调试 - Fiddler抓包使用技巧
Fiddler[1] 是位于客户端和服务器端的 HTTP 代理,是一个强大的抓包工具;可以作为系统的代理也可以代理具体的进程(如:chrome、firefox),针对代理对象 fiddler 会记录其所有的会话记录,分析请求数据、调试请求、刷新请求、设置断点、模拟或覆盖服务器返回的数据,还可以调试 https 请求,总之功能强大,是 web 调试的利器
❝
注意:fiddler 有fiddler everywhere[2]、fiddler classic[3]等其他版本,其中 fiddler everywhere 功能最为强大同时支持多个系统,但是需要收费,当然你可以上网搜索破解版,这里就不赘述了:
本人在工作中使用fiddler classic[4]版本,其功能也不逊色够开发和测试用了,推荐使用(不支持 mac); 本文以 fiddler classic 版本进行介绍,以下 fiddler 文案全部代表的是 fiddler classic❞
面板介绍
当你下载安装完 fiddler 双击打开后,大概如上图这样;fiddler 由不同的面板模块组成,主要包括:
- 菜单栏
- 工具栏
- 代理监控面板
- execquick、状态栏
- 详情面板
接下来会对不同的面板进行介绍,再做一些详情案列说明
菜单栏
菜单栏对 fiddler 一般做一些全局的配置或功能,如:导入导出记录、保存、配置 https、视图修改等等
menubar.png
- 「File」:选项主要是加载最近、导入或保存存档,导入导出捕获记录,开关 fiddler 捕获抓包等功能;对于需要将测试抓包的一些数据分享给别人排查场景,导入导出功能便会发挥友好作用
- 「Edit」:主要用来编辑抓包监控记录,如复制、粘贴、选择、查找等等,比较简单
- 「Rules」`:相对于前两者作用比较实用,可以自定义规则过滤对应的抓包记录,也可以限制不同的网速模拟网络环境,请求响应打断点,压缩等等
- 「Tools」:里面的
options功能最重要,可以管理代理、配置 https、远程代理等等,除了options,还可以进行解码编码,清理缓存等功能 - 「View」:用来控制面板显示
- 「help」:帮助信息,不用太关心
工具栏
工具栏基本是对抓包做一些具体配置和操作,如断点、目标、查找、重放等功能,下面对常用的做简单介绍(简单的就不赘述了)
- 「WinConfig」:针对 windows 做的一些配置
- 「replay」:重放功能,重新发起请求
- 「❌」:根据不同的选项删除抓包记录,Ctrl+x 全部删除(最常用)
- 「go」:当断点卡主时,点击执行下一步
- 「Decode」:会对所有的请求进行解码操作
- 「Keep: All Session」:用来显示抓包记录条数的
- 「Any Process」:抓取指定进程的数据,点击不放手拖动到指定的应用程序,fiddler 会自动识别到应用程序进程
- 「TextWizard」:用来解码和编码
- 「Online」:可以查看当前主机的 ip、mac 地址等等
代理监控面板
该面板主要来记录抓包的数据记录,可以大概看出每个记录的简单信息如:协议、状态码、请求来源、Host、URL 等等,聚焦到此面板 Ctrl+x 会清除全部的记录,双击某条记录可以在右侧面板查看详细信息
execquick 和状态栏
这两块位于 fiddler 面板底部和左下角
execquick
execquick 是个快速执行命令的工具,如:查询、断点等等,可以查看官方文档[5],你也可以输入help回车就会打开文档,下面列举一些常用的:
# 搜索 ?xxx #?baidu,则会查出url中包含baidu的记录 # bpu 创建请求断点 bpu xxx #当请求url地址中包含xxx时命中断点 bpu #不带参数时会取消断点 # bpafter 创建响应断点 bpafter xxx #请求地址中包含xxx时,响应会命中断点 bpafter #不带参数取消断点 # cls 清除记录 cls # =status 搜索目标状态码 =status #=301 # =method 搜索请求方式 =method #=POST状态栏
状态栏可以看一些简单信息如:是否正在抓包,断点信息,抓包范围等等
- 左下角第一个点击切换可以快速开关抓包,当抓包是会显示
Capturing - 第二个会显示抓包范围,可以点击选择指定范围
- 第三个小块点击可以快速打断点,单击请求断点,点两次响应断点,点三次取消断点
- 后面会显示一些 quickexec 操作的信息
详情面板
QQ截图20221012163749.png
「FiddlerScript」:用来修改脚本,fiddler 是由 C#写的所以要懂一些 C#知识,其实和 JS 差不多
「Filters(重要)」:用来配置相应规则来抓包,相对来说更加自由一些,使用时需要把
use filters打开
如上图,可以从多个维度去配置规则去抓包- host: 主机
- 可以选择本地或互联网抓包
- 可以选择对应的 host
- client progress: 选择不同的进程来抓包
- requset header:
- 显示请求地址包含 xxx 的请求
- 隐藏相关地址
- 设置请求头
- 删除请求头等等
- 断点:
- 不同请求方式断点
- 指定 header 头断点等等
- 响应状态码:根据不同状态码显示记录
- 响应类型、传输大小等等
当选择好对应的配置后,要勾选
