0x01.web请求、web环境、抓包技巧

网站搭建

• DNS解析
• 域名选择
• http/https
• 证书
• 服务器

---

web应用环境架构

操作系统

• linux
• windows

开发语言

• php
• java
• ASP/ASPX
• python等

程序源码

• CMS
• 开发框架等

中间件容器

• apache
• nginx
• IIS
• weblogic
• JBoss
• tomcat等

数据库类型

• Access
• mysql
• mssql
• oracle
• redis
• MongoDB等

第三方软件

• phpMyadmin，虽然这个插件方便了管理员，但是同时也方便的了攻击者。很多数据库会对ip做限制，关闭外联，但是使用phpmyadmin，可以直接绕过这些
• vnc等

---

web漏洞分类

• SQL注入
• XSS注入
• 未授权访问
• 越权逻辑
• 文件安全
• CSRF/SSRF/CRLF
• 弱口令
• RCE
• XXE

---

web请求

POST和GET

• get仅仅会检索url地址，明文传输
• post不仅会检索url地址，还会检索请求体的数据。在请求体中传输，post会向服务器提交表单，name是给服务器看的。

互联网是如何工作的？

• 客户端是典型的 Web 用户入网设备（比如，你连接了 Wi-Fi 的电脑，或接入移动网络的手机）和设备上可联网的软件（通常使用像 Firefox 和 Chrome 的浏览器）

• 服务器是存储网页，站点和应用的计算机。当一个客户端设备想要获取一个网页时，一个网页的拷贝将从服务器上下载到客户端的机器上来在用户浏览器上显示

浏览器如何通过互联网获取网页数据？

• 浏览器请求DNS服务器获取相应的域名的服务器IP

• 建立TCP连接，三次握手

• 浏览器发送HTTP请求到服务器拷贝一份网页到客户端

• 服务器响应，将网页文件以数据包形式传输到浏览器

  • 这里面服务器可能有多台，需要一个负载均衡设备来平均分配

• 关闭TCP连接，四次挥手

• 用户浏览器，渲染相应页面

获取数据后，浏览器内部会发生什么？

详细视频：https://www.bilibili.com/video/BV1x54y1B7RE/?spm_id_from=333.788.recommend_more_video.-1&vd_source=4fe88e0d264da2772e1c992251555d46

• 在地址栏输入内容时，浏览器的UI线程会捕捉输入内容

  • 如果是网址，则UI线程会启动一个网络线程来请求数据（如上）

  • 如果不是网址，会调用默认的搜索引擎搜索

• 通过safebrowsing（谷歌内部的一套站点安全系统）是否安全

• 通过之后，会返回UI线程，UI线程会创建一个渲染器进程来渲染页面。浏览器进程通过IPC管道将数据传递给渲染器进程

• 渲染器开始干活，前端的事情

文章

• https://www.jianshu.com/p/558455228c43
• https://www.cnblogs.com/cherrycui/p/10815465.html
• 直接连接

• 代理

• 完整流程

请求包

• UA头
• Cookie
• X-Sign-Js：说明参数已经处理过了，所以生成了X-Sign-Js，故修改了参数之后，和原来处理后生成的X-Sign-Js匹配不上了，过不了校验。大部分是前端校验，需要找出密钥和加密函数，进行断点调试。后端校验的话，暂时没思路。

返回包

• server
• 状态码

• 文件判断：200存在，404不存在
• 文件夹判断：403存在，404不沉溺在

代理服务器

• 抓包分析
• 实现转发访问

---

抓包&封包

抓包抓到的是一些零散的，封包则是对一个完整的动作进行抓取，整体测试触发触发时间数据包（精确）

抓包

根据协议来分的话，可以分成两类：

• HTTP/HTTPS：charles、fiddler、burpsuite
• 其他协议（TCP/UDP等）：科来、TCPDump、Wireshark

封包

• 封包傻瓜工具
• 远古封包三件套：代理机器人、CCproxy、WPE

---

抓包对象

app

思路：app抓包，找到web资产，进行测试。很多app不走http/https，最好直接用呆瓜封包软件

基本流程：

• 使用模拟器，强力推荐逍遥模拟器
• 配置工具证书
• 在模拟器设置代理

---

解决app抓不到包！！！！

如图，将证书只安装在用户证书中，app打开后无法正常使用。我们需要将证书安装在系统证书目录下

为什么会出现抓不到包？

• 安卓从7.0开始应用只会信任系统预装的CA证书，而不会信任用户安装的CA证书

解决方法

• 使用低于7.0的进行抓包
• 将使用的伪证书安装到系统证书目录中，伪装成系统证书

思路：

• 使用openssl将der证书转为pem证书，生成pem证书的hash，生成要使用的证书。
• 使用adb调试功能，将证书放到系统证书目录中。

具体步骤

• 导出证书，访问http://burp/，将burp.der保存到自己的kali中
• 打开kali终端，过程没有错误的话，生成的如下图

openssl x509 -inform der -in burp.der -out burp.pem//将der证书转为pem证书
openssl x509 -inform PEM -subject_hash_old -in burp.pem//生成pem证书的hash
cp burp.pem 9a5ba575.0//得到Hash值后，将证书文件修改名称为Hash值.0

