Charles抓包的那些事

已于 2022-09-03 08:49:06 修改
阅读量437 收藏 2
点赞数 1
分类专栏: 前端工具 前端工程化 文章标签: 服务器 ssl 运维
于 2020-07-24 13:22:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZD717822023/article/details/107556579
版权
前言

作为移动端开发人员用的最多的抓包工具就是charles,但是我近几年一直做PC端的前端开发工作,感觉chrome的devtools已经满足了日常的工作需求;对于charles的使用也很少。最近开始做一些webview的开发,对于灰度环境,线上环境的bug还是需要用到charles的,所以这篇文章也是我自己的趟坑之旅,用作平时对于charles的一些总结,以免出现有段时间不用再用的时候“抓瞎”的情况;

一、Charles抓包原理

在这里插入图片描述

  • 客户端向服务器发起HTTPS请求
  • Charles拦截客户端的请求,伪装成客户端向服务器进行请求
  • 服务器向“客户端”(实际上是Charles)返回服务器的CA证书
  • Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥)
  • 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(Charles)
  • Charles拦截客户端的响应,用自己的私钥解密对称密钥,然后用服务器证书公钥加密,发送给服务器。(这一步,Charles拿到了对称密钥)
  • 服务器用自己的私钥解密对称密钥,向“客户端”(Charles)发送响应
  • Charles拦截服务器的响应,替换成自己的证书后发送给客户端
  • 至此,连接建立,Charles拿到了 服务器证书的公钥 和 客户端与服务器协商的对称密钥,之后就可以解密或者修改加密的报文了。

HTTPS抓包的原理还是挺简单的,简单来说,就是Charles作为“中间人代理”,拿到了 服务器证书公钥 和 HTTPS连接的对称密钥,前提是客户端选择信任并安装Charles的CA证书,否则客户端就会“报警”并中止连接。这样看来,HTTPS还是很安全的。

二、PC端抓包

  1. HTTP
    一般我们正常安装完charles之后就会,HTTP数据就会正常抓取到
    在这里插入图片描述
    注:如果突然某一天charles连本机的http都抓取不到了,请检查一下你本地是否开启了VPN代理,关闭VPN就好了。

  2. HTTPS
    我们正常安装完charles是可以抓取到HTTP数据的,但是HTTPS通常返回unknown。
    在这里插入图片描述
    因此想要抓取https的数据就要做些操作:

  • 安装根证书
    在这里插入图片描述
    这里说明一下安装根证书一般是不被信任的,需要自己取钥匙串里面去手动授予信任,我以mac为例:
    在这里插入图片描述
    在这里插入图片描述
  • 配置 Proxy-> SSL Proxying Settings->SSL Proxying:勾选Enable SSL Proxying
    在这里插入图片描述
    在这里插入图片描述
    然后再去请求HTTPS的时候就可以了
    在这里插入图片描述
三、移动端抓包

  • Charles上的设置

    1. 安装根证书
      上文PC端已详细说明怎么抓取https包,并安装根证书,参照上文就可以。
    2. 要截取手机上的网络请求,我们首先需要将Charles的代理功能打开。
      在Charles的菜单栏上选择“Proxy”->“Proxy Settings”,填入代理端口8888,并且勾上”Enable transparent HTTP proxying” 就完成了在Charles上的设置。如下图所示:
      在这里插入图片描述

  • 手机上的设置(iPhone)
    a. 确保手机与电脑连得同一个wifi。
    b. 在设置 - 无线局域网,找到链接的wifi,点击进去,找到配置代理 - 手动,然后填写电脑IP(不会找IP的问度娘吧),端口8888,如图所示:
    在这里插入图片描述
    c. 手机安装ssl证书
    Charles上 Help->SSL Proxying ->Install Charles Root Certificate on a Mobile Device or Remote Browser,会弹出如下提示框:
    在这里插入图片描述
    手机连接电脑代理,打开safari,输入网址:chls.pro/ssl
    手机弹出提示:此网站正尝试打开“设置”已向您显示一个配置描述文件。您要允许吗?忽略|允许,选择允许,安装描述文件,并信任!
    iOS10.3以上的手机需要在:设置→ 通用 → 关于本机 → 证书信任设置→ 找到charles proxy CA证书,打开信任即可;
    在这里插入图片描述
    设置好后,我们打开iPhone上的需要抓包的页面,一切正常获取数据!
    在这里插入图片描述
    注意:手机要与电脑在同一个WiFi下;本文以iphone为例,安卓机型挺多,大家可以针对自己机型搜索一下,大体步骤一样,只是针对证书安装这块略有区别!

