首页
社区
课程
招聘
[原创]Android安全教程
发表于: 2016-3-8 17:51 19022

[原创]Android安全教程

2016-3-8 17:51
19022

Android安全教程(1)---Fiddler简易使用教程之配置环境


【原创】Android安全教程(2)---Fiddler简易使用教程之使用


Android安全教程(3)---Fiddler简易使用教程之抓取https包


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 3
支持
分享
最新回复 (33)
雪    币: 28
活跃值: (36)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
如果不会使用Fidder的朋友先去看下
http://bbs.pediy.com/showthread.php?p=1418876#post1418876
这篇文章,然后在继续。

0x00
    Fidder的强大莫过于断点请求,那么我们就来讲解简单的使用。

0x01 断点的设置
    1)对所有的请求响应加入断点。点击菜单中的Rules-->Automatic Breakpoint,里面有三个选项:
         Before Request:对所有的Request请求都会暂停
         After Response:  对所有的Response响应都会暂停
         Disable: 清除
         
    2)对某一网址设定断点。 在软件的左下角,有个快速命令行,在此输入命令即可。
        设定: bpu  www.baidu.com
        清除: bpu
      

0x02修改Request
    首先,在快速命令行中输入bpu www.163.com,当我们在浏览器请求www.163.com的时候就会进行拦截。
   然后,我们在Session窗口中选中www.163.com的请求,在Request窗口中对其修改,我们将地址跳转到www.ifeng.com中去。修改完后,按下“Run to Completion”,恢复中断请求。这时候我们就会发现我们的网址内容为ifeng的了。其他的就不做修改了。
   
     

0x03使用AutoResponder修改Respone
    AutoResponder是Fidder的核心功能,AutoResponder可以自动的修改Response请求中信息。
    我们将准备将http://blog.csdn.net/obuyiseng/中的logo进行替换。
    首先,我们输入http://blog.csdn.net/obuyiseng/获取到logo的图片请求地址(http://avatar.csdn.net/3/A/B/1_obuyiseng.jpg)
    然后,在Fidder工具中,选择AutoResponder,并选择Enable rules 和 Unmatched requests passthrough
   再次,选中Add Rule,在Rule Editor窗口中填写请求的地址和我们要替换的地址(可以是本地的文件,也可以是网络的图片),然后Sava保存。
   最后,我们再用浏览器打开 http://blog.csdn.net/obuyiseng/就会发现logo变更了。
   
   
上传的附件:
2016-3-8 18:38
0
雪    币: 144
活跃值: (178)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不错写得非常详细,期待更多
2016-3-8 19:30
0
雪    币: 144
活跃值: (178)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
有细节部分可以交流吗?
2016-3-8 19:34
0
雪    币: 28
活跃值: (36)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
共同学习
2016-3-8 20:47
0
雪    币: 50161
活跃值: (20665)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
6
欢迎发论坛一份,多交流。
这个精华是针对这个系列的,将3个主题帖合并成一个帖了。
2016-3-8 21:08
0
雪    币: 28
活跃值: (36)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
其实本不打算在写关于Fiddler的东西了,但是昨天有哥们留言问是否可以说下抓取https,本着助人如助己的心愿,整理此文章,大牛请绕过。
      个人能力有限,有错误之处请予以斧正,谢谢!!!
      
      fiddler是可以捕获https请求的,先上图:
     
      
      接下来我们来开始讲解操作:
      第一步:配置Fiddler
      选中Tools--> Fiddler Options
            connections选项卡中将Allow remote computers to connect勾选上
            
            Https选项卡中勾选上Decrypt https  traffic ,并选中Actions中的 Trust Root Certificate(出现对话框选择 yes),再选择Export Root Certificate to desptop,会在桌面上看到一个名称为FiddlerRoot.cer的证书文件,然后确定保存即可
            
            
            
     第二步:配置证书
     1)打开系统管理(Microsoft Management Console)
          在dos命令行上输入mmc即可
         
      2)添加证书
          选择文件-->添加删除管理单元-->选中证书-->点击添加
           
          选择计算机账户
         
         点击下一步选择本地计算机,然后点击完成即可
         
          点击 刚刚添加的证书中的 “受信任的根证书”中的“证书”,右键“所有任务”中的“导入”
          然后将在1中导出到桌面上的证书“FiddlerRoot.cer”进行导入即可。
           
          下图就是导入的证书效果
           
      第三步
         接下来我们访问https请求的网址即可, 我们访问百度就行了https://www.baidu.com/
      
上传的附件:
2016-3-11 15:03
0
雪    币: 76
活跃值: (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
好文,建议加精。
2016-3-11 15:50
0
雪    币: 4
活跃值: (821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
Fiddler发了三帖..麻烦了
其实,手机自带浏览器输入:设置的代理IP:Port
直接可下载安装证书。。
2016-3-11 18:04
0
雪    币: 28
活跃值: (36)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
  如果论坛有资料的话 我是不会发的   菜鸟一枚让大神见笑了
2016-3-11 23:13
0
雪    币: 269
活跃值: (906)
能力值: ( LV12,RANK:345 )
在线值:
发帖
回帖
粉丝
11
你这个确实有点繁琐了,不知道一篇主题为何要分开发这么多,况且百度里也有使用说明就是设置个代理的问题
2016-3-12 08:24
0
雪    币: 28
活跃值: (36)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
不好意思  分开发 是因为写的“太繁琐”了  和  时间点问题,   以后不会了 帖子会在下周删除
2016-3-12 12:07
0
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
13
感谢分享。。
2016-3-12 21:29
0
雪    币: 219
活跃值: (853)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
14
THK  正好 我开始转行。。
2016-3-13 14:36
0
雪    币: 88
活跃值: (176)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
这个还优秀,是不是太扯淡了?网上一搜一大把的东西,而且这个教程并不适合于所有https抓包,有些api的https使用用这种方法是抓不了包的
2016-3-13 17:27
0
雪    币: 5648
活跃值: (2308)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
感谢分享!
2016-3-14 19:47
0
雪    币: 102
活跃值: (2185)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
mark一下。。
2016-3-15 10:15
0
雪    币: 6
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
学习一下
2016-3-15 10:26
0
雪    币: 51
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
感谢分享!
2016-3-16 13:00
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
支持LZ , 给我们这些小白涨了姿势
2016-3-17 14:24
0
雪    币: 271
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼主可以试试Fiddler的脚本 C#写的  

类似的工具还有
burpsuite   -> java
wireshare  -> lua

关于Android 可以写一套自动化控制模拟器的启动 APP启动 自动点击APP所有按钮(github已有开源项目)
批量抓包 批量扫SQL XSS .....
2016-3-18 10:55
0
雪    币: 2950
活跃值: (1793)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
25
请注意措词,对于这些内容我是不懂,所以不评说,但是楼主愿意分享心得总结就是好事。楼主在分享时,已经要求大牛绕过了。
2016-3-18 10:55
0
游客
登录 | 注册 方可回帖
返回
//