调试 - Fiddler抓包使用技巧
Fiddler[1] 是位于客户端和服务器端的 HTTP 代理,是一个强大的抓包工具;可以作为系统的代理也可以代理具体的进程(如:chrome、firefox),针对代理对象 fiddler 会记录其所有的会话记录,分析请求数据、调试请求、刷新请求、设置断点、模拟或覆盖服务器返回的数据,还可以调试 https 请求,总之功能强大,是 web 调试的利器
❝
注意:fiddler 有fiddler everywhere[2]、fiddler classic[3]等其他版本,其中 fiddler everywhere 功能最为强大同时支持多个系统,但是需要收费,当然你可以上网搜索破解版,这里就不赘述了:
本人在工作中使用fiddler classic[4]版本,其功能也不逊色够开发和测试用了,推荐使用(不支持 mac); 本文以 fiddler classic 版本进行介绍,以下 fiddler 文案全部代表的是 fiddler classic❞
面板介绍

当你下载安装完 fiddler 双击打开后,大概如上图这样;fiddler 由不同的面板模块组成,主要包括:
- 菜单栏
- 工具栏
- 代理监控面板
- execquick、状态栏
- 详情面板
接下来会对不同的面板进行介绍,再做一些详情案列说明
菜单栏
菜单栏对 fiddler 一般做一些全局的配置或功能,如:导入导出记录、保存、配置 https、视图修改等等
menubar.png
- 「File」:选项主要是加载最近、导入或保存存档,导入导出捕获记录,开关 fiddler 捕获抓包等功能;对于需要将测试抓包的一些数据分享给别人排查场景,导入导出功能便会发挥友好作用
- 「Edit」:主要用来编辑抓包监控记录,如复制、粘贴、选择、查找等等,比较简单
- 「Rules」`:相对于前两者作用比较实用,可以自定义规则过滤对应的抓包记录,也可以限制不同的网速模拟网络环境,请求响应打断点,压缩等等
- 「Tools」:里面的
options功能最重要,可以管理代理、配置 https、远程代理等等,除了options,还可以进行解码编码,清理缓存等功能 - 「View」:用来控制面板显示
- 「help」:帮助信息,不用太关心
工具栏
工具栏基本是对抓包做一些具体配置和操作,如断点、目标、查找、重放等功能,下面对常用的做简单介绍(简单的就不赘述了)

- 「WinConfig」:针对 windows 做的一些配置
- 「replay」:重放功能,重新发起请求
- 「❌」:根据不同的选项删除抓包记录,Ctrl+x 全部删除(最常用)
- 「go」:当断点卡主时,点击执行下一步
- 「Decode」:会对所有的请求进行解码操作
- 「Keep: All Session」:用来显示抓包记录条数的
- 「Any Process」:抓取指定进程的数据,点击不放手拖动到指定的应用程序,fiddler 会自动识别到应用程序进程
- 「TextWizard」:用来解码和编码
- 「Online」:可以查看当前主机的 ip、mac 地址等等
代理监控面板
该面板主要来记录抓包的数据记录,可以大概看出每个记录的简单信息如:协议、状态码、请求来源、Host、URL 等等,聚焦到此面板 Ctrl+x 会清除全部的记录,双击某条记录可以在右侧面板查看详细信息
execquick 和状态栏
这两块位于 fiddler 面板底部和左下角
execquick
execquick 是个快速执行命令的工具,如:查询、断点等等,可以查看官方文档[5],你也可以输入help回车就会打开文档,下面列举一些常用的:
# 搜索
?xxx #?baidu,则会查出url中包含baidu的记录
# bpu 创建请求断点
bpu xxx #当请求url地址中包含xxx时命中断点
bpu #不带参数时会取消断点
# bpafter 创建响应断点
bpafter xxx #请求地址中包含xxx时,响应会命中断点
bpafter #不带参数取消断点
# cls 清除记录
cls
# =status 搜索目标状态码
=status #=301
# =method 搜索请求方式
=method #=POST
状态栏
状态栏可以看一些简单信息如:是否正在抓包,断点信息,抓包范围等等
- 左下角第一个点击切换可以快速开关抓包,当抓包是会显示
Capturing - 第二个会显示抓包范围,可以点击选择指定范围
- 第三个小块点击可以快速打断点,单击请求断点,点两次响应断点,点三次取消断点
- 后面会显示一些 quickexec 操作的信息
详情面板
QQ截图20221012163749.png
-
「FiddlerScript」:用来修改脚本,fiddler 是由 C#写的所以要懂一些 C#知识,其实和 JS 差不多
-
「Filters(重要)」:用来配置相应规则来抓包,相对来说更加自由一些,使用时需要把
use filters打开

如上图,可以从多个维度去配置规则去抓包- host: 主机
- 可以选择本地或互联网抓包
- 可以选择对应的 host
- client progress: 选择不同的进程来抓包
- requset header:
- 显示请求地址包含 xxx 的请求
- 隐藏相关地址
- 设置请求头
- 删除请求头等等
- 断点:
- 不同请求方式断点
- 指定 header 头断点等等
- 响应状态码:根据不同状态码显示记录
- 响应类型、传输大小等等
当选择好对应的配置后,要勾选
Use Filters选项,点击面板右上角Actions的Run filterset now - host: 主机
-
「Inspectors」:当点击具体的抓包信息后,点击
Inspectors可以查看请求的具体信息

