在滲透過程中,需要對每一個參數,每一個接口,每一個業務邏輯構建測試用例,為此,抓包分析是必不可少的一個過程。在PC端,Burpsuite成為了滲透必備的神器,然而,使用Burpsuite有時候抓取不到手機的HTTPS數據。
本文通過Charles解決手機抓不到包的問題及其使用過程中可能存在的一些問題。
環境准備
1、Windows開啟Wifi共享。
2、將自己手機和電腦連上同一個wifi。
Charles設置
下載地址:https://www.charlesproxy.com/download/
第一步:配置HTTP代理,設置代理:主界面--Proxy--Proxy Settings
選擇在8888端口上監聽,然后確定。勾選了SOCKS proxy,還能截獲到瀏覽器的http訪問請求。
第二步:配置SSL代理: 首先在charles的 Proxy選項選擇SSL Proxy Settings
第三步:為手機設置代理
在手機接入電腦wifi,配置手動代理,輸入安裝Charles的電腦的網絡地址,端口填8888。
以IOS為例,在Safri上打開Charles的根證書下載網址: chls.pro/ssl ,點擊允許,開始下載。
設置--已下載描述文件--安裝:
接下來需要設置信任證書,在手機設置→通用-->關於本機-->證書信任設置里信任該證書:
第四步:SSL 代理設置,在Proxy-SSL Proxying Settings,添加域名
問題:訪問不到http://chls.pro/ssl或者用charles抓取手機APP,什么都是配置正確的,但是卻抓不到數據。
首先,請確保電腦的防火牆是關閉狀態,這個很重要。
參考鏈接:
https://www.jianshu.com/p/7a88617ce80b
https://www.cnblogs.com/fighter007/p/9156121.html