1.首先mac电脑下载Charles并安装:
将 Charles.app 拖至 应用程序 文件夹
image.png
复制 charles.jar 至 /Applications/Charles.app/Contents/Java/
image.png
image.png
image.png
从网上找一个 注册码,再打开charles,点击help下面的第二个按钮,输入名称和注册码,点击Register按钮,重启charles。
Registered Name: https://zhile.io
License Key: 48891cf209c6d32bf4
image.png
2.使用手机和电脑连在同一个局域网内
image.png
image.png
image.png
image.png
image.png
3.手机上设置代理,安装信任证书
image.png
image.png
4.手机浏览器输入chls.pro/ssl下载证书 并信任
image.png
image.png
image.png
5.手机上的请求都会到 charles上
image.png
image.png
image.png
6.在浏览器访问一个网站http://catcook.top
分析请求
image.png
分析请求的数据包
GET /admin/login HTTP/1.1
Host: catcook.top
Cookie: thinkphp_show_page_trace=0|0; thinkphp_show_page_trace=0|0; PHPSESSID=hsq4r47ep2dsl7qcphnc60lp96
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 11_2_6 like Mac OS X) AppleWebKit/604.5.6 (KHTML, like Gecko) Version/11.0 Mobile/15D100 Safari/604.1
Accept-Language: zh-cn
DNT: 1
Accept-Encoding: gzip, deflate
分析返回数据
获得有用数据 admin_name password,验证码
到时候可以伪装登录
image.png
image.png
image.png
image.png
image.png
image.png
7.篡改数据
输出返回成功的实例
image.png
如果数据返回失败了 我们想篡改,就打断点
image.png
image.png
image.png
image.png
image.png
image.png
image.png
也可以将请求和返回映射到本地,每次请求和修改数据会到本地找隐射的文件
image.png
image.png
网友评论