• 将生成好的证书，放到模拟器的目录下，这里使用的是逍遥模拟器

• 依次执行，执行完成之后就可以抓包了

adb root // 提升到root权限
adb remount //重新挂载system分区
adb push 9a5ba575.0 /system/etc/security/cacerts/ //将证书放到系统证书目录

• 注:

  主流安卓模拟器连接方式:
  夜神模拟器：adb connect 127.0.0.1:62001
  逍遥安卓模拟器：adb connect 127.0.0.1:21503
  天天模拟器：adb connect 127.0.0.1:6555
  海马玩模拟器：adb connect 127.0.0.1:53001
  网易MUMU模拟器：adb connect 127.0.0.1:7555 MacOS:adb connect 127.0.0.1:5555
  genymotion模拟器：adb connect 127.0.0.1:5555
  谷歌原生模拟器：adb connect <设备的IP地址>：5555

---

charles

help--->register
Registered Name: https://zhile.io
License Key: 48891cf209c6d32bf4

• proxy--->proxy setting，默认端口是8888

• proxy--->SSL proxy setting，SSL代理

• help-->SSL proxying-->Install Charles Root Certificate，安装证书！！！！选择本地计算机、受信任的根证书颁发机构

• 设置代理！！！，注意需要打开charles，代理主机名填写local IP Address，不清楚可以在charles的help-->local IP Address查看

• 逍遥模拟器下载证书!!!!，输入chls.pro/ssl

• 安装证书，设置-->网络和互联网-->网络偏好设置-->安装证书命名成charles，成功抓包

---

fiddler

• 下载链接：
  https://pan.baidu.com/s/14C0bOTICZADj03ZGx_eygw
  提取码: chdi
• 按照图片勾选，并且将证书导出

• 勾选该选项，可进行app抓包

• 设置代理，fiddler默认端口是8888

• 逍遥模拟器下载证书，输入192.168.1.8:8888

• 自动安装证书，或者手动设置-->网络和互联网-->网络偏好设置-->安装证书命名成fiddler

---

burp

• 在burp中设置ip和port

• 逍遥模拟器下载证书

• 下载好后，文件管理器-->download将后缀改成cer

• 这时候会自己弹出安装证书，或者可以去设置那里手动安装证书，成功抓包

---

httpcanary

下载地址：链接: https://xiao6ming6.lanzouq.com/iQcB902w15pg 密码:4wby

设置----->SSL证书设置----->安装httpcanary根证书，抓包的时候开启右下角的小飞机

参考链接：https://blog.csdn.net/weixin_53891182/article/details/124739048

---

pc应用

这里的pc应用，指电脑应用程序，比如像有道词典

• 科来
• wireshark
• tcpdump
• 封包工具也可以试试

因为很多都不走http/https协议，大多是tcp/udp等，找到ip后，ip反查，扫端口，扫目录

---

小程序

proxifier+burp

• 设置本机ip，端口可以自己定，我这里选择8080

• burp中也设置本机ip，端口和proxifier一样

• 通过任务管理器，把这两个添加进来

---

封包

封包流程：

方法一：直接用呆瓜封包软件

• 这里是雷电模拟器，选LdVBoxHeadless.exe

对应进程：
雷电模拟器：LdBoxHeadless.exe
逍遥模拟器：MEmuHeadless.exe
夜神模拟器：NoxVMHandle.exe
天天模拟器：VBoxHeadless.exe

方法二：古老三件套

• 1. 关闭模拟器代理
• 2. 安装代理机器人

• 3. 点击ccproxy，进行如下两个地方设置，账号这里选择所有都抓

• 4. 设置好端口，端口和第四步的socks那同一个端口，然后开启代理

• 5. 打开WPE，选择CCproxy

---

Q&A

• 为什么抓包？
  抓包应用的资产信息进行安全测试
• 抓包对象？

  小程序、app、桌面应用

• 抓包协议区别工具？
  有部分不走http/https协议，需要全局协议抓包
• 封包和抓包不同之处？

  零散和整体的区别，封包能准确到每个操作的数据包