移动端安全测试:Burp Suite代理配置与HTTPS抓包实战指南
1. 项目概述:为什么要在手机上配置Burp Suite代理?
作为一名长期与Web应用安全打交道的从业者,我几乎每天都会和Burp Suite打交道。它早已不是简单的“抓包工具”,而是渗透测试工程师和安全研究员的“瑞士军刀”。但很多朋友,尤其是刚入门的小伙伴,常常会遇到一个瓶颈:测试目标是一个手机App,或者一个只能在移动端访问的H5页面,PC浏览器上的Burp抓包就无能为力了。这时候,将Burp Suite的代理配置到手机上,实现移动端流量拦截,就成了必须掌握的技能。
简单来说,这个操作的核心目的,就是让手机的所有网络请求(HTTP/HTTPS)都先经过你电脑上运行的Burp Suite,再由Burp转发到真正的目标服务器。这样一来,你就能在Burp中看到、分析、甚至篡改手机App发出的每一个请求和服务器返回的每一个响应。这对于进行移动应用安全测试、API接口调试、数据流分析、甚至是学习某个App的交互逻辑,都至关重要。
这个过程听起来有点“中间人攻击”的味道,实际上原理也类似。你需要完成几个关键步骤:在Burp中开启代理监听、获取你电脑在局域网内的IP地址、在手机上配置Wi-Fi代理指向这个IP和端口、最后也是最关键的一步——在手机上安装并信任Burp的CA证书,以解密HTTPS流量。接下来,我会把这看似简单的几步,拆解成每一个可能踩坑的细节,并结合我这些年趟过的雷,带你从零到一搞定手机抓包。
2. 环境准备与核心原理拆解
2.1 基础环境搭建:你的“作战平台”
工欲善其事,必先利其器。在开始配置之前,确保你的“作战平台”是稳固的。
1. 电脑端(Burp Suite运行环境):
- Burp Suite版本:社区版(Community)或专业版(Professional)均可。社区版功能对于基础的抓包和手动测试完全足够。我建议直接从PortSwigger官网下载最新版,这是最安全、最稳定的渠道。
- 操作系统:Windows、macOS或Linux均可。Burp是Java应用,跨平台性很好。但需要注意,不同系统下网络配置的细节(如防火墙)略有不同。
- 网络环境:最关键的一点,你的电脑和手机必须连接到同一个局域网(Wi-Fi)下。通常就是连接同一个路由器发出的Wi-Fi信号。这是数据包能够从手机路由到电脑物理层面的基础。
2. 手机端(被测试设备):
- 操作系统:Android或iOS。两者配置代理的入口不同,安装证书的流程差异更大,后面会详细说明。
- 网络:连接到与电脑相同的Wi-Fi。
注意:有些公司或公共网络(如机场、酒店Wi-Fi)可能禁止客户端之间互访,或强制使用网页认证,这种网络环境通常无法成功配置代理。最稳妥的环境是在家用路由器下,或者用电脑开一个“移动热点”让手机连接(但需注意,部分电脑开热点时,其网络适配器可能处于NAT模式,导致手机无法访问电脑IP,此时需要调整热点设置或使用第三方工具创建更开放的热点)。
2.2 核心原理:流量是如何“拐弯”的?
