爬虫工具

朋友圈模糊了?咱有 mitmproxy

2016-01-27  本文已影响3439人  齐涛道长

今天下午都在发朋友圈红包照片,错过了很多。然后忽然发现抓包工具火了,有介绍fiddle的,有介绍Charles的。有工具干嘛要花钱去看呢?还是所长说的对啊:


既然这样,我也给大家推荐一款工具:mitmproxy。免费开源,跨平台,官方网站是http://mitmproxy.org

Github源码地址:https://github.com/mitmproxy/mitmproxy

(后面有多图预警,当然了,反正你也打开了,土豪随意吧)

因为它是基于Python实现的,因此安装也比较简单,对于安装了pip的小伙伴可以直接pip install mitmproxy。用robotframework的小伙伴大多数应该都安装了pip了,不过在我的mac上用pip安装会在一个叫pyparsing的库安装卡住了,印象里记得是2.0.1的版本找不到,在pypi.python.org上搜这个库最新是2.0.7,最后只好手工下载源码安装了pyparsing,然后再重新pip安装mitmproxy。下面的演示是在mac上进行的,其他平台请参考官方网站(要科学上网)。Mac版本还有打好包的预编译版本可以使用。

安装完成之后我们在命令行输入如下命令:
mitmproxy -b 192.168.0.105 -p 8888 --no-upstream-cert


其中-b是指定本机ip,-p是指定端口,--no-upstream-cert我记得是抓https请求需要带这个参数,详细说明最好看官方文档(http://docs.mitmproxy.org

回车后我们就会看到mitmproxy的界面了,比较清爽:


页面很简洁,右下方有个? 蓝色的问号是帮助,凡是你看到界面里这个颜色的都是快捷键,那么我们按一下?键(一般带shift一起按的)


这里有常见的命令,比如我们用大写的C可以清空请求,在查看response的时候可以用m来选择不同格式的展示。我们按q返回到前面一个界面,接下来等待我们手机上的操作。
我们要在手机上和Mac电脑连到同一个wifi网络里,然后设置当前wifi连接的代理服务器和端口:


这是iPhone的图,Android请参考设置。设置好之后,我们就去朋友圈找图吧,我找了一个图,记得先清空一下mitmproxy的数据,免得请求太多找不到是哪一个了。然后点击图片提示我要发红包:


嗯哼,我才不会轻易发红包呢,然后我们看到mitmproxy界面上就多了一条请求:


可以看到它的状态是200,类型是image/jpeg,我们这里就没有fiddle和Charles那么方便直接预览图片了,我们要把那个url取出来,但是直接在这个页面复制的话会有空格被复制下来,怎么做呢,我们按回车(如果有多条请按上下键移动>>光标到你需要的记录再按回车):


这个页面有Request、Response和Detail,你可以按Tab键切换不同页面,顺带提一句就是,当你抓包要看Response的时候,切换到Response,然后记得前面提到的快捷键m,然后可以按json、html等等很多格式来展示返回结果,这里大家自己试试,或者改天再来详细说说。我们还是先看看怎么去快捷的获取url吧,我们按一下e这个键:


这里提示我们可以自己Edit request,也就是修改请求,以后想要伪造请求或响应的都可以自己来做哈。然后后面括号里的是你想修改的内容,每个都有一个关键字亮起,我们需要的是url,所以按u键:


接下来就可以复制咯,要注意,这里复制要按住shift、alt或ctrl才能复制,我在mac上是按alt才行,ctrl我这不行,shift忘记尝试了,其他系统也还没试过。如果直接拿鼠标去拖的话会看到如下提示:



就是提示你要按住这几个键其中之一才能选择文本,那么我们选择好前面的url之后,就放到浏览器里看看吧。


纳尼,我裤子都脱了你就给我看这个。。。这是谁的图片自己认领吧,我就不曝光你了。

顺带说一下如何抓https的请求,mitmproxy有一个很方便的操作,它内置了自己的https证书,你的客户端只要设置号mitmproxy的代理后,只要访问一个网址:mitm.it,就会看到如下页面:


我当然选了Apple的,接着就会跳到下面的页面,继续安装好描述文件就可以了。


最后说一点安全的问题,实际上微信红包照片是已经把图片下载了,然后在前端加了模糊效果不让你看,于是才可以抓包抓到。如果像身份证号等敏感信息也这样不加处理的传到前端,一样可以抓包获取到数据,这样敏感信息就很容易泄露了。一般我们都是后端已经打码了或者进行了加密处理再给到前端,这样即使你抓包拦截到了,也是不能直接得到完整敏感信息的,这样就不会那么容易泄密了。对于微信红包照片其实也可以由后台统一模糊给到前端,当你发了红包后再从后端取真正的不模糊的照片,这样实际上是下载了两张照片了,成本有点高的。

如果你喜欢这个公众号的内容,欢迎扫描下面的二维码关注,谢谢!


要是觉得还可以的话,别给他们发红包了,发给我吧,哈哈哈!


上一篇 下一篇

猜你喜欢

热点阅读