1.6-抓包实战:从Burp Suite到Yakit,打通Web、APP、小程序流量分析
1. 为什么我们需要抓包工具?
当你打开一个网页或者使用手机APP时,数据就像快递包裹一样在网络中来回传递。抓包工具就是帮你"拆开"这些数据包裹的"快递员",让你能清楚地看到里面装了什么。无论是网站开发调试、APP功能测试,还是安全漏洞挖掘,抓包都是最基础也最重要的技能之一。
我刚开始接触抓包时也踩过不少坑。记得有次测试一个电商APP,死活抓不到登录接口的数据,后来才发现是APP做了证书校验。现在市面上主流的抓包工具有Burp Suite和Yakit,前者是老牌专业工具,后者是国产新秀。它们都能处理Web、APP和小程序的流量,但在具体操作和功能侧重上各有特色。
2. 环境准备与证书安装
2.1 本地证书配置
所有抓包工具要解密HTTPS流量,都需要在设备上安装根证书。这就像给你的快递员发个工作证,让系统相信它是"自己人"。Burp Suite的证书安装稍微麻烦些:
- 打开Burp Suite,进入Proxy -> Options -> Import/Export CA Certificate
- 选择导出证书为.cer格式
- 双击安装时必须勾选"受信任的根证书颁发机构"
我遇到过很多次证书安装后仍然报错的情况,后来发现是Windows系统需要额外执行这个命令:
certmgr.msc然后在"受信任的根证书颁发机构"中手动确认证书已正确安装。
2.2 移动端证书配置
安卓手机安装证书要注意:
- 将证书后缀改为.der
- 通过adb推送到设备:
adb push burp.der /sdcard/Download然后在手机设置 -> 安全 -> 加密与凭据中安装。iOS设备更麻烦些,需要先通过Safari下载证书,再在设置中手动信任。
有个实用技巧:如果APP检测系统证书,可以试试用Magisk模块"Move Certificates"将证书移到用户证书区。我在测试某银行APP时就靠这个方法绕过了检测。
3. Burp Suite实战抓包技巧
3.1 Web端抓包配置
浏览器抓包最基础但也最容易出问题。推荐使用Firefox而不是Chrome,因为:
- Firefox有独立的证书存储
- 不会强制升级HSTS等安全策略
- 代理设置更稳定
配置步骤:
- 浏览器设置手动代理为127.0.0.1:8080
- 访问http://burp下载CA证书
- 在about:config中关闭doh和triton
实测中我发现新版Edge浏览器经常会自动切换回系统代理,这时可以安装"Proxy SwitchyOmega"插件锁定代理设置。
3.2 APP抓包进阶方案
普通APP直接配置WiFi代理即可,但遇到有防护的APP就需要特殊处理:
- 反代理检测:用Frida hook网络库的isProxyActive方法
Interceptor.attach(Module.findExportByName("libnetwork.so", "isProxyActive"), { onLeave: function(retval) { retval.replace(0); } });- 证书绑定校验:修改APK的networkSecurityConfig
<base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates src="system" /> <certificates src="user" /> </trust-anchors> </base-config>- 双证书校验:需要Xposed模块JustTrustMe配合
最近测试一个短视频APP时,发现它用了私有DNS+证书绑定+代理检测三重防护,最后是用VirtualXposed+平行空间才成功抓到包。
4. Yakit的创新抓包方式
4.1 一键式MITM劫持
Yakit最大的亮点就是"免配置启动"功能:
- 点击MITM交互式劫持
- 选择"免配置启动"
- 自动弹出内置浏览器
这个浏览器已经预配置好代理和证书,直接访问目标网站就能看到实时流量。我测试时发现它对WebSocket的支持特别好,能完整还原聊天协议。
4.2 小程序抓包方案
微信小程序因为运行在沙盒环境,传统方法很难抓包。Yakit的方案是:
- 设置监听端口为0.0.0.0:8083
- 使用Proxifier创建规则:
- 目标进程:WeChatAppEx.exe
- 动作:Proxy Yakit
- 启动小程序后立即能在Yakit看到流量
有个细节要注意:新版微信会检测Proxifier,需要在规则中排除WeChat.exe主进程。我最近用这个方法成功抓取了某外卖小程序的优惠券接口。
5. 工具对比与场景选择
5.1 功能特性对比
| 功能点 | Burp Suite Pro | Yakit |
|---|---|---|
| HTTPS解密 | 需要手动装证书 | 一键自动配置 |
| 移动端支持 | 依赖外部工具 | 内置安卓助手 |
| 插件生态 | 丰富但收费多 | 国产插件为主 |
| 漏洞扫描 | 专业但速度慢 | 快速基础检测 |
| 学习曲线 | 陡峭 | 平缓 |
5.2 选型建议
根据我的实战经验:
- 深度安全测试:选Burp Suite,它的Scanner和Intruder模块无可替代
- 快速调试:用Yakit,特别是需要测试微信生态时
- 特殊环境:两者配合使用,比如用Burp的插件处理Yakit抓到的数据
最近在测试一个物联网设备的管理后台时,我先用Yakit快速定位到API接口,再用Burp的Sequencer分析会话令牌的随机性,这种组合拳效率很高。
6. 常见问题排查指南
6.1 抓不到包的7种可能
- 证书未信任:安卓9+需要额外修改network_security_config
- 代理被绕过:APP可能使用硬编码IP或HttpURLConnection
- 端口冲突:检查是否有其他程序占用了8080端口
- TLS1.3问题:在Burp的TLS设置中禁用TLS1.3
- 客户端校验:用jadx查找pinning相关代码
- 多进程架构:Android的Network Security Config可能只在主进程生效
- IPv6问题:在hosts文件中将localhost指向::1
6.2 性能优化技巧
当处理高并发流量时:
- 调整Burp的JVM参数:
-Xmx2048m -XX:+UseG1GC- 在Yakit中关闭不需要的插件
- 使用过滤器减少显示的数据量:
^(?!.*(jpg|png|gif)).*$上周测试一个直播APP时,原始流量太大导致Burp频繁卡死,后来是用这个过滤规则只保留API请求才顺利完成测试。