在前面的文章中，我們講到過抓包工具burpsuite的使用。工具雖然比較強(qiáng)大，但是新手初次使用時(shí)，需要安裝java環(huán)境。這便有了一定的門檻，本文為大家詳細(xì)介紹Windows平臺(tái)下開箱即用的抓包工具Fiddler

關(guān)于

Fiddler是最強(qiáng)大最好用的Web調(diào)試工具之一， 它能記錄所有客戶端和服務(wù)器的http和https請(qǐng)求。允許你監(jiān)視、設(shè)置斷點(diǎn)、甚至修改輸入輸出數(shù)據(jù)。Fiddler包含了一個(gè)強(qiáng)大的基于事件腳本的子系統(tǒng)，并且能使用.net語言進(jìn)行擴(kuò)展。換言之，你對(duì)HTTP 協(xié)議越了解，你就能越掌握Fiddler的使用方法。你越使用Fiddler，就越能幫助你了解HTTP協(xié)議。Fiddler無論對(duì)開發(fā)人員或者測(cè)試人員來說，都是非常有用的工具。

下載安裝

我們直接到官網(wǎng)進(jìn)行下載即可。官網(wǎng)地址：https://www.telerik.com/fiddler

文件比較小，6M左右。下載完成后直接安裝。

安裝完成后，效果如下所示

面板介紹

左側(cè)面板

Result : HTTP響應(yīng)的狀態(tài)

Protocol：請(qǐng)求使用的協(xié)議（如HTTP/HTTPS）

HOST：請(qǐng)求地址的域名/ip

URL：請(qǐng)求的服務(wù)器路徑和文件名，也包含GET參數(shù)

BODY：請(qǐng)求的大小，以byte為單位

Content-Type：請(qǐng)求響應(yīng)的類型

Caching：請(qǐng)求的緩存過期時(shí)間或緩存控制header的值

Process：發(fā)出此請(qǐng)求的Windows進(jìn)程及進(jìn)程ID

Comments ：用戶通過腳本或者菜單給此session增加的備注

custom：用戶可以通過腳本設(shè)置的自定義值

右側(cè)面板

Statistics統(tǒng)計(jì)頁簽

通過該頁簽， 用戶可以通過選擇多個(gè)會(huì)話來得來這幾個(gè)會(huì)話的總的信息統(tǒng)計(jì)，比如多個(gè)請(qǐng)求和傳輸?shù)淖止?jié)數(shù)。選擇第一個(gè)請(qǐng)求和最后一個(gè)請(qǐng)求， 可獲得整個(gè)頁面加載所消耗的總體時(shí)間。從條形圖表中還可以分別出哪些請(qǐng)求耗時(shí)最多， 從而對(duì)頁面的訪問進(jìn)行訪問速度優(yōu)化

inspectors檢查頁簽

它提供headers、textview、hexview,Raw等多種方式查看單條http請(qǐng)求的請(qǐng)求報(bào)文的信息，它分為上下兩部分：上部分為HTTP Request（請(qǐng)求）展示，下部分為HTTPResponse（響應(yīng)）展示

AutoResponse自動(dòng)響應(yīng)頁簽

Fiddler最實(shí)用的功能， 它可以抓取在線頁面保存到本地進(jìn)行調(diào)試， 大大減少了在線調(diào)試的困難， 可以讓我們修改服務(wù)器端返回的數(shù)據(jù)， 例如讓返回都是HTTP404或者讀取本地文件作為返回內(nèi)容。

composer構(gòu)建頁簽

支持手動(dòng)構(gòu)建和發(fā)送HTTP， HTTPS和FTP請(qǐng)求， 我們還可以從web session列表中拖曳session， 把它放到composer選項(xiàng)卡中， 當(dāng)我們點(diǎn)擊Execute按鈕， 把請(qǐng)求發(fā)送到服務(wù)器端。

log日志頁簽：打印日志

Filters過濾頁簽

過濾器可以對(duì)左側(cè)的數(shù)據(jù)流列表進(jìn)行過濾， 我們可以標(biāo)記、 修改或隱藏某些特征的數(shù)據(jù)流。

抓HTTPS包

默認(rèn)情況下，只能抓http的數(shù)據(jù)包，想要抓https的數(shù)據(jù)包，我們需要簡(jiǎn)單的設(shè)置。 點(diǎn)擊tool-options-https勾選如下

接著點(diǎn)擊Actions-Export Root Certificate to Desktop，此時(shí)桌面上會(huì)出現(xiàn)這個(gè)文件：

接著我們需要在瀏覽器上導(dǎo)入證書，以谷歌瀏覽器為例：點(diǎn)擊設(shè)置-安全和隱私設(shè)置-安全-管理證書：

現(xiàn)在，我們便可以抓到https的包了。

更多精彩文章 歡迎關(guān)注微信公眾號(hào) kali黑客筆記