目录
1.安装并配置Fiddler
1.1.DownLoad
1.2.设置 Connections
1.3.设置 HTTPS
2.为Android手机设置代理
2.1.移动端设置
2.2.PC端设置
3.监听、抓包实例
3.1.监听图片类型实例
3.2.Fiddler界面详解
3.3.图标含义
3.4.两个延伸的结论
4.改包实例
5.可能的报错与解决办法
5.1.Fiddler创建证书报错“Creation of the root……”
5.2.手机安装http证书报错“无法安装该证书……”
5.3.手机端网页报错“没有可用连接……”
1.安装并配置Fiddler
1.1.DownLoad
https://www.telerik.com/fiddler
请自行解压安装,并打开至初始界面
1.2.设置Tools -> Fiddler Options -> Connections
勾选 Allow remote computers to connect
监听端口默认是8888,可以把它设置成任何你想要的端口
为减少干扰,可以去掉“Act as system proxy on startup”
1.3.设置Tools -> Fiddler Options -> HTTPS
勾选 Decrypt HTTPS traffic
通过WiFi远程连接,在下面的选项框中选择“…from remote clients only”
如果你要监听的程序访问的HTTPS站点使用的是不可信的证书,则请接着把下面的“Ignore server certificate errors”勾选上(不然可能后面会报错“证书未成功安装”)。
2.为Android手机设置代理
2.1移动端设置
首先建议对局域网概念有所了解,有一些组网和IP地址相关知识,在复杂环境中对排查问题会有帮助。
首先 WIN+R -> CMD -> ipconfig
看一下主机的IPv4地址:
主机名填ip地址,端口8888
在手机自带浏览器地址栏输入主机IP+端口
例:192.168.0.133:8888
顺利的话,会跳转到 Fiddler Echo Service 界面。
点击最下方链接,并安装文件,这个文件是解决证书问题的。
命名随意,用途选v*n和应用。
若导入证书的时候弹出:“输入凭据存储的密码”,则需要先设置锁屏密码才能使用凭据存储。
其他无法链接服务器的问题,请搜索其他攻略自行解决,不同环境有不同方法。
2.2.PC端设置
重启Fiddler
如出现【证书错误】,参照下方报错解决办法
3.监听、抓包实例
3.1.监听图片类型实例
以图片类型为例,比较直观。
作为一个直男,我比较喜欢【高圆圆】。
(但残酷的事实证明,“学法律娶不了高圆圆”)
然后我用手机翻微博。
此时,手机在Fiddler的监听中,所有前后台数据一览无余。
截图删除了重复帧,所以显得有些快。
原理是,手机和主机处于同一局域网(网关:192.168.0.X),手机将主机作为一个代理传输数据。数据是以打包的形式“分段”发送,而Fiddler可以截获这些数据包。
3.2.Fiddler界面详解
https://www.cnblogs.com/chengchengla1990/p/5681775.html
3.3.图标含义
https://www.cnblogs.com/Nick1994/p/8491631.html
3.4.两个延伸的结论
- 所有代理,都存在安全风险,理论上都可以截取用户传输的数据,包括隐私内容。
事实上,即使牛逼如【Tor浏览器】,依然会有遇到【蜜罐节点】的风险。
互联网不是法外之地。技术不达标前,不要乱说话哦。
2)公共区域的wifi不安全。同理。
4.改包实例
篇幅较多,内容敏感,此处省略1000字。
只谈谈几个笔者知道的用途。
【支付】获取支付请求后,在支付平台存在漏洞的前提下,截取移动端提交给服务器的包,修改价格参数后发送,欺骗服务器实现支付。
【红包】很多平台一次只能领取一个红包,在红包规则存在漏洞的前提下,通过截取数据包并修改参数,可将该条数据复制100次发送,可以实现一次批量领取100个红包。
【刷量】社交平台消息一次只能回复一条,在回复规则存在漏洞的前提下,截取数据包修改参数,可以将数据复制100次发送,就可以实现一次回复100条(同一ID)。
武功无罪,如果有过错,在于习武之人。
成年人要为自己的行为负全部责任,郑重警告,请勿将以上内容用于非法用途。
5.可能的报错与解决办法
5.1.【Fiddler创建证书报错】
Q:Fiddler报错 “creation of the root certificate was not successful”
A:https://my.oschina.net/u/3183495/blog/1550867
5.2.【手机安装https证书报错】
Q: “无法安装该证书,因为无法读取配置文件”
A:前提是,要使用 “ip:端口号” 的方法先去下载好证书。然后手机上:设置 —> 安全 —> 从手机存储安装(或者是:设置 —> 其他设置 —> 设备与隐私 —> 从存储设备安装证书),找到需要安装的证书,安装即可。
5.3.【手机端网页报错】
Q: “没有可用连接。因为代理服务器故障或其地址有误”
A:重看几遍不同版本的Android手机设置代理的说明
//在律所和家两个局域网环境下都配置成功了,遇到了并解决了一堆小bug