朋友让帮忙投票,想着随手一测,没想到真有洞还

web端点击就提示下载手机app,不知道他是咋检测的,就下了某日报app

既然是app,首先使用 fiddler 抓取手机流量,用电脑模拟器或者手机设置代理,将流量转发至电脑

具体步骤

首先需要保证手机和电脑在同一个WiFi下,如果是模拟器那没事了,但是设置方法一样,以手机为例

  1. 在fiddler中启动代理,tools-options

    选择connections,设置代理端口,我用的9999

  2. 手机设置中设置代理,

    服务器主机名填写电脑ip

    端口就是fiddler中设置的端口

    然后在fiddler中就可以抓到app的流量了

就下来就是抓包分析流量,在投票的包中发现sql注入漏洞,本来想测逻辑的

POST /index.php?c=vote&do=pc&p=111100&group=0&id=60 HTTP/1.1
Host: vote2.****.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 104
Accept: application/json
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
Cookie: *****
Origin: http://vote2.****.com
Pragma: no-cache
Referer: ****
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzipu=3614

这个参数u就存在sql注入,使用sqlmap可以成功注入

在cookie和referer中有一些参数没有猜出是啥

使用Fiddler对手机APP抓包渗透测试实战相关推荐

  1. 使用Fiddler对手机APP抓包详细教程

    使用Fiddler对手机APP抓包详细教程 在实现用Fiddler对手机APP抓包过程中遇到了两个很棘手的问题,一个是设置代理后手机就上不了网,在手机上下载证书一直提示下载失败,第二个就是在fiddl ...

  2. 使用Fiddler实现手机APP抓包

    手机上无法直接查看网络请求数据,需要使用抓包工具.Fiddler是一个免费的web调试代理,可以用它实现记录.查看和调试手机终端和远程服务器之间的http/https通信. fiddler没有手机客户 ...

  3. 使用Fiddler对手机App抓包

    一.Fiddler配置 1.配置fiddler允许监听到https:(fiddler默认只抓取http格式的) 点击Tools>Options 选择HTTPS栏,勾选Capture HTTPS ...

  4. Fiddler 网页采集抓包利器__手机app抓包

    用curl技术开发了一个微信文章聚合类产品,把抓取到的数据转换成json格式,并在android端调用json数据接口加以显示: 基于weiphp做了一个掌上头条插件,也是用的网页采集技术:和一个创业 ...

  5. Fiddler实现苹果手机APP抓包

    Fiddler实现苹果手机APP抓包(保证手机与电脑在同一个局域网) Fiddler的设置 如图所示,选择Tools-HTTPS进行勾选,然后进行Connections的设置,端口号改为8888,勾选 ...

  6. (实战项目一)手机App抓包爬虫

    手机App抓包爬虫 1. items.py class DouyuspiderItem(scrapy.Item):name = scrapy.Field()# 存储照片的名字imagesUrls = ...

  7. 常用工具(一)——安卓手机app抓包burpsuite

    手机app抓包 工具:burpsuite 前提条件 1.保证手机与电脑在同一个无线局域网下 2.找到手机网络位置>打开详情>打开代理选择手动>主机名设为电脑IP(如图) 3.burp ...

  8. Fiddler+模拟器进行APP抓包及其注意事项

    Fiddler+模拟器进行APP抓包 安装Fiddler 安装模拟器 Fiddler配置 模拟器配置 导入https证书 成果 在配置中常见的问题 设置代理后无法联网 无法打开自定义规则 安装Fidd ...

  9. 爬虫之手机APP抓包教程-亲测HTTP和HTTPS均可实现

    当下很多网站都有做自己的APP端产品,一个优秀的爬虫工程师,必须能够绕过难爬取点而取捷径,这是皆大欢喜的.但是在网上收罗和查阅了无数文档和资料,本人亲测无数次,均不能正常获取HTTPS数据,究其原因是 ...

最新文章

  1. 云从完成超过18亿元新一轮融资,加快上市步伐
  2. Solaris和Linux的比较、区别、异同云云。。。
  3. iOS App 升级时文件的保留情况
  4. 分享一些有趣的面试智力题
  5. poj3261(求至少出现k次的可重叠的子串的长度)
  6. 微型计算机电源的选购应注意哪些问题,购买小功率ups电源的注意事项
  7. 关于 SAP Fiori Elements 应用标题属性(title) 的复制逻辑单步调试
  8. 强化学习《基于价值 - Double Q-Learning》
  9. 实现ViewPager一次滑动多页(保持居中)
  10. php中怎么引用js变量_理解下 Go 中的引用是怎么回事
  11. 欧几里德算法(求最大公约数和最小公倍数)
  12. 信息源按加工深度划分_信息检索教程
  13. Java:反射的常用用法,
  14. 知乎网站胡说八道,误人子弟!
  15. 使用Timer实现Flutter启动页
  16. IT大侦“碳”:VxRail的可持续法宝
  17. 10kV高压开关柜无线测温系统设计及产品选型
  18. 微信web开发者工具-移动调试iphone端的调试
  19. 红外线测温仪方案开发
  20. python分支结构保留字_Python控制语句(分支结构与选择结构,循环结构)

热门文章

  1. (转)Kangle配置文件
  2. Oracle中MONTHS_BETWEEN函数的使用
  3. 图解计算机中的数值范围和浮点数运算
  4. linux获取时间戳精确到毫秒,微妙
  5. 课程格子创始人李天放:在工具+社交中寻找机会
  6. 一缕黑暗中的火光-----------初识UML--------------优雅的建模语言
  7. 【数仓设计】宽表和窄表
  8. python做日历牌_2021年来了,从Python定制一份日历开始吧!
  9. 三星I9220刷机包 新蜂ROM V4.1 高级设置 全透明天气插件
  10. 计算机网络编辑员题目,大学生考证:网络编辑考试