理解原理,能让你在出问题时快速定位。整个过程可以抽象为以下几步:
- 监听与转发(Burp Suite):Burp Suite启动后,会在你电脑的某个网络接口(如
192.168.1.100)的某个端口(默认8080)上开启一个代理服务器。它像是一个尽职的“邮局分拣员”,守在这个地址。 - 指令下达(手机Wi-Fi设置):你在手机的Wi-Fi设置中,手动指定了代理服务器地址为
192.168.1.100:8080。这相当于告诉手机:“以后所有发往互联网的‘信件’(网络请求),不要直接投递,先全部送到这个‘分拣员’这里。” - 流量拦截(Burp Suite):手机App产生的HTTP/HTTPS请求,被系统根据代理设置,发送到了你电脑的
8080端口。Burp Suite成功接收到这些“信件”。 - 解密与窥探(HTTPS场景):对于HTTPS请求,Burp需要扮演“可信的中间人”。它会动态生成一个证书,与目标服务器建立TLS连接,同时用自己生成的另一个证书与手机建立TLS连接。为了让手机信任这个“中间人”,你必须将Burp的根证书(CA Certificate)安装到手机的系统信任证书库中。否则,手机检测到证书不可信,会直接断开连接,你看到的将是满屏的HTTPS握手失败。
- 记录与放行(Burp Suite):Burp将拦截到的请求明文(已解密的HTTPS请求)显示在Proxy -> Intercept或HTTP history标签页中。你可以查看、修改。当你选择“Forward”时,Burp会将请求(或修改后的请求)发送给真正的目标服务器,并将服务器的响应同样拦截下来,返回给手机。
为什么是Wi-Fi代理,而不是USB代理?USB代理(如ADB配合adb reverse)通常用于调试开发中的App,需要开启USB调试,且配置更复杂。Wi-Fi代理是通用性最强、对App侵入性最小的方法,几乎适用于任何已安装的App。
3. 详细配置步骤与实操要点
下面,我们进入实战环节。我会以Windows/macOS电脑 + Android/iOS手机的组合为例,分步讲解。
3.1 第一步:配置Burp Suite代理监听
- 启动Burp Suite,如果是首次启动,选择
Temporary project和Use Burp defaults即可。 - 进入Proxy -> Options标签页。
- 找到Proxy Listeners部分。这里应该已经有一个默认的监听器,监听
127.0.0.1:8080。127.0.0.1是环回地址,只接受本机连接,手机是无法访问的。 - 选中这条记录,点击Edit。
- 在弹出的对话框中,将Bind to address从
Loopback only改为All interfaces或者直接选择你电脑在局域网中的IP地址(例如192.168.1.100)。这一步是关键,意味着Burp开始监听所有网络接口上的8080端口,允许来自局域网内其他设备(如你的手机)的连接。 - 点击OK保存。你可以看到监听地址变成了
192.168.1.100:8080。 - 确保Running复选框是勾选状态。
实操心得:有时候,即使改了
All interfaces,手机依然连不上。这可能是因为电脑的防火墙(Windows Defender Firewall或macOS防火墙)阻止了入站连接。你需要手动在防火墙中为java.exe(或burpsuite.jar)添加一条允许规则,放行8080端口的TCP入站连接。这是非常常见的一个坑。
3.2 第二步:获取电脑的局域网IP地址
- Windows:打开命令提示符(CMD),输入
ipconfig,找到你正在使用的网络适配器(通常是“无线局域网适配器 WLAN”),下面的IPv4 地址就是你的局域网IP,例如192.168.1.100。 - macOS/Linux:打开终端,输入
ifconfig(macOS/Linux) 或ip addr(Linux),找到对应的网络接口(如en0,wlan0),查看inet后面的地址。
记下这个IP和Burp的监听端口(默认8080),格式为IP:端口,例如192.168.1.100:8080。
3.3 第三步:在手机上配置Wi-Fi代理
Android 手机:
- 进入设置 -> WLAN,长按当前已连接的Wi-Fi网络名称。
- 选择修改网络或高级选项。
