点击上方「蓝色」字体关注我们
要实现对app的网络数据抓包,需要监控app与服务器交互之间的网络节点,监控其中任意一个网络节点(网卡),获取所有经过网卡中的数据,对这些数据按照网络协议进行解析,这就是抓包的基本原理。
常用的抓包工具包括:Wireshark,Tcpdump,Fiddler,Charles,mitmproxy等。
常规抓包工具的使用想必各位都已经非常熟悉,但经常会在实际工作中遇到抓不到数据的情况,比如使用fiddler无法抓到TCP协议的数据,或是遇到app有代理检测,能抓到的数据更是少之又少。今天我们展示下遇到app有代理检测时,我们可以使用什么方法来搞定。
本文以熟悉的fiddler抓包app遇代理检测为例。
打开fiddler开始代理监听雷电模拟器,将app拖入雷电模拟器进行安装,安装完成后打开应用提示检测到使用了代理,无法使用app的情况,在这种情况下app无法正常使用,更别说是抓包数据。
遇到这样的情况,我们可以放弃fiddler抓包,改而使用tcpdump进行抓包,具体步骤如下:
1、打开雷电模拟器,并安装好需要抓包的app
2、进入雷电模拟器根目录,在根目录下使用终端打开,进入命令行界面
3、依次输入以下命令:
adb shell //允许用户通过命令行界面与Android设备(模拟器)进行交互。
su //授权shell超级用户
cd sdcard/Pictures/ //进入共享文件夹(这里可以选择其他路径)
tcpdump -w zq.pcap //使用tcpdump抓取操作app的数据,保存为pcap是为了方便后续分析
在模拟器中打开app,发现app可以正常打开,并没有提示检测到代理,可以进行下一步的操作。完成需要抓取的各项操作后,停止tcpdump,就可以抓包到该app的数据,可以使用wireshark对这个数据包进行后续分析。
案例展示
app名称:**体育
开启fiddler后启动该app,可以看到这里提示网络连接失败,其实这里就是在检测是否开启了代理。
改用tcpdump进行抓包,按照上述步骤保存获取的数据包名为11.pcap,使用wireshark打开该数据包进行分析。
该app的客服模块,抓取到访问的ip是:119.*.*. 228(归属地:重庆)。
该app的注册模块,抓取到访问的ip是:103.*.*.6 (归属地:韩国)。
该app的游戏模块,抓取到访问的ip是:103.*.*.6 (归属地:韩国)。
该app的充值模块,抓取到访问的ip是:103.*.*.6 (归属地:韩国)。
通过以上信息初步判断:该app客服服务器在国内,用户以及游戏数据存放在境外。
注:雷电模拟器需要root权限
点个“在看”你最好看
原文始发于微信公众号(网络安全与取证研究):app有代理检测,我们应该如何抓包
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论