关于APP抓包问题,如何区分APP的服务接口地址
因工作需要把APP的连接地址提取出来,封掉,目的是不让使用该APP。我每次都是抓登录的包来确定APP连接的域名,这样一来封掉该域名肯定APP就无法登陆也就无法使用了,最近遇到一个APP,我在抓包时是通过环境逃逸方法来抓取流量包,绕过了APP内置代{过}{滤}理功能。用的Proxiffer+fiddler抓取夜神模拟器流量,准备好环境后一打开APP就显示疯狂连接好多个IP,并且都是30568端口,什么也没操作就自己连这些ip,我看了一下这些ip应该都是代{过}{滤}理池,而且在fiddler里看不到这些IP的HTTP请求包,有一条连接443端口的ip在fiddler里是截获到http报文的但是乱码(图片所示)。PRoxiffer还显示连接了一个dqw****68.oss-accelerate.aliyuncs.com阿里云的域名,不过在fiddler里没有截获下来http请求包,最后有2个问题1.APP没看到DNS解析过程就自动连接了代{过}{滤}理池是怎么做到的。
2.当我进行登录操作时在Proxiffer里看不到有新的流量刷出来。那么我如何区分APP自己的服务器接口。
请求大佬帮助一下
建议你在模拟器里先试用浏览器访问一个https的网站,查看fiddle是否正常截获来自模拟器的https流量,从而验证fiddle证书在模拟器里正确安装。若验证正常,则怀疑app代码对网络代{过}{滤}理模式有检测,这种情况下,可以用两种方式来获取目标域名:1,apptool逆向转为java代码,从中提取url;2、在模拟器上安装流量监控类app,直接查看网络流量。 fengyutongzhou 发表于 2024-3-20 10:02
这APP肯定没那么简单,如果是证书不可用的话APP应该没有网络连接才对,我怀疑APP没用http协议所以抓取不 ...
如果你确认代理证书没问题,那么问题就是APP的安全策略,我在渗透测试过程中也遇到过抓包的问题,例如app使用了双向认证或SSL-pinning(证书绑定),则由于证书验证不通过,则会中断网络连接,导致https通信无法建立。 补充一点,模拟器里已经把系统安装到内置证书文件夹了,fiddler为什么有的包抓不到,抓到的还是乱码。 看你的截图,这个https包是doh 查询,是一种通过http请求来解析域名,DoH协议(DNS over HTTPS) gugouo163 发表于 2024-3-19 16:20
看你的截图,这个https包是doh 查询,是一种通过http请求来解析域名,DoH协议(DNS over HTTPS)
那是不是封了这个ip他就无法解析域名啦,就无法连接那些节点了吗 holdtoday 发表于 2024-3-19 17:14
建议你在模拟器里先试用浏览器访问一个https的网站,查看fiddle是否正常截获来自模拟器的https流量,从而验 ...
这APP肯定没那么简单,如果是证书不可用的话APP应该没有网络连接才对,我怀疑APP没用http协议所以抓取不到。 如果想知道域名 ,也可以自己搭一个 dns服务 ,然后手机dns改成你的dns地址,就可以拦截到dns请求,获取到域名了
holdtoday 发表于 2024-3-20 13:27
如果你确认代理证书没问题,那么问题就是APP的安全策略,我在渗透测试过程中也遇到过抓包的问题,例如app ...
我遇到的都是APP逃逸了HTTP协议,只看见他连接某个IP和域名但是抓包工具里不显示HTTP包 fengyutongzhou 发表于 2024-3-19 16:48
那是不是封了这个ip他就无法解析域名啦,就无法连接那些节点了吗
按道理是这么说,但是看样子这个内置了阿里云的httpdns 的sdk ,可不止一个IP
https://www.aliyun.com/product/httpdns
页:
[1]
2