- 将IP设置从“DHCP”改为静态(有些手机不需要改,直接往下找代理设置)。注意:改为静态后,你需要手动填写IP地址、网关等,容易出错。更通用的方法是,在DHCP模式下,直接找到代理设置。
- 找到代理选项,选择手动。
- 代理服务器主机名填写你电脑的IP(如
192.168.1.100)。 - 代理服务器端口填写Burp的监听端口(如
8080)。 - 保存设置。
iOS 手机:
- 进入设置 -> 无线局域网,点击当前连接的Wi-Fi名称右边的ⓘ信息图标。
- 滑动到最底部,找到配置代理。
- 选择手动。
- 在服务器栏填写电脑IP,端口栏填写
8080。 - 点击右上角存储。
配置完成后,理论上手机的所有HTTP流量都会经过Burp。你可以打开手机浏览器,访问一个HTTP网站(如http://neverssl.com),在Burp的Proxy -> HTTP history中应该能看到请求记录。
3.4 第四步:安装Burp的CA证书(解密HTTPS的关键)
这是最重要也最容易失败的一步。没有证书,你只能抓到HTTP流量和一堆HTTPS的CONNECT隧道建立请求,看不到具体内容。
1. 从Burp导出证书:
- 在电脑浏览器中访问
http://burpsuite或http://电脑IP:端口(例如http://192.168.1.100:8080)。这是Burp内置的一个证书下载页面。 - 点击CA Certificate按钮,下载
cacert.der证书文件。
2. 将证书传输到手机:
- 可以通过数据线、微信/QQ文件传输、邮件附件、网盘等多种方式,把这个证书文件发送到手机上。记住它在手机上的存放路径。
3. 在手机上安装并信任证书:
Android (以较新版本为例):
- 进入设置 -> 安全与隐私 -> 更多安全设置 -> 加密与凭据。
- 选择安装证书->CA证书。
- 系统会警告,点击仍然安装。
- 从手机存储中找到你刚才传输的
cacert.der文件,选择它。 - 为证书命名(如“Burp CA”),点击确定安装。
- 安装成功后,你可以在信任的凭据 -> 用户中看到它。
注意(Android高版本重大变化):从Android 7.0 (API 24) 开始,系统不再信任用户安装的CA证书来验证目标API级别>=24的应用的HTTPS连接。这意味着,即使你安装了证书,很多新版App的HTTPS流量依然无法解密。解决方法有两种:① 将Burp证书安装到系统证书区(需要Root权限);② 修改App的AndroidManifest.xml并重打包(针对特定App测试)。对于普通抓包和学习,可以优先测试目标API级别较低的老App,或者使用Android模拟器(如夜神、雷电),它们通常提供了更方便的证书安装方式。
iOS:
- 用手机浏览器访问你刚才在电脑上访问的同一个地址:
http://电脑IP:8080(例如http://192.168.1.100:8080)。 - 点击CA Certificate,iOS会自动提示你下载一个描述文件。
- 进入设置 -> 已下载的描述文件,点击安装。
- 安装完成后,进入设置 -> 通用 -> 关于本机 -> 证书信任设置。
- 找到你刚刚安装的名为 “PortSwigger CA” 或类似名称的证书,打开其完全信任的开关。
4. 验证HTTPS抓包:在手机上访问https://www.baidu.com,回到Burp的HTTP history,如果能看到清晰的GET /请求和返回的HTML内容,而不是一个CONNECT隧道,说明HTTPS解密成功。
4. 进阶配置与疑难排查
4.1 抓取特定App的流量
有时候,即使配置正确,某些App的流量也抓不到。可能的原因和解决方案:
App使用了证书绑定(SSL Pinning):这是最常遇到的“硬骨头”。App在代码里写死了只信任自己的特定证书,无视系统信任的CA。现象是Burp能收到连接请求,但立即断开,App提示网络错误。
- 应对方法:需要绕过证书绑定。对于Android,可以使用Xposed框架+JustTrustMe模块,或者使用Frida等动态插桩工具Hook掉证书验证逻辑。对于iOS,可能需要越狱后使用SSL Kill Switch等工具。这属于移动安全测试的进阶内容,需要一定的逆向工程基础。
