开有一个选项叫做Reset All Certificates,点击就相当于将所有fiddler的证书删除并重新下载,其间会有很多窗口弹出,基本上都是选择Yes或者Trust就可以搞定了。


这时尝试在浏览器中打开百度,由于百度首页也是HTTPS协议,因此可以检验我们是否设定好PC端的证书。如果你看到的是如下图,说明OK了:



2、如果你打开手机上的Safari,进入百度主页,页面却没有加载,反而给出错误提示:浏览器无法建立与服务器的安全连接,那就说明手机端的证书没有搞定了。这时简单粗暴的方法就是删除手机上的Fiddler证书,按照上述博客中的方法再下载安装一次。注意:在iOS 10.3.3 中即使安装证书也不会默认启用,需要在“设置 –> 通用 –> 关于本机 –> 证书信息设置”中开启Fiddler证书。如下图:


感谢在这个问题下的答主:链接

这时尝试在微信中打开公众号文章,如果能正常加载并截取HTTPS说明手机端的证书也搞定了。如下图:



3、如果PC或者手机刚刚升级,或者Fiddler版本更新,这时出现HTTPS无法正常抓包情况,可以简单粗暴将1、2再做一次。

如果有些APP依然无法正常加载,譬如饿了么,大概是因为APP开发者本身运用证书锁定技术,防止类似Fiddler这样的中间人代理。



第二步:截取,查看,分析请求

设置好之后打开你想爬取的APP,进入包含你所需要的信息的界面(对我而言,所有客户的列表页),由于客户端要向服务器请求信息,会产生GET或者POST请求,而服务器也会有相应的Response。如下图:


右下角是Response的区域,可以看到我们想要的客户信息就在服务器传回来的JSON文件中,companyName很明显就是公司名称,而industry就是客户公司所在的行业。

接下来的任务就是用脚本模拟这条请求,产生一系列的请求获取所有公司的信息。于是我操作APP下拉列表,试图截取第二条类似的请求,以寻找规律。

结果发现,第二次请求返回的公司列表与第一次不同(废话),但是它们的请求头(包括url)几乎完全一样。这种情况与网页版百度地图搜索请求一模一样,因为请求除了头,还带上了一个表格,这个表格中的内容告诉服务器应该给什么Response。点击Inspectors下面的WebForms,如下图:


第三部:用Python request 库批量发送请求,解析JSON文件

观察到第一页请求skip的值为0,第二页请求skip的值为1,以此类推,将WebForms中的表格内容以Python数据类型的“字典”形式,传给requests函数中的data参数。

 

彩蛋:对于有些安全措施不严密的APP,Fiddler甚至可以截取到服务器发送给客户端的正确验证码的明文,若这个APP只需手机验证码正确即可登录,则攻击者一旦知道某一用户的注册手机号,就可以登录他/她的账号为所欲为。

 

2018-02-26 14:09:49 kl28978113 阅读数 763
  • Fiddler入门使用

    本套课程讲解了掌握Fiddler工具后,可以进行Web端抓包、手机端抓包并分析数据包;可以篡改客户端向服务器提交的数据,也可以篡改服务器响应的数据;根据业务的复杂性也可以进行自定义GET请求、自定义POST请求;所以说Fiddler工具 是功能测试、性能测试和安全测试的必备工具之一。

    692 人正在学习 去看看 董云飞
Fiddler不但能截获各种浏览器发出的HTTP请求, 也可以截获各种智能手机发出的HTTP/HTTPS请求。Fiddler能捕获IOS设备发出的请求,比如IPhone, IPad, MacBook. 等等苹果的设备。  同理,也可以截获Andriod,Windows Phone的等设备发出的HTTP/HTTPS。

最关键的是,对IOS应用抓包时直接在Windows PC上进行,不需要非得在MAC上。下面介绍使用步骤


一、PC上安装Fiddler

步骤略。

二、Fiddler配置 (配置完后记得要重启Fiddler)

打开Fiddler,   Tools-> Fiddler Options 。

选中"Decrpt HTTPS traffic",    Fiddler就可以截获HTTPS请求

选中"Allow remote computers to connect".  是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来





三、手机配置

(1)  网络代理设置

安装Fiddler的机器,跟iPhone 必须在同一个网络里, 否则iPhone不能把HTTP发送到Fiddler的机器上来。一般情况,我们手头上是台式机和手机,台式机只有网线,没有无线wifi,所以和手机不在同一个网络,这时,我们就需要设置代理了

打开iPhone,  找到你的网络连接, 打开HTTP代理, 输入Fiddler所在机器的IP地址(比如:192.168.1.104) 以及Fiddler的端口号8888



(2) Fiddler证书安装

这一步是为了让Fiddler能捕获HTTPS请求。 如果你只需要截获HTTP请求, 可以忽略这一步

1. 首先要知道Fiddler所在的机器的IP地址: 假如我安装了Fiddler的机器的IP地址是:192.168.1.104

2. 打开IPhone 的Safari, 访问  http://192.168.1.104:8888, 点"FiddlerRoot certificate" 然后安装证书






现在大功告成,可以抓包了。iPhone上的应用(比如Safari, Firefox, Itunes, App Store)发出的HTTP/HTTPS都可以被Fiddler获取。 

实例: 打开Safari,  

1. 输入http://www.cnblogs.com/tankxiao.  看看Fiddler能否捕获。

2.  输入https://dynamic.12306.cn/otsweb/   看看Fiddler能否捕获。

是不是HTTP和HTTPS都截获到了?,  你不但能截获, 还可以下断点,修改Request, 修改Response, Do what you want. 