主要分为请求报文和响应报文,可以按照不同的格式去查看内容,当打了断点时,还可以修改请求内容
-
「AutoResponder」:自动响应请求内容,可以添加多个规则针对不同的请求做不同的响应

如上图,在请求http://localhost:10000时,返回本地图片,达到篡改目的除了返回本地资源文件外,还可以模拟其他操作,如:返回不同状态码、重定向、请求代理等等

❝
注:需要勾选
Enble Rules才会工作,如果不影响其他的请求,需勾选Unmatched request passthrough选项,不然其他的也会被阻塞;当不用的时候记得关掉面板规则,防止影响其他操作❞
- 「Composer」:用 fiddler 发送请求,可以自定义请求,修改请求内容,点击
Execute发送请求;也可以将左侧的抓包记录鼠标按住拖到当前面板

如上图,在请求头部添加自定义的字段name:小明,点击右上角执行,请求便会发送出去,执行结果如下图:会看到请求头中会携带刚刚添加的字段

面板小结
以上便是 fiddler 各个模块的介绍,相信你已经对 fiddler 已经有了基本认识,当然还有一些功能需要自己去查看;工具毕竟是工具比较简单,如果你想要很短时间内熟悉它的使用,可以自己动手尝试,很快就会玩转它
接下来来介绍远程抓包,常见的就是 app 抓包,手机端抓包等等
客户端抓包
❝
注意:远程调试需要将远程应用和 fiddler 保持在局域网下
❞
这里以 IPhone 为例,其他大同小异
- 首先在菜单栏中一次点击
Tools > Options弹出 options 面板,选择ConnectionsTab,可以看到 fiddler 监听的端口为8088(不同版本可能不同),你也可以修改它;下面有一个选项为Allow remote computers to connect勾选上 ☑️,允许远程连接;右侧有一个Act as system proxy让 fiddler 作为系统代理(默认),点击保存后最好重启下 fiddler,如果后续配置后正常话不重启也行,如下图:

- 为了不让其他本地请求影响到我们分析抓包,这里把抓包改为只抓远程的包。打开
rules > custom rules,搜索static function OnBeforeRequest,将以下代码粘贴进去,保存配置后最好重启一下
static function OnBeforeRequest(oSession: Session) {
// 抓取远程的
if (!String.IsNullOrEmpty(oSession["x-ProcessInfo"])) {
oSession["ui-hide"] = "localprocess";
}
}
- 远程连接 fiddler 所在的计算机,这里以 IPhone 为例;首先查询计算机 ip,可以通过 fiddler 右上角计算机图标提示,也可以在终端输入
ipconfig查询或其他方法,如下图:


手机在同一局域网下,配置 wifi 代理,找到和电脑连接相同的 wifi,点击 wifi,配置代理选择手动,输入刚刚查询的 ip 和 fiddler 监听的端口,点击保存

打开 Safari 输入网址http://192.168.11.224:10000回车后,查看 fiddler 抓包记录
1525E81FFFF883D1CAE399097D7DDF52.png
QQ截图20221013154539.png
重新输入输入https://blog.usword.cn

再看看抓包记录,会发现啥记录都没有
QQ截图20221013155018.png
https://blog.usword.cn是 https 协议地址,fiddler 默认不会抓取 https 的,需要手动打开配置选项,而且需要安装 fiddler 证书为根证书,接下来一起配置 https
配置 HTTPS
QQ截图20221013164038.png
首先打开Tools > Options > HTTPS,将下图中的选项全部勾选,为方便测试Descript HTTPS traffic选择from remote clients only,如下图:
QQ截图20221013155947.png
在 Safari 中访问远程 fiddler 地址192.168.11.224:8088,点击允许下载证书

B4D670F449.png
打开手机设置,找到描述文件,点击信任安装证书 iphone 要输入手机密码(不同手机型号操作有差异),最后会看到已验证
FB1F83102D9AF2773325155581A75FE7.png
A7D37E643BF4136954A5AABF8F78C20E.png
2F6F6322E2EC59919FD479FAA5D5E20D.png
现在打开 Safari 重新访问https://blog.usword.cn查看抓包记录,会发现已经抓到了
20221013161635.png
当打开抖音 App 发现抓取不到信息,这是因为现在有的 app 已经有了反抓包手段
至此,关于 fiddler 的常用的抓包功能已经介绍的差不多了,到这里你应该对 fiddler 有一定的认识了,自己一定要动手实践一遍玩一玩才不会忘记
总结
fiddler 是个很强大的抓包工具,主要原理是作为中间代理,代理客户端和服务器之间的通信,这样请求对于 fiddler 就是透明的;至于 https,fiddler 不但扮演了客户端和服务器进行 TLS 加密通信,还扮演了服务器和客户端进行 TLS 加密通信,之所以服务器信任 fiddler,是因为 fiddler 证书已经被系统根证书信任了,所以可以进行通信
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
1313

被折叠的 条评论
为什么被折叠?



