前言
最近挖了一波src,挖来挖去发现有很多公众号或者app没有测试,这就需要Burp能够抓取手机的数据包了,可以采用安卓虚拟机或者物理机的方式,这里就用自己的手机进行演示,顺便记录一下容易踩坑的点
注定失忆着相遇
准备工具
Burp Suite
首先需要准备一下Burp,刚好趁这个机会更新了一下burp,直接更新到v2023.2.1,用起来很舒服,Burp安装教程可以参考如下博文
burp安装教程
burp安装教程2
安装过程大同小异,我这里踩了一个坑,如果专业版安装的时候提示证书无效,可以尝试换个低版本的jdk,┭┮﹏┭┮
物理机或虚拟机(移动设备)
当然可以装个安卓模拟器之类的,教程太多了,这里直接用真机来演示,手机是Redmi的
手机抓包
网络环境
!注意:首先确保你的安装虚拟机或真机和电脑连接到同一个局域网,这里首先将手机和电脑一起接入同一个WIFI,查看电脑无线网卡的IP地址,注意要找准网卡
开启burp并设置代理
开启我的全新burp并设置代理,老版本设置的流程也差不多
手机配置代理
在手机WIFI设置处配置代理
安装Burp证书
利用手机浏览器访问 电脑IP:监听端口,这里我访问的是10.197.10.101:8881,点击下载证书
下载好了之后遇见一个大坑,这个证书怎么都安装不了,不知道是不是mi手机的原因,需要把证书的扩展名从der改成cer,在文件资源管理器中修改证书扩展名
修改好之后,在设置中搜索证书,然后正常安装即可
开始抓包
如果一且顺利的话就可以开启Burp的抓包功能开始愉快的玩耍啦( •̀ ω •́ )y
验证自己有没有抓到包可以通过请求包的User-Agent字段是否来自移动端设备来判断~
踩坑
1.手机电脑注意连接上同一个WIFI
2.证书记得修改扩展名
3.注意并不是所有的数据包都能抓到,比如QQ,微信发送的消息可能没有走应用层的协议,或者用了一些更底层的协议是抓不到的,这种需要Wireshark才能抓到
后记
如果没有那么顺利的话,欢迎评论区留下你的疑问哦(⊙o⊙)