四、注意事项

(1) 用完了, 记得把IPhone上的Fiddler代理关闭, 以免IPhone上不了网。

(2) 只能捕获HTTP,而不能捕获HTTPS的解决办法

有时候会发现, Fiddler 只能捕获IPhone发出得HTTP请求, 而不能捕获HTTPS请求, 原因可能是证书没有安装好。 解决办法是:

1. 先把IPhone上所有的Fiddler证书删除 (拿出IPhone, 点”设置“->“通用”->"描述文件")

2. 安装上面的方法,重新安装Fiddler证书


转载:http://blog.csdn.net/skylin19840101/article/details/43485911

2017-03-18 16:49:58 fabbychips 阅读数 1233
  • Fiddler入门使用

    本套课程讲解了掌握Fiddler工具后,可以进行Web端抓包、手机端抓包并分析数据包;可以篡改客户端向服务器提交的数据,也可以篡改服务器响应的数据;根据业务的复杂性也可以进行自定义GET请求、自定义POST请求;所以说Fiddler工具 是功能测试、性能测试和安全测试的必备工具之一。

    692 人正在学习 去看看 董云飞

  1. Click Tools > Fiddler Options > Connections.

  2. Click the checkbox by Allow remote computers to connect.

    Allow remote computers to connect

  3. Restart Fiddler.

  4. Ensure your firewall allows incoming connections to the Fiddler process.

  5. Hover over the Online indicator at the far right of the Fiddler toolbar to display the IP addresses assigned to Fiddler's machine.

    Online Tooltip

  6. Verify client iOS device can reach Fiddler by navigating in the browser to http://FiddlerMachineIP:8888. This address should return the Fiddler Echo Service page.

  7. For iPhone: Disable the 3g/4g connection.

Set the iOS Device Proxy

  1. Tap Settings > General > Network > Wi-Fi.

  2. Tap the settings for the Wi-Fi network.

  3. Tap the Manual option in the HTTP Proxy section.

  4. In the Server box, type the IP address or hostname of your Fiddler instance.

  5. In the Port box, type the port Fiddler is listening on (usually 8888).

  6. Ensure the Authentication slider is set to Off.

    iOS Proxy Settings

Decrypt HTTPS Traffic from iOS Devices

  1. Download the Certificate Maker plugin for Fiddler.

  2. Install the Certificate Maker plugin.

  3. Restart Fiddler.

  4. Configure the device where Fiddler is installed to trust Fiddler root certificate.

  5. On the iOS device, go to http://ipv4.fiddler:8888/ in a browser.

  6. From the bottom of the Fiddler Echo Service webpage, download the FiddlerRoot certificate.

    Download FiddlerRoot Certificate

  7. Open the FiddlerRoot.cer file.

  8. Tap the Install button.

    Install Profile

  9. Tap the Install button again.

    Warning

Uninstall FiddlerRoot Certificate

If you decide to uninstall the root certificate:

  1. Tap the Settings app.

  2. Tap General.

  3. Scroll to Profiles.

  4. Tap the DO_NOT_TRUST_FiddlerRoot* profile.

  5. Tap Remove.


2019-09-15 17:32:09 zhengdonglingling 阅读数 85
  • Fiddler入门使用

    本套课程讲解了掌握Fiddler工具后,可以进行Web端抓包、手机端抓包并分析数据包;可以篡改客户端向服务器提交的数据,也可以篡改服务器响应的数据;根据业务的复杂性也可以进行自定义GET请求、自定义POST请求;所以说Fiddler工具 是功能测试、性能测试和安全测试的必备工具之一。

    692 人正在学习 去看看 董云飞

1、下载fiddler,打开Fiddler ,设置HTTPS

备注:fiddler工具默认只抓取http,允许监听https,在Options里面设置允许抓取https,勾选下图圈住的选项
 

2、手机上只需安装证书就可以了,步骤如下:

首先设置 代理(需要和电脑是同一个IP),如果不清楚自己本机电脑IP,可进入CMD,输入ipconfig ,查看本机IPv4地址。

2-1、打开手机,找到手机连接的WIFI。见以下截图。

2-2,使用手机浏览器访问自己的代理服务器,如我自己的访问地址为:http://192.168.2.199:8888/

 进入设置,找到已下载描述文件。

 

至此证书已安装完成,手机可以进行抓包了。

 

 

3、如果手机fiddler抓包时出现了tunnel to ......443,可以使用下面的方法解决(常规正常设置之后,依旧显示为   tunnel to ......443问题的    解决方法)

iOS10解决方案:设置——通用——关于本机——证书信任设置,找到fiddler的证书,开启(相当于同意全量监控,所以其他应用不要乱开通)。再试试抓包,就可以显示HTTPS了

 

api24解决方案:安卓没有提供系统层面上的设置,所以只能在应用上下功夫了,需要在应用代码配置中进行配置,相当于开发者留后门,否则就只能root设备,然后绕过证书验证了。严格意义上来说,安卓这是无解的。下面提供代码配置内容吧

<network-security-config>  
      <debug-overrides>  
           <trust-anchors>  
                <!-- Trust user added CAs while debuggable only -->
                <certificates src="user" />  
           </trust-anchors>  
      </debug-config>  
 </network-security-config>
 

 

 

 

 

 

没有更多推荐了,返回首页