點擊上方↑↑↑藍字
[
協議分析與還原
]
關注我們
“ 介紹Fiddler的HTTPS抓包功能。”
這里首先回答下標題中的疑問,fiddler抓包帶鎖的原因是HTTPS流量抓包功能開啟,但解密功能未開啟導致,只需要將HTTPS流量解密功能開啟就能解決問題。
01
—
作為一款著名的HTTP/HTTPS協議分析工具,Fiddler與Charles、Burp Suite三分天下,不僅能抓本機流量,還能抓取代理流量,功能十分強大,本公眾號之前已經有多次專門的介紹:
在各種應用協議的分析中,也一直有Fiddler的使用。特別是對各個應用的HTTPS流量抓包,Fiddler堪稱神器。
只是,之前有疏忽,以為大家都很有經驗,沒有專門對Fiddler的HTTPS抓包功能進行介紹,以至於許多朋友對Fiddler抓包時出現帶鎖的數據包表示疑惑,因此這里再次專門對此進行介紹,希望對大家有幫助。
對Fiddler的基礎學習,可以點擊上面的鏈接進去看,還算介紹得比較詳細。
02
—
下面將着重介紹fiddler抓包帶鎖的解決辦法。
在使用fiddler抓包的過程中,經常會出現下面的這種情況,抓到的包帶鎖了:
這種情況下,抓包的左邊顯示的HTTP對都帶鎖了,host顯示的是“tunnel to”右邊報文區域顯示的是“CONNECT .....”和“Connection Established”,很多人看了不知道是怎么回事,其實這是因為真實的連接是HTTPS的,但經過fiddler的代理,所以顯示的是HTTP跳轉,代表一個抓到的HTTPS連接對,但流量沒有被解密,這時候右邊報文區域顯示了黃色提示“HTTPS decryption is disabled.”
不過Fiddler是解密HTTPS流量的,但是,需要在設置中打開才能解密。
設置在“tools--options…--HTTPS”菜單選項里,抓包帶鎖的時候的設置是下面這樣,“Capture HTTPS CONNECTS”是打勾了的,但“Decrypt HTTPS traffic”是沒有打勾的:
如果我們不想抓HTTPS連接則把上面的勾去掉就可以了,如果想解密HTTPS流量,則把設置里下面的勾也打上:
下面會出現解密HTTPS流量的更詳細設置,可以根據需求作選擇,當然,一般默認的就可以了,更詳細的說明可以參考前面提到的三篇文章。
打開解HTTPS流量后,再用fiddler抓包,出現HTTPS流量的時候就被自動解密了,像下面這樣子:
可以看到,還會有帶鎖的HTTP對,但是,每個帶鎖的HTTP對后面,都會跟着一個protocol為HTTPS,host與這個帶鎖的HTTP對的URL相同的可以點開查看報文內容的HTTPS對。這個就是對應的解密開的HTTPS對,我們可以忽略前面帶鎖的HTTP,直接關心能看到內容的HTTPS對就可以了。
03
—
Fiddler對協議分析很有用,對觀察應用內部的實現很有價值,能很大地提高對應用的逆向破解及漏洞利用效率,當然,對各類數據采集程序的開發的價值也相當大,大家一定要合理地利用工具,產出有價值的作品。
對fiddler抓包帶鎖的介紹就到這里了,如果有需要,后面會繼續對fiddler的使用進行介紹,希望大家都有收獲。如果有任何想法或者需要幫助,可以聯系我,不要羞澀。
當然,文章請多多轉發,大家一起嗨起來。
長按進行關注,時刻進行交流。
點擊“
在看
”,與朋友一起分享↘