原文连接:安卓模拟器APP\微信小程序\HTTPS抓包教程 2021.10
安卓模拟器APP\微信小程序\HTTPS抓包教程2021.10原创 cyj安全龙 安全从业人员在IP/TCP通信世界游荡,离不开HTTPS协议抓包,对数据包进行重放攻击测试。 通过:0x1-0x9,2个核心步骤,19张截图+文字,带你简单快速攻克,安卓模拟器APP\微信小程序\HTTPS抓包。 环境描述: 夜神模拟器 最新版.7.0 安卓 5.0 微信版本8.0.3 BURP抓包工具 0x1 通过夜神多开器新增安卓5.0系统 核心步骤说明1:安卓5.0,还支持“用户”允许自设https认证,安卓7.0则需要“系统”证书才能通过https认证。对于安卓7.0的“系统”证书安装还是很麻烦,所以选用可行性较高的安卓5.0. 使用文件助手工具方便,电脑与模拟器上传文件 0x2 下载burp,cacert.der证书 0x3 通过火狐浏览器将der证书转成X.509 crt证书 核心步骤说明2:由于安卓系统不支持直接burp下载的der证书安装,所以利用火狐浏览器的证书进行导入导出,得到x.509 crt证书。 0x4 通过模拟器"文件助手"将火狐浏览器导出的PortSwiggerCA.crt证书复制到模拟器 0x5 通过安卓系统设置>安全>从SD卡安装证书 这里会提示让你设置一个安卓解锁密码,设置好后证书就显示已安装。 0x6 电脑配置BURP局域网抓包代理服务 正常你的电脑局域网ip是192.163.0.xx,这里我隐藏,因为环境不是自己搭建的路由器。 0x7 模拟器安卓配置与burp对应的局域网代理ip+端口 0x8 用模拟器微信打开微信小程序测试抓https包 0x9 微信小程序https抓包成功,response返回正常 结语:HTTPS协议抓包,对数据包进行重放攻击测试,的时代已经过去了。很多运用或者web,都对request请求包进行签名验证。技术门槛的提高,你只能不断学习,学什么呢?js逆向.... | 
发表于 2021-10-13 17:16:46