朋友讓幫忙投票，想著隨手一測，沒想到真有洞還

web端點擊就提示下載手機app，不知道他是咋檢測的，就下了某日報app

既然是app，首先使用 fiddler 抓取手機流量，用電腦模擬器或者手機設置代理，將流量轉發至電腦

具體步驟

首先需要保證手機和電腦在同一個WiFi下，如果是模擬器那沒事了，但是設置方法一樣，以手機為例

在fiddler中啟動代理，tools-options

選擇connections，設置代理端口，我用的9999

手機設置中設置代理，

服務器主機名填寫電腦ip

端口就是fiddler中設置的端口

然后在fiddler中就可以抓到app的流量了

就下來就是抓包分析流量，在投票的包中發現sql注入漏洞，本來想測邏輯的

POST /index.php?c=vote&do=pc&p=111100&group=0&id=60 HTTP/1.1 Host: vote2.****.com User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0 Content-Length: 104 Accept: application/json Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Cookie: ***** Origin: http://vote2.****.com Pragma: no-cache Referer: **** X-Requested-With: XMLHttpRequest Accept-Encoding: gzipu=3614

這個參數u就存在sql注入，使用sqlmap可以成功注入

在cookie和referer中有一些參數沒有猜出是啥

總結

以上是生活随笔為你收集整理的使用Fiddler对手机APP抓包渗透测试实战的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。