Use Filters选项,点击面板右上角Actions的Run filterset now- host: 主机
「Inspectors」:当点击具体的抓包信息后,点击
Inspectors可以查看请求的具体信息主要分为请求报文和响应报文,可以按照不同的格式去查看内容,当打了断点时,还可以修改请求内容
「AutoResponder」:自动响应请求内容,可以添加多个规则针对不同的请求做不同的响应
如上图,在请求http://localhost:10000时,返回本地图片,达到篡改目的除了返回本地资源文件外,还可以模拟其他操作,如:返回不同状态码、重定向、请求代理等等
❝
注:需要勾选
Enble Rules才会工作,如果不影响其他的请求,需勾选Unmatched request passthrough选项,不然其他的也会被阻塞;当不用的时候记得关掉面板规则,防止影响其他操作❞
- 「Composer」:用 fiddler 发送请求,可以自定义请求,修改请求内容,点击
Execute发送请求;也可以将左侧的抓包记录鼠标按住拖到当前面板
如上图,在请求头部添加自定义的字段name:小明,点击右上角执行,请求便会发送出去,执行结果如下图:会看到请求头中会携带刚刚添加的字段
面板小结
以上便是 fiddler 各个模块的介绍,相信你已经对 fiddler 已经有了基本认识,当然还有一些功能需要自己去查看;工具毕竟是工具比较简单,如果你想要很短时间内熟悉它的使用,可以自己动手尝试,很快就会玩转它
接下来来介绍远程抓包,常见的就是 app 抓包,手机端抓包等等
客户端抓包
❝
注意:远程调试需要将远程应用和 fiddler 保持在局域网下
❞
这里以 IPhone 为例,其他大同小异
- 首先在菜单栏中一次点击
Tools > Options弹出 options 面板,选择ConnectionsTab,可以看到 fiddler 监听的端口为8088(不同版本可能不同),你也可以修改它;下面有一个选项为Allow remote computers to connect勾选上 ☑️,允许远程连接;右侧有一个Act as system proxy让 fiddler 作为系统代理(默认),点击保存后最好重启下 fiddler,如果后续配置后正常话不重启也行,如下图: - 为了不让其他本地请求影响到我们分析抓包,这里把抓包改为只抓远程的包。打开
rules > custom rules,搜索static function OnBeforeRequest,将以下代码粘贴进去,保存配置后最好重启一下
static function OnBeforeRequest(oSession: Session) { // 抓取远程的 if (!String.IsNullOrEmpty(oSession["x-ProcessInfo"])) { oSession["ui-hide"] = "localprocess"; } }- 远程连接 fiddler 所在的计算机,这里以 IPhone 为例;首先查询计算机 ip,可以通过 fiddler 右上角计算机图标提示,也可以在终端输入
ipconfig查询或其他方法,如下图:
手机在同一局域网下,配置 wifi 代理,找到和电脑连接相同的 wifi,点击 wifi,配置代理选择手动,输入刚刚查询的 ip 和 fiddler 监听的端口,点击保存
打开 Safari 输入网址http://192.168.11.224:10000回车后,查看 fiddler 抓包记录
1525E81FFFF883D1CAE399097D7DDF52.png
QQ截图20221013154539.png
重新输入输入https://blog.usword.cn
再看看抓包记录,会发现啥记录都没有
QQ截图20221013155018.png
https://blog.usword.cn是 https 协议地址,fiddler 默认不会抓取 https 的,需要手动打开配置选项,而且需要安装 fiddler 证书为根证书,接下来一起配置 https
配置 HTTPS
QQ截图20221013164038.png
首先打开Tools > Options > HTTPS,将下图中的选项全部勾选,为方便测试Descript HTTPS traffic选择from remote clients only,如下图:
QQ截图20221013155947.png
在 Safari 中访问远程 fiddler 地址192.168.11.224:8088,点击允许下载证书
B4D670F449.png
打开手机设置,找到描述文件,点击信任安装证书 iphone 要输入手机密码(不同手机型号操作有差异),最后会看到已验证
FB1F83102D9AF2773325155581A75FE7.png
A7D37E643BF4136954A5AABF8F78C20E.png
2F6F6322E2EC59919FD479FAA5D5E20D.png
现在打开 Safari 重新访问https://blog.usword.cn查看抓包记录,会发现已经抓到了
20221013161635.png
当打开抖音 App 发现抓取不到信息,这是因为现在有的 app 已经有了反抓包手段
至此,关于 fiddler 的常用的抓包功能已经介绍的差不多了,到这里你应该对 fiddler 有一定的认识了,自己一定要动手实践一遍玩一玩才不会忘记
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
)
