搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 天钧信息安全技术研究中心 > 利用BurpSuite抓取ios通信包

利用BurpSuite抓取ios通信包

天钧信息安全技术研究中心 2017-09-27

BurpSuite这个工具大家应该都知道,web渗透测试必备工具,其操作起来也相对简单,设置完代理,监听浏览器,抓包,改包,balabala……

今天不给大家介绍Spider、Scanner、Intruder、Repeater等功能的具体使用,这里要说说如何利用BurpSuite抓取ios设备上的通信包。

 在cmd中查看本机ip

利用BurpSuite抓取ios通信包


利用BurpSuite抓取ios通信包


2、生成证书。

点击Import/export CA certificate

利用BurpSuite抓取ios通信包


选择Export中第一项

利用BurpSuite抓取ios通信包


点击next,自定义证书名称后,生成证书。

3、将生成的证书保存至网盘,在Safari下载并安装证书。

利用BurpSuite抓取ios通信包


利用BurpSuite抓取ios通信包


4、在手机中设置代理

利用BurpSuite抓取ios通信包


至此,设置完毕,可以利用BurpSuite抓包了,我们来测试一下。

手机访问freebuf网站,从User-Agent可以看出确实是通过手机访问的。

利用BurpSuite抓取ios通信包


点击登录按钮,跳转至登录界面,输入用户名、密码、验证码,抓取一下登录信息。

利用BurpSuite抓取ios通信包


可以看到输入的用户名和密码,还是明文传输的哦。是不是很简单?别着急,还有个要点要和大家说。

在抓取使用SSL或者TLS传输的流量时,需要安装专门的证书,以pan.baidu.com为例。

在电脑上访问百度,由于设置了代理,百度又是https协议,所以显示如下界面

利用BurpSuite抓取ios通信包


点击高级——添加例外——查看——详细信息——导出


然后像上一个例子那样安装证书,安装成功后,在手机的浏览器中访问pan.baidu.com,查看抓取的数据包。


今天就为大家介绍到这,觉得有用就点个赞吧。

版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《利用BurpSuite抓取ios通信包》的版权归原作者「天钧信息安全技术研究中心」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注天钧信息安全技术研究中心微信公众号

天钧信息安全技术研究中心微信公众号:HT70604

天钧信息安全技术研究中心

手机扫描上方二维码即可关注天钧信息安全技术研究中心微信公众号

天钧信息安全技术研究中心最新文章

精品公众号随机推荐