调试 - Fiddler抓包使用技巧

调试 - Fiddler抓包使用技巧

Fiddler[1] 是位于客户端和服务器端的 HTTP 代理,是一个强大的抓包工具;可以作为系统的代理也可以代理具体的进程(如:chrome、firefox),针对代理对象 fiddler 会记录其所有的会话记录,分析请求数据、调试请求、刷新请求、设置断点、模拟或覆盖服务器返回的数据,还可以调试 https 请求,总之功能强大,是 web 调试的利器

注意:fiddler 有fiddler everywhere[2]、fiddler classic[3]等其他版本,其中 fiddler everywhere 功能最为强大同时支持多个系统,但是需要收费,当然你可以上网搜索破解版,这里就不赘述了:
本人在工作中使用fiddler classic[4]版本,其功能也不逊色够开发和测试用了,推荐使用(不支持 mac); 本文以 fiddler classic 版本进行介绍,以下 fiddler 文案全部代表的是 fiddler classic

面板介绍

图片
当你下载安装完 fiddler 双击打开后,大概如上图这样;fiddler 由不同的面板模块组成,主要包括:

  • 菜单栏
  • 工具栏
  • 代理监控面板
  • execquick、状态栏
  • 详情面板

接下来会对不同的面板进行介绍,再做一些详情案列说明

菜单栏

菜单栏对 fiddler 一般做一些全局的配置或功能,如:导入导出记录、保存、配置 https、视图修改等等

图片menubar.png

  1. 「File」:选项主要是加载最近、导入或保存存档,导入导出捕获记录,开关 fiddler 捕获抓包等功能;对于需要将测试抓包的一些数据分享给别人排查场景,导入导出功能便会发挥友好作用
  2. 「Edit」:主要用来编辑抓包监控记录,如复制、粘贴、选择、查找等等,比较简单
  3. 「Rules」`:相对于前两者作用比较实用,可以自定义规则过滤对应的抓包记录,也可以限制不同的网速模拟网络环境,请求响应打断点,压缩等等
  4. 「Tools」:里面的options功能最重要,可以管理代理、配置 https、远程代理等等,除了options,还可以进行解码编码,清理缓存等功能
  5. 「View」:用来控制面板显示
  6. 「help」:帮助信息,不用太关心

工具栏

工具栏基本是对抓包做一些具体配置和操作,如断点、目标、查找、重放等功能,下面对常用的做简单介绍(简单的就不赘述了)
图片

  1. 「WinConfig」:针对 windows 做的一些配置
  2. 「replay」:重放功能,重新发起请求
  3. 「❌」:根据不同的选项删除抓包记录,Ctrl+x 全部删除(最常用)
  4. 「go」:当断点卡主时,点击执行下一步
  5. 「Decode」:会对所有的请求进行解码操作
  6. 「Keep: All Session」:用来显示抓包记录条数的
  7. 「Any Process」:抓取指定进程的数据,点击不放手拖动到指定的应用程序,fiddler 会自动识别到应用程序进程
  8. 「TextWizard」:用来解码和编码
  9. 「Online」:可以查看当前主机的 ip、mac 地址等等

代理监控面板

该面板主要来记录抓包的数据记录,可以大概看出每个记录的简单信息如:协议、状态码、请求来源、Host、URL 等等,聚焦到此面板 Ctrl+x 会清除全部的记录,双击某条记录可以在右侧面板查看详细信息

execquick 和状态栏

这两块位于 fiddler 面板底部和左下角

execquick

execquick 是个快速执行命令的工具,如:查询、断点等等,可以查看官方文档[5],你也可以输入help回车就会打开文档,下面列举一些常用的:

# 搜索
?xxx #?baidu,则会查出url中包含baidu的记录

# bpu 创建请求断点
bpu xxx  #当请求url地址中包含xxx时命中断点
bpu  #不带参数时会取消断点

# bpafter 创建响应断点
bpafter xxx #请求地址中包含xxx时,响应会命中断点
bpafter #不带参数取消断点

# cls 清除记录
cls

# =status 搜索目标状态码
=status  #=301

# =method 搜索请求方式
=method #=POST

状态栏

状态栏可以看一些简单信息如:是否正在抓包,断点信息,抓包范围等等

  1. 左下角第一个点击切换可以快速开关抓包,当抓包是会显示Capturing
  2. 第二个会显示抓包范围,可以点击选择指定范围
  3. 第三个小块点击可以快速打断点,单击请求断点,点两次响应断点,点三次取消断点
  4. 后面会显示一些 quickexec 操作的信息

详情面板

图片QQ截图20221012163749.png

  1. 「FiddlerScript」:用来修改脚本,fiddler 是由 C#写的所以要懂一些 C#知识,其实和 JS 差不多

  2. 「Filters(重要)」:用来配置相应规则来抓包,相对来说更加自由一些,使用时需要把use filters打开
    图片
    如上图,可以从多个维度去配置规则去抓包

    • host: 主机
      • 可以选择本地或互联网抓包
      • 可以选择对应的 host
    • client progress: 选择不同的进程来抓包
    • requset header:
      • 显示请求地址包含 xxx 的请求
      • 隐藏相关地址
      • 设置请求头
      • 删除请求头等等
    • 断点:
      • 不同请求方式断点
      • 指定 header 头断点等等
    • 响应状态码:根据不同状态码显示记录
    • 响应类型、传输大小等等

