没导入证书

burpsuite生成证书

der格式,名字随便取,一路next 

firefox浏览器导入

导入,勾选信任证书ok,重启浏览器 

还有你要勾选这里,确保所有流量都走你的代理

ps:遇到浏览器各种报错,重新生成并导入证书,并删除以前导入的证书,破解版的burpsuite有时候会自动刷新,导致以前证书失效,你百度遇到的问题我都遇到过,我的解决方法就是这样。在不行干掉浏览器,重新导入,或者下面的方法。

双向认证

  证书问题,浏览器会检查客户端配置,看是不是浏览器没安装证书、是不是ukey、u盾松了或者对应的驱动程序没安装好等,通常,服务器在验证不通过时会发送一个alert报文,表明错误类型,如果回复Unknow CA,表明服务器少导入了ca证书或者根证书。

  双向认证绕过方法:

  web端:

  简单暴力直接,直接安装证书,一般双向鉴权的网站,会提示你,你下载直接导入就ok

  app端:

我懒的截图,找app去逆向;大体流程:

1.逆向apk,寻找:密钥库文件格式(Keystore)和证书文件格式(Certificate) 这段复制的,直接拿过来

密钥库文件格式[keystore]代码

格式    :  	JKS

扩展名  :  	.jks/.ks

描述    :  	[Java Keystore]密钥库的Java实现版本,provider为SUN

特点    :  	密钥库和私钥用不同的密码进行保护

格式    :  	JCEKS

扩展名  :  	.jce

描述    :  	[JCE Keystore]密钥库的JCE实现版本,provider为SUN JCE

特点    :  	相对于JKS安全级别更高,保护Keystore私钥时采用TripleDES

格式    :  	PKCS12

扩展名  :  	.p12/.pfx

描述    :  	[PKCS #12]个人信息交换语法标准

特点    :  	1、包含私钥、公钥及其证书

			2、密钥库和私钥用相同密码进行保护

格式    :  	BKS

扩展名  : 	.bks

描述    : 	Bouncycastle Keystore]密钥库的BC实现版本,provider为BC

特点    :  	基于JCE实现

格式    : 	UBER

扩展名  : 	.ubr

描述    : 	[Bouncycastle UBER Keystore]密钥库的BC更安全实现版本,provider为BC

证书文件格式[certificate]代码

格式    :  	DER

扩展名  :  	.cer/.crt/.rsa

描述    : 	[ASN .1 DER]用于存放证书

特点    :  	不含私钥、二进制	 

格式    :  	PKCS7

扩展名  : 	.p7b/.p7r

描述    : 	[PKCS #7]加密信息语法标准

特点    : 	1、p7b以树状展示证书链,不含私钥

			2、p7r为CA对证书请求签名的回复,只能用于导入	 

格式    :  	CMS

扩展名  :  	.p7c/.p7m/.p7s

描述    : 	[Cryptographic Message Syntax]

特点    : 	1、p7c只保存证书

			2、p7m:signature with enveloped data

			3、p7s:时间戳签名文件

格式    :  	PEM

扩展名  : 	.pem

描述    : 	[Printable Encoded Message]

特点    : 	1、该编码格式在RFC1421中定义,其实PEM是[Privacy-Enhanced Mail]的简写,但他也同样广泛运用于密钥管理

			2、ASCII文件

			3、一般基于base 64编码	 

格式    : 	 PKCS10

扩展名  : 	.p10/.csr

描述    : 	[PKCS #10]公钥加密标准[Certificate Signing Request]

特点    :  	1、证书签名请求文件

			2、ASCII文件

			3、CA签名后以p7r文件回复	 

格式    :  	SPC

扩展名  : 	.pvk/.spc

描述    : 	[Software Publishing Certificate]

特点    :  	微软公司特有的双证书文件格式,经常用于代码签名,其中

			1、pvk用于保存私钥

			2、spc用于保存公钥 

2.分析源码,找到私钥证书密码(keytool 可视化工具 Portecle )
3.导入抓包

一些栗子:https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652470591&idx=1&sn=88b35eba720e81f25d8c6c500b8b6aa5&chksm=f258de8cc52f579a1b1a187d120c1606e2587e4e717e753a48c57488583c6ac872228897b150&mpshare=1&scene=1&srcid=08063MTmSPdXpEglaiuO2CxW&sharer_sharetime=1565102992788&sharer_shareid=0b589ee30152a3a15640cf4b42e28eea&key=af83b0a6b09a9062fc3268f6738b4758627fc36b12c9245f2f7be32f2445dc284987de21223c191f06649b9145a223ff0d645df8515fb0412b0fdf32a0752241c4d1fff0cbb3163bf91a0e1ea01c18ca&ascene=1&uin=Mjg2ODE2NTczMQ%3D%3D&devicetype=Windows+7&version=62060739&lang=zh_CN&pass_ticket=SLhOgdYCiDMTGdqj5pmvZot97U%2BTe2O%2BsZd8r4mx3nq4p0CJ%2B2xjaJYYyvaMY%2FU5

https://www.secpulse.com/archives/54027.html

https://blog.csdn.net/wyx100/article/details/46485935

IPV6的原因

Burp Suite是不支持IPv6地址进行数据通信的,这时在cmd控制台里就会抛出如下异常

java.net.SocketException: Permission denied

同时,浏览器访问时,也会出现异常

Burp proxy error: Permission denied: connect

当出现如上问题时,我们需要修改启动脚本,添加对IPv4的指定后,重启Burp Suite即可。

java -jar -Xmx2048M -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar

通过 -Djava.net.preferIPv4Stack=true参数的设置,告诉Java运行环境,使用IPv4协议栈进行数据通信,IPv6协议将会被禁止使用。
这个错误最常见于64位的windows操作系统上,使用了32位的JDK

burpsuite 关于部分https抓包失败原因的更多相关文章

  1. Fiddler对https抓包时,提示"HTTPS decryption is disabled."原因及破解

    Fiddler对https抓包时,提示"HTTPS decryption is disabled." 原因:没有启用 https 解密. 破解: ----------------- ...

