Fiddler是一個http協議調試代理工具,它能夠記錄並檢查所有你的電腦和互聯網之間的http通訊,設置斷點,查看所有的“進出”Fiddler的數據(指cookie,html,js,css等文件,這些都可以讓你胡亂修改的意思)。 Fiddler 要比其他的網絡調試器要更加簡單,因爲它不僅僅暴露http通訊還提供了一個用戶友好的格式。
(1)Fiddler4的下載與安裝教程
打開百度首頁,搜索“fiddler 4”,如下圖所示:
下載文件到本地後,右鍵安裝文件,以管理員身份運行,如下圖所示:
選擇路徑安裝或者默認,安裝成功後,打開fiddler4,並用瀏覽器打開某個網站,可以在fiddler的軟件界面中,看到http協議調試的結果分析,如下圖所示:(2)Fiddler對應用抓包圖文教程,以安卓應用爲例:
如下圖設置Fiddler 代理:
點擊OK,在這裏代理就設置完成,一定要重啓軟件配置才生效,下面是手機端的設置。手機設置,以紅米手機爲例:
找到手機的Wifi,必須電腦和手機處於同一個Wifi下。最好是電腦發一個Wifi出來。在cmd中輸入ipconfig,即可查找到主機號。
選擇所使用的wifi熱點,修改網絡配置:
代理設置爲:手動;代理主機名爲電腦的IP,端口就是剛纔Fiddler設置的端口,默認是8888,設置完成後點“確定“。
(3)模擬器(android 2.3)設置
到這裏設置完成,讓我們看看都抓到什麼東東。
我們看看愛奇藝吧,獲取頁面內容如下:
不禁感嘆,很好很強大~~
提示:Fiddler可以設置過濾,可以很方便看到我們想要的Http包:
2.Charles
無獨有偶,Charles與Fiddler很相像。下面我們再來看看Charles。
(1)前言:Charles是一款抓包修改工具,相比起burp,charles具有界面簡單直觀,易於上手,數據請求控制容易,修改簡單,抓取數據的開始暫停方便等等優勢!下面來詳細介紹下這款強大好用的抓包工具。
(2)下載與安裝
首先是工具下載和安裝 首先需要下載java的運行環境支持(一般用burp的人肯定也都有裝java環境)。裝好java環境後,可以直接去百度搜索並下載charles的破解版,下載到破解版之後,裏面一般會有註冊的jar文件,然後註冊後就可以永久使用了(ps:不註冊的話,每次使用30分鐘,工具就會自動關閉)。
(3)PC端抓包
下面是pc端的抓包使用情況 Charles支持抓去http、https協議的請求,不支持socket。
然後charles會自動配置IE瀏覽器和工具的代理設置,所以說打開工具直接就已經是抓包狀態了。 這裏打開百度抓包下,工具界面和相關基礎功能如下圖所示:
上圖中的7個位置是最常用的幾個功能。
① 那個垃圾桶圖標,功能是clear,清理掉所有請求顯示信息。
② 那個望遠鏡圖標,功能是搜索關鍵字,也可以使用ctrl+f實現,可以設置搜索的範圍。
③圓圈中間紅點的圖標,功能是領抓去的數據顯示或者不顯示的設置。 這個個人認爲是charles工具很方便的一個兩點,一般都使其爲不顯示抓去狀態,只有當自己測試的時候的前後,在令其爲抓取並顯示狀態。這樣可以快準狠的獲取到相關自己想要的信息,而不必在一堆數據請求中去尋找。
④ 編輯修改功能,可以編輯修改任意請求信息,修改完畢後點擊Execute就可以發送一個修改後的請求數據包。
⑤ 抓取的數據包的請求地址的url信息顯示。
⑥ 抓取的數據包的請求內容的信息顯示。
post請求可以顯示form形式,直觀明瞭。
⑦返回數據內容信息的顯示。
其中⑤、⑥、⑦中都有各種形式的數據顯示形式,其中raw是原始數據包的狀態。
(4)顯示模式
charles抓包的顯示,支持兩種模式,Structure和Sequence,其優點分別如下。
Structure形式如下圖 優點:可以很清晰的看到請求的數據結構,而且是以域名劃分請求信息的,可以很清晰的去分析和處理數據。
Sequence形式如下圖 優點:可以很清晰的看到全部請求,不用一層一層的去點開,這裏是以數據請求的順序去執行的,也就是說那個請求快就在前面顯示。
具體要說兩種形式哪個更好,這個就是見仁見智了。本人比較喜歡第一種,溫柔細膩!
