点击上方↑↑↑蓝字[协议分析与还原]关注我们
“ 介绍Fiddler的HTTPS抓包功能。”
这里首先回答下标题中的疑问,fiddler抓包带锁的原因是HTTPS流量抓包功能开启,但解密功能未开启导致,只需要将HTTPS流量解密功能开启就能解决问题。
01
—
作为一款著名的HTTP/HTTPS协议分析工具,Fiddler与Charles、Burp Suite三分天下,不仅能抓本机流量,还能抓取代理流量,功能十分强大,本公众号之前已经有多次专门的介绍:
在各种应用协议的分析中,也一直有Fiddler的使用。特别是对各个应用的HTTPS流量抓包,Fiddler堪称神器。
只是,之前有疏忽,以为大家都很有经验,没有专门对Fiddler的HTTPS抓包功能进行介绍,以至于许多朋友对Fiddler抓包时出现带锁的数据包表示疑惑,因此这里再次专门对此进行介绍,希望对大家有帮助。
对Fiddler的基础学习,可以点击上面的链接进去看,还算介绍得比较详细。
02
—
下面将着重介绍fiddler抓包带锁的解决办法。
在使用fiddler抓包的过程中,经常会出现下面的这种情况,抓到的包带锁了:
这种情况下,抓包的左边显示的HTTP对都带锁了,host显示的是“tunnel to”右边报文区域显示的是“CONNECT .....”和“Connection Established”,很多人看了不知道是怎么回事,其实这是因为真实的连接是HTTPS的,但经过fiddler的代理,所以显示的是HTTP跳转,代表一个抓到的HTTPS连接对,但流量没有被解密,这时候右边报文区域显示了黄色提示“HTTPS decryption is disabled.”
不过Fiddler是解密HTTPS流量的,但是,需要在设置中打开才能解密。
设置在“tools--options…--HTTPS”菜单选项里,抓包带锁的时候的设置是下面这样,“Capture HTTPS CONNECTS”是打勾了的,但“Decrypt HTTPS traffic”是没有打勾的:
如果我们不想抓HTTPS连接则把上面的勾去掉就可以了,如果想解密HTTPS流量,则把设置里下面的勾也打上:
下面会出现解密HTTPS流量的更详细设置,可以根据需求作选择,当然,一般默认的就可以了,更详细的说明可以参考前面提到的三篇文章。
打开解HTTPS流量后,再用fiddler抓包,出现HTTPS流量的时候就被自动解密了,像下面这样子:
可以看到,还会有带锁的HTTP对,但是,每个带锁的HTTP对后面,都会跟着一个protocol为HTTPS,host与这个带锁的HTTP对的URL相同的可以点开查看报文内容的HTTPS对。这个就是对应的解密开的HTTPS对,我们可以忽略前面带锁的HTTP,直接关心能看到内容的HTTPS对就可以了。
03
—
Fiddler对协议分析很有用,对观察应用内部的实现很有价值,能很大地提高对应用的逆向破解及漏洞利用效率,当然,对各类数据采集程序的开发的价值也相当大,大家一定要合理地利用工具,产出有价值的作品。
对fiddler抓包带锁的介绍就到这里了,如果有需要,后面会继续对fiddler的使用进行介绍,希望大家都有收获。如果有任何想法或者需要帮助,可以联系我,不要羞涩。
当然,文章请多多转发,大家一起嗨起来。
长按进行关注,时刻进行交流。
点击“在看”,与朋友一起分享↘