  2. 安卓APP测试之使用Burp Suite实现HTTPS抓包方法

    APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外).所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议.Websocket.socket协议,一 ...

  3. Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown

    前提: Android使用Charles抓取Https请求的报文时,Android和Charles都正确安装了证书之后出现抓包失败,报错SSLHandshake: Received fatal ale ...

  4. Charles的HTTPS抓包方法及原理,下载安装ssl/https证书

    转自:https://zhubangbang.com/charles-https-packet-capture-method-and-principle.html 本文的Charles,适应windo ...

  5. 部分APP无法代理抓包的原因及解决方法

    引言 HTTP应用层的抓包已经成为日常工作测试与调试中的重要一环,最近接触新项目突然之间发现之前的抓包手段都不好使了,顿时模块与模块之间的前端与服务之间的交互都变成了不可见,整个人都好像被蒙住了眼睛. ...

  6. 【答疑解惑】为什么你的 Charles 会抓包失败?

    作为一名 Web 开发工程师,天天都会和网络打交道.Charles 作为一款网络抓包工具,几乎成了 Web 开发的标配. 本文是我深度使用 Charles 后总结而成,不同于其它介绍 Charles ...

  7. 移动端https抓包那些事--初级篇

    对于刚刚进入移动安全领域的安全研究人员或者安全爱好者,在对手机APP进行渗透测试的时候会发现一个很大的问题,就是无法抓取https的流量数据包,导致渗透测试无法继续进行下去. 这次给大家介绍一些手机端 ...

  8. 移动端https抓包那些事--进阶篇

    上一次和大家介绍了手机端https抓包的初级篇,即在手机未root或者未越狱的情况下如何抓取https流量,但是当时分析应用时会发现,好多应用的https的流量还是无法抓取到,这是为什么呢? 主要原因 ...

  9. fiddler教程:抓包带锁的怎么办?HTTPS抓包介绍。

    点击上方↑↑↑蓝字[协议分析与还原]关注我们 " 介绍Fiddler的HTTPS抓包功能." 这里首先回答下标题中的疑问,fiddler抓包带锁的原因是HTTPS流量抓包功能开启, ...

随机推荐

  1. django开发最完美手机购物商城APP带前后端源码

    后端和数据接口,全采用django开发 从0到大神的进阶之路 一句话,放弃单文件引用vue.js练手的学习方式 马上从vue-cli4练手,要不然,学几年,你也不懂组件式开发,不懂VUEX,不懂路由, ...

  2. Spring杂谈 | Spring中的AutowireCandidateResolver

    接口定义 用于推断一个特定的beanDefinition是否能作为指定依赖的候选者的策略接口 public interface AutowireCandidateResolver { // 默认情况下 ...

  3. hue搭建

    1.安装依赖: sudo yum -y install gcc-c++ asciidoc cyrus-sasl-devel cyrus-sasl-gssapi krb5-devel libxml2-d ...

  4. FOC 转子初始位置检测(图文详解)

    本文介绍了PMSM的转子初始位置的各种情况: 文章目录 1 什么是转子的初始位置? 2 如何让转子运行到初始位置? 3 iq=IDC;id=0;θ=0i_{q}=I_{DC} ;i_{d}=0;\th ...

  5. acm的一些头文件和调试代码

    个人觉得单步调试麻烦且费时间,所以我两年时间里F4+watch基本没怎么用过,但由于"查看变量的值"这个需求总是存在的,并且调试时通常需要显示很多东西,printf写起来又比较蛋疼 ...

  6. C#实现前向最大匹、字典树(分词、检索)

    场景:现在有一个错词库,维护的是错词和正确词对应关系.比如:错词“我门”对应的正确词“我们”.然后在用户输入的文字进行错词校验,需要判断输入的文字是否有错词,并找出错词以便提醒用户,并且可以显示出正确 ...

  7. 简述SpringCloud底层原理

    目录 一.业务场景介绍 二.Spring Cloud核心组件:Eureka 三.Spring Cloud核心组件:Feign 四.Spring Cloud核心组件:Ribbon 五.Spring Cl ...

  8. 2、接口测试(Composer)

    前言 Fiddler最大的优势在于抓包,我们大部分使用的功能也在抓包的功能上,fiddler做接口测试也是非常方便的. 对应没有接口测试文档的时候,可以直接抓完包后,copy请求参数,修改下就可以了. ...

  9. java 生成随机字符串

    1.生成之指定位数的随机字符串 /** * 随机基数 */ private static char[] charset = {'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h ...

  10. My sql的知识点 不足点请指点谢谢

    My SQL:(关系数据库) 数据库能够能够干吗? 1. :存储大量的信息,方便检索和访问    2. :保持数据信息的一致,完整      3. : 共享和安全 4. : 通过组合分析,产生新的有用 ...