(5)移動APP抓包
這裏相比其他抓包軟件來說要簡單的多了,具體步驟如下:
① 使手機和電腦在一個局域網內,不一定非要是一個ip段,只要是同一個漏油器下就可以了,比如電腦連接的有線網ip爲192.168.16.12,然後手機鏈接的wifi ip爲192.168.1.103,但是這個有線網和無線網的最終都是來自於一個外部ip,這樣的話也是可以的。
②下面說說具體配置,這裏電腦端是不用做任何配置的,但是需要把防火牆關掉(這點很重要)!
然後charles設置需要設置下允許接收的ip地址的範圍。 設置首先要進入這個位置 Proxy - Access Control Settings 然後如果接收的ip範圍是192.168.1.xxx的話,那麼就添加並設置成192.168.1.0/24 如果全部範圍都接收的話,那麼就直接設置成0.0.0.0/0
然後如果勾選了Proxy - Windows Proxy 的話,那麼就會將電腦上的抓包請求也抓取到,如果只抓手機的話,可以將這個設置爲不勾選。
(6)接下來下面是手機端的配置
設置方法與Fiddler的設置一模一樣。首先利用cmd - ipconfig命令查看自己電腦的ip地址。
然後在手機端的wifi代理設置那裏去進行相關的配置設置。
這裏的代理服務器地址填寫爲電腦的ip地址,然後端口這裏寫8888(這個是charles的默認設置),如果自己修改了就寫成自己所修改的端口就可以了。
這樣就配置完成就大功告成了!下面打開UC瀏覽器或者其他東西,隨便訪問個網頁看有沒有抓取到數據就可以了。
(7)其他常用功能
上面介紹的那些已經學會了,下面再說說charles的一些其他常用的功能。
選擇請求後,右鍵可以看到一些常用的功能,這裏說說Repeat 就是重複發包一次。 然後Advanced Repeat就是重複發包多次,這個功能用來測試短信轟炸漏洞很方便。
還有比如說修改referer測試CSRF漏洞,修改form內容測試XSS,修改關鍵的參數測試越權,修改url、form、cookie等信息測試注入等,都非常方便。
這款工具的介紹就到這裏了,相信這款方便好用的工具,以後肯定會被更多的人使用到的。至於要選擇Fiddler還是charles,那麼就根據個人的情況來選取吧,各有各的強大~~
(8)charles使用問題彙總
Charles是一款很好用的抓包修改工具,但是如果你不是很熟悉這個工具的話,肯定會遇到各種感覺很莫名其妙的狀況,這裏就來幫你一一解答。
① 爲什麼下載了不能用啊?打不開啊。
因爲charles是需要java環境才能運行的,需要先安裝java環境纔可以。
② 爲什麼我用着用着就自動關閉了?大概30分鐘就會關閉一次。
因爲charles如果沒有註冊的話,每次打開後就只能喲個30分鐘,然後就會自動關閉,所以最好在使用前先按照說明去進行工具的註冊操作。
③爲什麼我在操作的時候有時候就直接工具就界面卡住死了,關都關不掉,只能用任務管理器纔可以關掉?
這個的確是charles這個工具的一個bug,開始用的時候,我也很噁心,而且經常悲劇,但是現在也有相應的解決辦法了,下面那樣操作就可以了。
首先隨便抓些包,要求有圖片的請求。
然後選中一個圖片的請求,然後分別點擊 Response - Raw 然後那裏會加載其中的內容,然後加載完畢後,再去隨便操作就可以了,就不會在悲劇的直接工具卡死掉了。。。
④爲什麼用了charles後,我就上不了網頁了,但是qq可以。
因爲如果charles是非正常狀態下關閉的話,那麼IE的代理就不會被自動取消,所以會導致這種情況。
解決辦法:
第一種:直接打開charles,然後再正常關閉即可。 第二種:去將IE瀏覽器代理位置的勾選去掉。
⑤爲什麼我用charles不能抓到socket和https的數據呢?