四、Charles常用技巧
  1. 如果只想抓取移动端的包,不想抓取PC的包,可以设置Proxy - MacOS Proxy ,勾选表示接收电脑的数据抓包,不勾选表示只抓app包。
  2. Tools - Map Remote 是将指定的网络请求重定向到另一个网址(针对还没有提测的接口,我们可以代理到特定服务器)。(之前联调微信公众账号的时候用过)
    Tools - Map Local 是将指定的网络请求重定向到本地文件(修改返回的数据,本地文件就是你想要返回的数据)。
    参考
    例子(通过线上域名访问本地环境)
  3. 如果突然某一天你的charles连本机的http都抓取不到了,请检查一下你本地是否开启了VPN代理,关闭VPN就好了。
  4. 如果你安装了PC证书,手机也正常安装证书一切都合乎常理,就是抓不到https的包,请检查手机端是否启用了证书,启用方法:通用 - 关于本机 - 证书信任设置 - 把你的证书启用就好了
  5. Charles 30分钟会自动关闭,弹出一个弹窗;我们可以设置一下,让它30分钟不自动关闭;
    • 1.网上查找后发现是需要注册一下。
    • 打开Charles,如图的操作顺序
      在这里插入图片描述
      在这里插入图片描述
    • 框内输入
      Registered Name: https://zhile.io
      License Key: 48891cf209c6d32bf4
    • 重启即可
ZD717822023
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
16.Xposed库实践设计
杨充
09-21 1814
目录介绍 01.下载安装 02.抓包代理设置 03.抓包Https操作 04.抓包原理介绍 05.抓包数据介绍 06.常见问题总结 07.Android拦截抓包 01.下载安装 下载地址(下载对应的平台软件即可) https://www.charlesproxy.com/download/ 下载破解文件 https://assets.examplecode.cn/file/charles.jar 打开Finder,在应用程序中选择Charles并右键选择显示包内容 显示包内容后在Content
Charles抓包Android app
weixin_38951785的博客
04-06 2114
先关文档: Android端Charles抓包 - SegmentFault 思否 charles连接不上手机的解决方法_小小红叶子的博客-CSDN博客_charles连接不上手机 ​​​​​​Android 7.0 之后抓包 unknown 和证书无效的解决方案(无需改代码)_ShadowySpirits的博客-CSDN博客 Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown_Kris Xia的博客
Android网络抓包--Charles
weixin_42277946的博客
04-12 7818
Android网络抓包--Charles
app逆向抓包技巧:noProxy、vpn、证书单向校验(sslpinning)与双向校验绕过
最新发布
九月镇领将的博客
08-07 1465
app逆向抓包技巧:noProxy、vpn与sslpinning检测绕过
charles抓包Android手机
weixin_37219611的博客
09-05 1247
记住个人电脑上charles上的IP和端口,我这里的端口8888 ip 192.168.1.106 每个人的不同,(手机需要设置锁屏密码, 已设置的输入密码,点击保存:提示已安装charles证书即可)打开受信任的凭据 =》选择从手机中安装 =》 选择 charles证书即可。下载好后点击安装,提示:_______ 你自定义一个证书名称,点击保存。将证书通过数据线,文件传输模式,传入手机的文件中(如:download下)点击打开或保存(部分手机点击证书提示找不到对应的打开文件)
Charles抓包安卓端
qq_40250122的博客
01-30 1万+
Charles抓包安卓端 电脑和手机须要在同一个WIFI下 安装好Charles Android 手机一部 -> 接下来会以(一加手机)测试 1.打开Charles 依次选择 Proxy-> Proxy Settings… 在这里插入图片描述 2.安装需要证书 依次选择Help -> SSL Proxying -> install Charles Root Certif......
Charles抓包Https请求显示Unknown解决方案.pdf
06-18
当我们在使用Charles抓包工具进行HTTPS请求分析时,如果遇到“Unknown”的情况,往往是因为HTTPS请求被加密导致的。HTTPS(Hyper Text Transfer Protocol Secure)是HTTP的安全版本,它使用SSL/TLS协议进行数据加密...
charles抓包
08-20
1、charles工具介绍文档 2、Charles在mac安装使用介绍
解决Charles抓包https时,无法查看CONNECT请求的问题
08-28