    当选择好对应的配置后,要勾选Use Filters选项,点击面板右上角ActionsRun filterset now

  3. 「Inspectors」:当点击具体的抓包信息后,点击Inspectors可以查看请求的具体信息
    图片

    主要分为请求报文和响应报文,可以按照不同的格式去查看内容,当打了断点时,还可以修改请求内容

  4. 「AutoResponder」:自动响应请求内容,可以添加多个规则针对不同的请求做不同的响应
    图片
    如上图,在请求http://localhost:10000时,返回本地图片,达到篡改目的

    除了返回本地资源文件外,还可以模拟其他操作,如:返回不同状态码、重定向、请求代理等等
    图片

注:需要勾选Enble Rules才会工作,如果不影响其他的请求,需勾选Unmatched request passthrough选项,不然其他的也会被阻塞;当不用的时候记得关掉面板规则,防止影响其他操作

  1. 「Composer」:用 fiddler 发送请求,可以自定义请求,修改请求内容,点击Execute发送请求;也可以将左侧的抓包记录鼠标按住拖到当前面板
    图片
    如上图,在请求头部添加自定义的字段name:小明,点击右上角执行,请求便会发送出去,执行结果如下图:会看到请求头中会携带刚刚添加的字段
    图片

面板小结

以上便是 fiddler 各个模块的介绍,相信你已经对 fiddler 已经有了基本认识,当然还有一些功能需要自己去查看;工具毕竟是工具比较简单,如果你想要很短时间内熟悉它的使用,可以自己动手尝试,很快就会玩转它

接下来来介绍远程抓包,常见的就是 app 抓包,手机端抓包等等

客户端抓包

注意:远程调试需要将远程应用和 fiddler 保持在局域网下

这里以 IPhone 为例,其他大同小异

  1. 首先在菜单栏中一次点击Tools > Options弹出 options 面板,选择ConnectionsTab,可以看到 fiddler 监听的端口为8088(不同版本可能不同),你也可以修改它;下面有一个选项为Allow remote computers to connect勾选上 ☑️,允许远程连接;右侧有一个Act as system proxy让 fiddler 作为系统代理(默认),点击保存后最好重启下 fiddler,如果后续配置后正常话不重启也行,如下图:
    图片
  2. 为了不让其他本地请求影响到我们分析抓包,这里把抓包改为只抓远程的包。打开rules > custom rules,搜索static function OnBeforeRequest,将以下代码粘贴进去,保存配置后最好重启一下
static function OnBeforeRequest(oSession: Session) {
  // 抓取远程的
              if (!String.IsNullOrEmpty(oSession["x-ProcessInfo"])) {
                      oSession["ui-hide"] = "localprocess";
              }
}
  1. 远程连接 fiddler 所在的计算机,这里以 IPhone 为例;首先查询计算机 ip,可以通过 fiddler 右上角计算机图标提示,也可以在终端输入ipconfig查询或其他方法,如下图:
    图片

图片
手机在同一局域网下,配置 wifi 代理,找到和电脑连接相同的 wifi,点击 wifi,配置代理选择手动,输入刚刚查询的 ip 和 fiddler 监听的端口,点击保存
图片

打开 Safari 输入网址http://192.168.11.224:10000回车后,查看 fiddler 抓包记录

图片1525E81FFFF883D1CAE399097D7DDF52.png

图片QQ截图20221013154539.png

重新输入输入https://blog.usword.cn
图片

再看看抓包记录,会发现啥记录都没有

图片QQ截图20221013155018.png

https://blog.usword.cn是 https 协议地址,fiddler 默认不会抓取 https 的,需要手动打开配置选项,而且需要安装 fiddler 证书为根证书,接下来一起配置 https

配置 HTTPS

图片QQ截图20221013164038.png

首先打开Tools > Options > HTTPS,将下图中的选项全部勾选,为方便测试Descript HTTPS traffic选择from remote clients only,如下图:

图片QQ截图20221013155947.png

在 Safari 中访问远程 fiddler 地址192.168.11.224:8088,点击允许下载证书
图片

图片B4D670F449.png

打开手机设置,找到描述文件,点击信任安装证书 iphone 要输入手机密码(不同手机型号操作有差异),最后会看到已验证

图片FB1F83102D9AF2773325155581A75FE7.png

图片A7D37E643BF4136954A5AABF8F78C20E.png

图片2F6F6322E2EC59919FD479FAA5D5E20D.png

现在打开 Safari 重新访问https://blog.usword.cn查看抓包记录,会发现已经抓到了

图片20221013161635.png

当打开抖音 App 发现抓取不到信息,这是因为现在有的 app 已经有了反抓包手段

至此,关于 fiddler 的常用的抓包功能已经介绍的差不多了,到这里你应该对 fiddler 有一定的认识了,自己一定要动手实践一遍玩一玩才不会忘记

总结

fiddler 是个很强大的抓包工具,主要原理是作为中间代理,代理客户端和服务器之间的通信,这样请求对于 fiddler 就是透明的;至于 https,fiddler 不但扮演了客户端和服务器进行 TLS 加密通信,还扮演了服务器和客户端进行 TLS 加密通信,之所以服务器信任 fiddler,是因为 fiddler 证书已经被系统根证书信任了,所以可以进行通信

接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值