🔍 为什么抓HTTPS流量必须装证书?
用Burp Suite抓包时,如果目标网站是HTTPS加密协议(比如登录页面、支付接口),浏览器和服务器之间的通信会被加密,工具直接抓到的全是乱码❌!这时候就需要安装Burp的根证书,相当于让工具“伪装”成受信任的中间人,解密并显示明文数据📄。但很多新手卡在“证书装了还是抓不了包”“手机导入失败”等问题上——别急,这篇从最新版(202X.X)实操出发,手把手教你搞定全流程!
一、Burp Suite最新版安装证书基础步骤(电脑端)
先明确:最新版Burp Suite(Community/Professional)证书安装逻辑一致,只是专业版功能更全,社区版免费够用。
📌 步骤1:启动Burp并生成证书
打开Burp Suite → 点击右上角「Proxy」选项卡 → 选择「Options」→ 找到「Proxy Listeners」→ 确保监听端口是默认的8080(或自定义但未被占用)。然后点击「Import / Export CA Certificate」→ 选择「Export」→ 保存格式选「PEM (Certificate only)」或「DER (Certificate only)」(建议都存一份备用)📥。
📌 步骤2:电脑系统信任证书(关键!)
– Windows:双击保存的证书文件 → 选择“本地计算机” → 存储到“受信任的根证书颁发机构” → 完成导入。
– Mac:双击证书 → 打开“钥匙串访问” → 拖到“系统”钥匙串 → 右键证书 → 选择“始终信任”。
– Linux:用命令行导入(不同发行版命令略差异,通常放/etc/ssl/certs/并更新ca-certificates)。
⚠️ 常见问题:如果导入后仍提示不信任,检查是否选错了钥匙串分类(比如Mac的“登录”钥匙串不生效,必须选“系统”);Windows可能需要重启浏览器。
二、手机抓包怎么安装证书?(以安卓/iOS为例)
想抓手机APP的HTTPS请求?必须把Burp证书装到手机里,并让手机信任这个证书!
📱 安卓手机(需Root更简单,非Root也能搞定)
1. 电脑端设置代理:确保手机和电脑连同一WiFi → 在Burp的「Proxy」→「Options」里确认监听IP是电脑的本地IP(不是127.0.0.1!),端口8080。
2. 手机连接代理:进入手机WiFi设置 → 手动配置代理 → 主机名填电脑IP,端口填8080。
3. 下载证书:手机浏览器访问 http://burp(或电脑IP:8080)→ 点击「CA Certificate」下载(文件名通常是cacert.der)。
4. 安装证书:
– 非Root:将证书重命名为xxx.crt(部分手机只认.crt后缀)→ 进入手机「设置」→「安全」→「加密与凭据」→「从存储设备安装」→ 选择证书文件 → 设置证书名称(如Burp)→ 安装到“用户凭据”(部分机型需选“VPN和应用”)。
– Root:直接复制证书到/system/etc/security/cacerts/,权限改为644,重启生效。
🍎 苹果手机(iOS)
1. 同样先设置电脑代理和手机WiFi代理(步骤同安卓)。
2. 手机浏览器访问 http://burp → 下载证书(文件名通常是cacert.cer)。
3. 安装证书:点击下载的证书 → 输入锁屏密码 → 安装(首次需在「设置」→「通用」→「VPN与设备管理」里信任描述文件)。
4. 关键一步:iOS 13+ 必须在「设置」→「通用」→「关于本机」→「证书信任设置」里,找到Burp的根证书 → 开启「信任」!否则HTTPS请求仍拦截失败❌。
三、安装后还是抓不了包?排查这3个高频问题!
很多小伙伴按步骤装完证书,打开浏览器访问HTTPS网站却提示“不安全”或抓包工具一片空白🤯,别慌,可能是这些问题:
🔧 问题1:浏览器/系统未信任证书
– 表现:访问HTTPS网站弹出“证书无效”警告,或抓包显示“TLS握手失败”。
– 解决:回到「一、电脑系统信任证书」重新检查导入路径(比如Mac必须选“系统”钥匙串),Windows记得重启浏览器(Chrome/Firefox可能需单独信任)。
🔧 问题2:代理未正确配置
– 表现:手机能连WiFi但无法上网(代理导致),或Burp抓不到任何请求。
– 解决:确认电脑防火墙没拦截8080端口 → 手机代理IP填的是电脑本地IP(用ipconfig/win+R输入cmd查ipconfig查看),不是127.0.0.1!
🔧 问题3:证书过期或版本不匹配
– 表现:新版Burp生成的证书可能和旧版不兼容(比如202X年后证书加密算法升级)。
– 解决:删除旧证书,重新按本文步骤生成并导入最新版证书(建议用Burp Suite官方最新版,避免第三方修改版)。
四、证书导入浏览器信任教程(额外补充)
如果你只想用Burp抓浏览器流量(比如测试网页表单提交),除了系统信任外,还可以单独让浏览器信任证书:
- Chrome/Edge:直接信任系统证书即可(因为它们共用系统根证书库)。
- Firefox:它有自己的证书库!需单独导入:打开Firefox →「设置」→「隐私与安全」→「证书」→「查看证书」→「证书机构」→ 导入Burp的证书 → 勾选“信任”。
💡 个人建议:新手优先用Chrome/Firefox测试,避免Firefox单独配置的麻烦;手机抓包时,安卓非Root用户如果安装失败,可以试试下载“HTTP Toolkit”等辅助工具简化流程(但Burp功能更全面)。
📢 最后划重点:Burp Suite装证书的核心就三点——生成证书、电脑系统信任、移动端安装并开启信任!遇到问题别急着换工具,90%的故障都是代理配置错误或证书未正确信任导致的。按照本文步骤一步步排查,保证你能顺利抓到HTTPS明文数据,不管是做安全测试还是日常调试API都超好用!