首先,charles是不支持抓去socket數據的。 然後,如果抓不到https的數據的話,請查看你是不是沒有勾選ssl功能。 Proxy - Proxy Settings - SSL 設置
⑥爲什麼我用charles抓取手機APP,什麼都是配置正確的,但是卻抓不到數據。
首先,請確保電腦的防火牆是關閉狀態,這個很重要。
如果,防火牆關了還是不行,那麼請把手機wifi斷掉後重新連接,這樣一般就可以解決問題了。 如果以上方法還是不行的話,那麼請將手機wifi位置的ip地址設置成靜態ip,然後重啓charles工具。
⑦抓包後發現form中有些數據顯示是亂碼怎麼辦?
請在Raw模式下查看,Raw模式顯示的是原始數據包,一般不會因爲編碼問題導致顯示爲亂碼。
⑧ 我用charles抓手機app的數據,但是同時也會抓去到電腦端的數據,可以設置嗎?
可以,設置位置在Proxy - Windows Proxy ,勾選表示接收電腦的數據抓包,如果只想抓去APP的數據請求,可以不勾選此功能。
⑨爲什麼我用IE可以抓到數據,但是用360或者谷歌瀏覽器就不行?
請確保360或者谷歌的代碼設置中是不是勾選設置的是 使用IE代理。
還有,想要複製粘貼某些數據的話,怎麼辦,右鍵沒有相應功能啊?
請直接使用Ctrl +C 和 Ctrl+V 即可。
以上就是charles在使用過程中常見的10中問題和相應的解決情況,有了這個文章,大家就不用在遇到問題的時候懊惱了。
3.Wireshark
Wireshark 是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包, 並嘗試顯示包的儘可能詳細的情況。
二.娛樂類產品業務邏輯圖
三.分析數據和篡改數據(以Fiddler爲例)
1、攔截http包修改替換數據:當確認連接成功後,選擇好需要的接口並雙擊。點擊get請求的鏈接,可以查看到服務器所下發的所有的數據,將所有內容貼出來,用json在線編輯器(http://www.qqe2.com/)或者是json轉換器(http://www.jsoneditoronline.org/)轉換成json格式,格式化後可以清晰的查看數據,查找需要替換的測試數據直接在json編輯器上編輯,保存。
2.如需轉化帶有中文編碼到Unicode
(1)修改後將內容利用unicode將中文符轉換回來,不然會出錯。
(2)unicode轉換器地址:http://tool.chinaz.com/tools/unicode.aspx
(3)將轉換後的內容貼到一個txt文檔中並起一個自定義的名稱,如:修改測試主頁圖片與名稱。
3.正則化:修改url請求,令下次同樣的請求匹配
(1)進入AutoResponder選項,左側要替換內容的接口點選中的前提下,點擊Add Rule,添加接口並勾選(默認添加後是勾選的)
(2)點擊最下面一欄的Find a file 選項,並選中之前編輯好的文檔,點擊save保存,將上方三個勾選框選中。
(3)完成,刷新手機驗證數據是否成功修改。
4.篡改數據
此時把剛剛修改好的json格式存文地文本修改,查看客戶端展示效果。
修改前:
修改後:
四.Fiddler工具代理重定向用法
Host設置服務器重定向(服務端支持)
具體步驟:Tools - HOST... - 勾上勾選框並輸入指定的ip和host,點擊sav保存後刷新app數據即可請求新服務器數據。
例如:
註釋加個#:
友情提醒:
1.fiddler使用完畢後,需要把手機上的Fiddler代理關閉,避免Fiddler關閉後手機不能上網。
2.重構造數據或重定向接口、服務器後,把Fiddler的設置關閉(尤其是host設置),否則下次使用時容易出現誤操作,數據仍然是之前的數據。