1 前言
这篇文章主要想解决的问题是,在对安卓手机APP抓包时,出现的HTTPS报文通过MITM代理后证书不被信任的问题。
通常要抓取HTTPS加密的数据包,一般使用Charles或者Fiddler4代理HTTP请求,配置证书信任后,便可拿到明文报文。但是由于Charles证书和Fiddler证书并非证书机构颁发的目标站点的合法证书,所以会不被信任。同样的道理,之前说过的神器Packet Capture也存在该问题,小黄鸟等同理。
阅读下文来解决这个问题。
2 解决方案
要解决这个问题要使用的工具是:Xposed+JustTrustMe
(安卓手机需要Root,该方法有手机变砖风险,)
XposedInstaller(xposed框架)是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。
JustTrustMe是Github上的一个开源工程,他是一个Xposed模块,用来禁止SSL证书验证。以下是其简介。
JustTrustMe:An xposed module that disables SSL certificate checking. This is useful for auditing an appplication which does certificate pinning.
由于各个手机所对应的Xposed版本不尽相同,不提供下载;
可以去其他技术论坛找一下教程。
1.当你安装好Xposed之后就可以安装JustTrustMe了
2.在Xposed-模块-勾选JustTrustMe-重启手机
2.1注意,JustTrustMe是没有UI的,也就是说你只要勾选后重启就不用再做什么了
-------------------------------------------------------------------------------------------------------------------------
JustTrustMe Relese版本下载地址:github:https://github.com/Fuzion24/JustTrustMe/releases
这里为大家提供几个版本的JustTrustMe
https://g00gle.lanzouw.com/b05hs6nuf 密码:cg9t
当你安装好XP模块并启用JustTrustMe后,直接打开手机浏览器随便打开网页,有可能出现网络中断,白屏等情况,请卸载当前版本并安装其他版本,直至浏览器正常打开网站!
至此,完成配置,再加上之前的Charles或者Fiddler4的HTTPS配置,就能抓取HTTPS请求了。
3 最后
通过以上操作,你已经能抓99%的APP的包了
enjoy!!!
学习了,mark
谢谢分享,学习了
mark一下。
辛苦大佬分享了,我先学习一下
无尽的折腾
谢谢,分享学习了
可以可以