Fiddler4入门--手机抓包工具安装和使用说明。电脑最好是笔记本连同一个wifi,这样能和手机保持统一局域网内。
很多区块链dapp项目方风控做的很差,利用fiddler抓包分析找一些漏洞,然后利用漏洞去撸羊毛,这种比较容易给项目方封账号的和出金不了。很多盘子代码都是一样的,都是github上开源代码或者淘宝上买的模版做的,只是换个域名换个皮肤稍微改改而已,搞懂一个盘子后其他的就基本上一样的玩法了。
一、下载工具包
百度搜索”fiddler 下载“ ,安装最新版本
下载的软件安装包为“fiddler_4.6.20171.26113_setup.exe”格式,双击安装
二、fiddler手机抓包原理
在本机开启了一个http的代理服务器,然后它会转发所有的http请求和响应。Fiddler 是以代理web 服务器的形式工作的,它使用代理地址:127.0.0.1,端口:8888。网络请求走fiddler,fiddler从中拦截数据,由于fiddler充当中间人的角色,所以可以解密https。因此,它比一般的firebug或者是chrome自带的抓包工具要好用的多。不仅如此,它还可以支持请求重放等一些高级功能。它还可以支持对手机应用进行http抓包的。本文就是手机抓包。
浏览器的代理设置默认是关着的,win7谷歌浏览器“设置--高级--系统--打开代理服务器--局域网设置--代理服务器”勾上。代理开关为开:可以抓到包,代理开关为关:抓不到包。
前提条件:
1).电脑需要安装Fiddler
2).测试手机需要支持Wifi
3).测试手机与电脑需要同一网络
4).所测APP需支持代理
三、设置Fiddler
1.菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote computers to connect"
注: 8888为默认端口号,可修改,但需注意两点,一是本机空闲端口,二是手机代理设置时端口要一致。
查看本机的ip地址,命令行输入:ipconfig
打开Fiddler,右上角有一个Online,这里也可以查看IP。如果和电脑的ip不一致时,以这里的为准。
2. 配置fiddler允许监听到https(fiddler默认只抓取http格式的)
打开Fiddler菜单项Tools->TelerikFiddler Options->HTTPS,
勾选CaptureHTTPS CONNECTs,点击Actions,
勾选Decrypt HTTPS traffic和Ignore servercertificate errors两项,点击OK(首次点击会弹出是否信任fiddler证书和安全提示,直接点击yes就行)
3.配置fiddler允许远程连接
上一步窗口中点击Tools->TelerikFiddler Options->Connections,勾选allow remote computers to connect,默认监听端口为8888(下图Fiddler listens on port就是端口号),若端口被占用可以设置成其他的,配置好后要重新启动fiddler
四、 手机端进行参数配置
条件:保证手机和电脑都处于同一个网络。
Step1、给手机设置代理
Step2、打开手机浏览器,输入ip:端口号=xxx:8888,点击前往
Step3、打开一个下载证书的页面,如下,点击最下方的“FiddlerRoot certificate”按钮,下载证书。
Step4、点击按钮,进入下个页面,出现一个安装文件,点击“安装”。
Step5、跳转页面要求设置一个手机密码,就是开机密码,没有就自己设置一个,记住密码就行会。输入开机密码后,出现一个授权证书,如下,点击安装即可。
出现“已验证”字样。表示证书安装成功。
五、验证手机抓包
操作手机,电脑fiddler中会显示一些http信息,即为成功
打开手机的浏览器,使用百度,输入“selenium”百度一下。查看Fiddler上的有请求数据。
六、其他用法
1.停止电脑对手机的网络监控
系统设置-wifi,找到代理,去掉即可;
2.删除手机中证书
安卓系统设置—安全—收信任的凭证—用户,点击证书删除即可;
3.删除手机上密码
手机系统—安全—密码,删除系统密码即可;