一款包含App抓包的代理工具

admin
admin
admin
0
文章
0
评论
2026-03-19 17:07:32 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档记录了一个高校人脸采集系统的渗透实战案例,通过Fuzz登录接口将login改为register实现任意用户注册漏洞。同时介绍SwordfishSuite安全测试工具,该工具类似BurpSuite,提供智能代理、APP抓包、插件系统等功能,支持HTTPS流量拦截与分析。实战案例展示了基础Fuzz技巧,工具提供了GUI界面和Python脚本扩展能力。 综合评分: 65 文章分类: 安全工具,渗透测试,WEB安全,实战经验

cover_image

一款包含App抓包的代理工具

锐鉴安全

2026年3月17日 08:36 广东

75

书站的未授权漏洞,忆校园青春阅edu证书站的未授权漏洞,忆校园青春

点击蓝字 关注我  共筑信息安全

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任!

1

背景

本次实战的案例,源于某高校的人脸采集系统,听着都感觉危害很大,因为全是敏感信息,如身份证、人脸等,拿到就是高危漏洞。从无账号到登录系统,靠的就是fuzz,详细的过程见实战过程。

2

实战过程

通过一系列的信息收集,高校的人脸采集系统引起了作者注意,为什么?因为有敏感信息。

连Hunter、Fofa都没索引到这个系统,作者靠灯塔拿到了,灯塔确实好使,关键还免费,需要的师傅可以文末获取下载链接!

系统的首页如下图,可以看到,只用一个登录按钮。

看下findsomething,也没有找到“注册”功能相关的关键字,同时也跑了下接口,并无接口未授权问题。

本次案例的关键操作来了,首先抓包观察下登录系统的数据包情况,随意输入账号密码,点击登录。

可以看到登录的数据包中有个login关键字,秉着试试的心态!

作者将login改为register,惊喜时刻,注册账号成功。

使用注册成功的账号登录系统。

可以看到获取到了身份凭证。

登录到了个人信息首页。

任意用户注册账号漏洞拿下,这个fuzz操作确实有点妙。都登录系统,肯定得把全量的功能测一遍,一般可以测试sql注入、越权、文件上传等漏洞。

co

点击蓝字 关注我  共筑信息安全

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任!

1

工具概述

SwordfishSuite 是一款受 Burp Suite 启发的现代化 Web 安全测试平台。它集成了智能代理、流量拦截、负载扫描和强大的插件系统,旨在为安全研究人员和渗透测试工程师提供一款高效、可定制的应用利器。

核心功能

智能拦截代理:无缝拦截、查看和修改 HTTP/HTTPS 流量,支持多种客户端,操作流畅直观。

集成APP分析:可集成云手机平台,直接在SwordfishSuite查看分析手机APP流量。

可扩展插件系统:基于 Python 的完整插件生态,允许您轻松编写自定义扫描检查器和数据分析工具。

GUI界面操作:提供用户友好的图形化界面 (GUI) 以满足交互式测试需求。

流量数据转发:支持流量二次转发(原始流量和HAR格式),方便各种扩展。

工具页面

抓包功能

APP抓包功能

python脚本

使用方法

1.鼠标双击即可Swordfish.exe

2.安装证书:

第一次启动程序,点击工具栏安装证书按钮,CA 证书以支持 HTTPS 解密(证书存储位置->本地计算机->指定下列存储->受信任的根证书颁发机构->完成)

3.开始探索! 点击工具栏开始按钮,拦截流量,重放请求,使用负载测试器,或者开发新插件定制自己的专属功能。

期待您的关注

往期好文推荐

高效出洞必备浏览器插件

武装你的浏览器-信息收集

记一次对房东xxx的渗透实战,含技巧!

“细狗”,太细了,就该你出洞(干货案例)

从微信扫描登录到账号接管,细节实战

记一次”高危”逻辑漏洞挖掘实战

记一次SRC支付漏洞实战

安服仔薅洞必备

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

渗透测试集成工具

Web渗透测试综合工具

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

Java漏洞专项检测工具

免密登录某后台管理系统实战

小程序渗透测试之全站用户接管

有趣的Fuzz+BucketTool工具等于双高危!

入交流群请扫码:

号外:点击下方小程序,获取其他知识及工具资源。

下载方式:关注公众号,回复“260317”获取下载链接。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:锐鉴安全 《一款包含App抓包的代理工具》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
PPTOpenClaw应用实践 网络安全文章

PPTOpenClaw应用实践

文章总结: 该文档为关于智能体OpenClaw应用实践的PPT,但核心内容均以图片形式呈现无法获取文字信息,文末列举了十余份相关PDF和文档供下载,包括入门指南
03-190 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0