App使用了非标准端口或协议:Burp默认主要处理HTTP/HTTPS。如果App使用WebSocket、纯TCP Socket或自定义协议,需要在Burp的Proxy -> Options -> Proxy Listeners -> Edit -> Request handling中,勾选Support invisible proxying (enable only if needed),并可能需要在Project options -> TLS中配置SSL到非标准端口的传递。
Android高版本限制:如前所述,针对API>=24的App,用户证书无效。除了Root后安装到系统,还可以考虑使用低版本Android模拟器,或者使用像“VirtualXposed”这样的免Root框架来运行目标App。
4.2 常见问题速查表
| 问题现象 | 可能原因 | 排查步骤与解决方案 |
|---|---|---|
| 手机无法上网 | 代理配置错误;Burp未运行;电脑防火墙阻止 | 1. 检查IP和端口是否正确。 2. 确认Burp监听器正在运行且绑定到正确IP。 3. 暂时关闭电脑防火墙测试。 |
| Burp中看不到任何请求 | 手机代理未生效;流量未走代理 | 1. 确认手机Wi-Fi代理已保存并启用。 2. 尝试关闭手机Wi-Fi再重新打开。 3. 在手机浏览器访问 http://burp,看是否能打开Burp证书页面。 |
| 只能抓到HTTP,HTTPS全是CONNECT | 手机未安装/未信任Burp CA证书 | 1. 确认证书已正确安装到手机。 2. iOS需在“证书信任设置”中开启完全信任。 3. Android高版本需考虑系统证书或低API目标。 |
| 某些App提示“网络错误”或“证书错误” | App使用了SSL Pinning | 尝试使用绕过证书绑定的工具(如JustTrustMe)。注意,对银行、支付类App进行此操作可能违反用户协议。 |
| 电脑IP地址发生变化 | 路由器DHCP租期到期 | 重新ipconfig获取新IP,并更新手机上的代理配置。建议在路由器中为电脑设置静态IP分配(DHCP保留)。 |
| iOS安装证书时提示“描述文件下载失败” | 网络问题或Burp代理未正确拦截 | 1. 确保手机能通过代理访问http://电脑IP:8080。2. 尝试用Safari浏览器访问。 |
4.3 提升抓包效率的技巧
- 范围设置(Target Scope):在Burp的Target -> Scope中,添加你只关心的域名或IP范围。然后在Proxy -> Options -> Intercept Client Requests中,勾选And URL Is in target scope。这样Burp只会拦截你设定范围内的流量,避免被无关的App更新、广告请求刷屏。
- 关闭拦截(Intercept):默认情况下Proxy的Intercept是开启的,每个请求都会暂停等待你操作。对于初期配置测试,可以将其设为Intercept is off,让流量直接通过并记录在HTTP history中,配置完成后再开启拦截进行具体测试。
- 使用历史记录过滤:HTTP history页面右上角有强大的过滤器(Filter),可以根据域名、状态码、请求方法、文件类型等快速定位你关心的请求。
- 手机端辅助工具:对于Android,可以安装
Packet Capture这类App,它可以在手机内部创建一个VPN通道来捕获所有流量,有时可以作为Burp的补充或替代,用于快速确认手机是否真的有网络流量发出。
5. 安全与合规须知
最后,也是最重要的一点,技术是把双刃剑。
- 仅用于授权测试:务必只在你自己拥有完全控制权的设备、或已获得明确书面授权的测试目标上使用Burp Suite进行抓包和分析。未经授权对他人的网络、应用进行拦截和攻击是违法行为。
- 尊重隐私:抓取到的数据包可能包含敏感信息。请妥善处理这些数据,不要泄露或用于非法用途。
- 理解风险:在个人手机上安装外部CA证书存在一定安全风险,因为它理论上允许任何使用该证书的中间人解密你的HTTPS流量。测试完成后,建议及时在手机设置中删除已安装的Burp CA证书。
整个配置过程,从原理理解到实操排错,是安全测试工程师的入门必修课。它看似繁琐,但每一步都有其必然性。多配置几次,把每个环节的“为什么”都搞清楚,以后无论遇到什么奇怪的网络环境或应用,你都能快速找到突破口。我最开始的时候,也在防火墙和证书安装上卡了好几个小时,但现在这套流程已经肌肉记忆,五分钟就能搭好环境。希望这份详细的指南,能帮你少走些弯路。