塔城地区网站建设_网站建设公司_小程序网站_seo优化

首页 / 建站日记 / 塔城地区网站建设_网站建设公司_小程序网站_seo优化
塔城地区网站建设_网站建设公司_小程序网站_seo优化
2026/1/2 22:50:51 网站建设 项目流程

HTTPS真的安全吗?—— 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

1. 网络拓扑

Mac主机(192.168.1.21) → Win11虚拟机(192.168.1.31) | | Chrome浏览器 mitmproxy监听 代理设置:192.168.1.31:9090 端口:9090(流量)/9091(web界面)

正确的配置步骤

步骤 1:在 Win11 虚拟机启动 mitmproxy

# 启动 mitmweb,监听 9090 端口(与 Mac 代理设置一致)mitmweb --listen-host0.0.0.0 --listen-port9090--web-port9091# 或者如果您需要同时捕获 Windows 本地流量,可以添加 --allow-hostsmitmweb --listen-host0.0.0.0 --listen-port9090--web-port9091--allow-hosts".*"

步骤 2:配置 Mac 主机 Chrome 代理

  1. 安装 SwitchyOmega 或其他代理扩展
  2. 新建情景模式:
    • 代理协议:HTTP
    • 代理服务器:192.168.1.31(Win11虚拟机IP)
    • 代理端口:9090
  3. 或使用系统代理设置:
# 终端中设置networksetup-setwebproxy"Wi-Fi"192.168.1.319090networksetup-setsecurewebproxy"Wi-Fi"192.168.1.319090

步骤 3:安装 mitmproxy CA 证书

在 Mac 主机上:

  1. 访问http://mitm.it(通过代理)
  2. 下载 macOS 证书
  3. 安装到钥匙串访问:
    • 双击证书安装
    • 在钥匙串访问中找到该证书
    • 右键 → 显示简介 → 信任 → 始终信任

步骤 4:开始捕获 GitHub 登录

  1. 在 Win11 打开 mitmweb 界面:http://127.0.0.1:9091
  2. 在 Mac Chrome 访问:https://github.com/login
  3. 输入账号密码登录
  4. 在 mitmweb 中观察流量

如何解密密码

从 截图中可以看到:

  1. 找到登录请求

    • 方法:POST
    • URL:https://github.com/session
    • Status:302(重定向)

  2. 查看请求表单数据

    commit: Sign in authenticity_token: XqSNPnQ/Ht3CfaEh6m+D1tScBxxxxxxxxxxvWH03EAeaPIIBnQ== login: [我的账号] password: xxxx webauthn-support: supported

完整实验命令参考

Win11 虚拟机端:

# 方法 1:使用 mitmweb(推荐)mitmweb --listen-host0.0.0.0 --listen-port9090--web-port9091--ssl-insecure# 方法 2:使用 mitmdump 输出到文件mitmdump --listen-host0.0.0.0 --listen-port9090-wgithub_traffic.mitm# 方法 3:使用过滤器只捕获 GitHub 流量mitmweb --listen-host0.0.0.0 --listen-port9090-f"~d github.com"

验证配置:

  1. 在 Win11 检查防火墙:
netsh advfirewall firewalladdrulename="mitmproxy"dir=inaction=allowprotocol=TCPlocalport=9090
  1. 在 Mac 测试连接:
curl--proxyhttp://192.168.1.31:9090 https://github.com

故障排除

常见问题 1:连接不上

# Win11 查看端口监听netstat-an|findstr :9090# 临时关闭防火墙测试netsh advfirewallsetallprofiles state off

常见问题 2:证书错误

  1. 确保在 Mac 正确安装 mitmproxy CA
  2. 清除 Chrome 缓存和 SSL 状态
  3. 重启 Chrome 或使用隐私模式

常见问题 3:看不到 HTTPS 内容

确保:

  1. 代理设置正确
  2. 证书已安装并信任
  3. 访问https://mitm.it显示正常

实验结果分析

当您成功配置后,在 mitmweb 中应该能看到:

  1. POST https://github.com/session请求
  2. 请求体中的password字段
  3. 302 重定向响应
  4. 后续的Set-Cookie操作
标签: 网站建设 企业官网 项目流程 UI设计 前端开发

热门文章

文章分类

标签云

网站建设 响应式设计 用户体验 SEO优化 前端开发 小程序 电商平台 性能优化

相关文章

您可能感兴趣的其他内容

第七十四天
2026/1/2 22:50:14 网站建设

第七十四天

学习了java...

阅读更多 →
第七十五天
2026/1/2 22:50:14 网站建设

第七十五天

学习了java...

阅读更多 →
窗口
2026/1/2 22:50:13 网站建设

窗口

一、滚动窗口 (Tumbling Window) 窗口的时长 = 滑动步长,窗口之间无任何重叠、无间隙,数据只会落入「唯一一个窗口」中 ✔ 核心特征 窗口边界固定:如 00:00-00:10、00:10-00:20、00:20-00:30,严格切分,无重叠; 数…...

阅读更多 →

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询