下面小编就为大家分享一篇解决Charles抓包https时,无法查看CONNECT请求的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
charles抓包工具中文版
03-08
charles抓包工具中文版
青花瓷Charles抓包工具
01-22
**青花瓷Charles抓包工具详解** 在信息技术领域,网络数据包分析是开发者、测试人员以及安全专家必备的技能之一。而"青花瓷Charles"就是一款专为Mac OS设计的强大抓包工具,它能够帮助用户捕获并分析网络通信数据,...
Android App 用Charles抓包
最孤单的人的博客
06-16 2834
Charles 是在您自己的计算机上运行的 Web 代理(HTTP 代理/ HTTP 监视器)。然后将您的网络浏览器(或任何其他 Internet 应用程序)配置为通过 Charles 访问 Internet,然后 Charles 能够为您记录和显示所有发送和接收的数据。...
Charles抓安卓手机APP包
记录问题瞬间
07-30 300
2、如下图在手机上进入WLAN-进入当前网络详情-选择【代理】改为【手动】然后主机名输入如下ip,端口号8888选择确定就行了,然后在手机上打开qq浏览器输入chls.pro/ssli下载证书。1、如下图打开【帮助】-【SSL代理】-【在移动设备或远程浏览器上安装CharlesRoot证书】3、在手机里打开WLAN-高级设置-安装证书,找到刚刚下载好的路径文件。手动输入证书名称就行。......
Charles破解方法
qq_28285625的博客
06-29 1150
// Charles Proxy License // 适用于Charles任意版本的注册码,谁还会想要使用破解版呢。 // Charles 4.2目前是最新版,可用。 Registered Name: https://zhile.io License Key: 48891cf209c6d32bf4    本方法通杀charlse系列激活问题。 破解方式: 菜单栏 help 里Re...
Android Charles抓包,怎样抓包
Java徐师兄的博客
05-14 2908
01.下载安装02.抓包代理设置03.抓包Https操作04.抓包原理介绍05.抓包数据介绍06.常见问题总结07.Android拦截抓包1.抓包的原理:代理。客户端请求->经过代理->到达服务端 服务端返回->经过代理->到达客户端2.任何Https的 app 都能抓的到吗?7.0以下是可以的,只要手机里安装对应CA证书,比如用charles抓包,手机要安装charles提供的证书就行。
安卓开发之Charles抓包
qq_41051295的博客
01-17 2536
<application android:name=".MyApplication" android:networkSecurityConfig="@xml/network_security_config" </application <!--Charles certificate is installed in "user" directory of phones, not "system".--> <!--The settings b.
charles 安卓手机抓包——配置——超详细
热门推荐
qq_45564088的博客
12-10 7万+
charles 安卓抓包配置——细致 二、手机证书安装 为了抓取https的包,需要手机上下载对应的证书 这一步的目的是为了移动设备连接到Charles,这样移动设备发起的所有请求才能在Charles中看到 首先确保自己手机的wifi和电脑在同一网络下,千万不要用4G,那么没办法抓包,必须连接wifi 我更喜欢选择“Help->SSL-Proxying->install charles Root ....Browser”查看...
Android抓包Charles入门教程
zhonglunshun的专栏
01-13 1836
Android抓包工具有很多,有轻量的如httpCanary直接安装在手机上通过代理进行抓包,有功能强大的WireShark PC端的抓包工具(也要设置代理啦),还有老牌抓包工具Finder和Charles以及mitmproxy。手机上的抓包工具远离基本差不多,要么是设置Vpn要么就是通过代理,用在Android 逆向上,使用Finder和Charles的人要多一些,而我比较倾向于使用Charles,对于http和https的抓包来说支持的比较好,上手容易,缺点就是他是,当然了好软件通常是。
使用Charles实现Android抓包,附带Charles破解教程
weixin_40261082的博客
07-02 1197
使用Charles实现Android抓包,附带Charles破解教程
使用Charles轻松抓包教程
"这篇教程介绍了如何进行HTTP和HTTPS的抓包学习,主要使用了Charles这款工具,适合初学者。" 在IT行业中,抓包是一种重要的网络诊断和测试技术,它可以帮助我们了解网络通信的细节,查找问题或者进行安全分析。本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值