🔍 为什么需要用Burp Suite抓手机包?
在渗透测试、APP漏洞挖掘或接口调试场景中,手机端的网络请求往往比PC端更直接(比如绕过浏览器限制)。但手机不像电脑能直接装代理工具,这时候就需要用Burp Suite作为中间人代理,捕获手机发出的所有HTTP/HTTPS请求📱➡️🖥️。尤其对于新手小白来说,掌握这个技能等于打开了移动端安全测试的大门!
一、Burp Suite手机抓包详细步骤拆解(新手必看)
核心目标:让手机流量经过电脑上的Burp Suite代理,实现请求拦截与分析。
前置条件:电脑和手机处于同一局域网(比如连同一个WiFi),电脑已安装Java环境并运行Burp Suite(社区版免费足够基础抓包)。
步骤1:设置Burp Suite代理监听
打开Burp Suite → 进入「Proxy」选项卡 → 点击「Options」→ 检查默认的代理监听器(通常是127.0.0.1:8080)。
👉 关键操作:点击「Add」添加新监听器,绑定IP改为电脑的局域网IP(通过cmd输入ipconfig查IPv4地址),端口保持8080(或自定义未被占用的端口,如8888)。
✅ 验证是否成功:确保监听器的「Running」状态为绿色,且「Bind to port」无冲突提示。
步骤2:手机配置代理指向电脑
进入手机的「WIFI设置」→ 长按当前连接的WiFi名称 → 选择「修改网络」→ 找到「高级选项」→ 将「代理」从「无」改为「手动」。
输入电脑的局域网IP(和Burp Suite监听器IP一致)和端口(如8080)。
⚠️ 注意:不同手机系统路径可能略有差异(安卓在「WLAN」详情页,iOS在「HTTP代理」手动配置),但逻辑相同——告诉手机“所有网络请求先发给这台电脑处理”。
二、证书安装方法(抓HTTPS包的核心!)
为什么需要证书? HTTPS请求经过加密,Burp Suite要解密内容必须让手机信任它的根证书(类似给中间人发“身份证”)。
步骤1:电脑导出Burp Suite证书
打开Burp Suite → 进入「Proxy」→「Options」→ 找到「Import / Export CA Certificate」→ 选择「Export in DER format」导出证书文件(通常命名为cacert.der)。
步骤2:手机安装证书
- 安卓手机:将cacert.der文件传到手机(通过微信/QQ/数据线)→ 打开文件管理器找到该文件 → 点击安装 → 选择「VPN和应用」或「系统信任」(部分机型需手动允许安装未知证书)。
- 苹果iPhone:将文件传到电脑 → 用Safari浏览器打开证书下载链接(或通过邮件发送到手机)→ 安装时需输入锁屏密码 → 最后在「设置」→「通用」→「VPN与设备管理」中信任该证书。
🔐 重点提示:iOS 13+和部分安卓高版本系统要求证书必须安装到「系统信任区」,否则抓HTTPS会显示乱码或失败!
三、抓包实战与常见问题解决
成功标志:打开手机任意APP或浏览器访问网页,Burp Suite的「Proxy」→「HTTP history」会显示捕获的请求记录(包括URL、请求头、响应内容)。
常见问题1:手机连不上代理?
❌ 现象:手机提示“无法连接到代理服务器”或请求无捕获记录。
✅ 解决方案:
① 检查电脑防火墙是否拦截了8080端口(临时关闭防火墙测试);
② 确认手机和电脑在同一WiFi(不同网络无法通信);
③ 重新核对Burp Suite监听器的IP和端口是否与手机代理设置完全一致(比如电脑IP是192.168.1.100,手机代理就不能填错成192.168.0.100)。
常见问题2:HTTPS请求显示乱码/无法解密?
❌ 现象:抓到的HTTPS请求内容是加密的「TLSv1.2」「Encrypted」字样。
✅ 解决方案:
① 确保手机已正确安装并信任Burp Suite证书(参考第二步);
② 部分APP启用了证书固定(Certificate Pinning),会拒绝非官方证书的连接(比如银行类APP),这种情况需要额外工具绕过(如Frida或Xposed模块),新手可先从普通APP练手。
我的个人经验分享
刚开始学抓包时,我总卡在「证书安装后HTTPS还是乱码」这一步,后来发现是iOS系统没把证书放到「信任区」(藏在「设置」→「通用」→「VPN与设备管理」里)。另外,建议新手先用简单的HTTP网站(比如http://example.com)测试,成功后再挑战HTTPS,这样能快速定位问题所在!
延伸思考:除了基础抓包,Burp Suite还能修改请求参数(比如篡改登录密码测试接口安全性)、重放请求(模拟重复提交订单),甚至结合爬虫工具做自动化测试。掌握手机抓包只是第一步,后续的实战技巧才是拉开差距的关键!