关于某些Android应用无法抓包的问题

最新推荐文章于 2024-05-27 16:31:51 发布
最新推荐文章于 2024-05-27 16:31:51 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 乱七八糟笔记 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eatlemon/article/details/103528050
版权

背景

本来用fiddler抓包Android应用一直都是开开心心的,结果就在今天,应用版本更新之后,在抓包过程中,突然给我来了个“网络无法链接,请重试”。 一打开浏览器,有网络访问,那么问题就是emmm~~ 握草无情啊…

原因

其实我觉得能看到这篇文章,说明肯定是会抓包的朋友,不然的话,标题就应该改为“关于某些Android应用抓包教程”了。
直接进入主题,一般来说Android应用的开发,为了避免别有用心的人进行流量劫持、嗅探,获得通过HTTP传输的敏感信息,或者通过劫持http加入自己的推广内容,会采用https通信,那么就涉及到证书的问题Android security-config
上述背景中,我的浏览器是有网络访问的,但是我想要抓包的应用却提示我网络无法连接,并且一旦我把fiddler的代理IP关掉,我想要抓包的应用也是可以正常使用的。那么大胆的猜测一下,是不是由于我使用了,代理主机的证书,然后Android应用更新后添加了对证书的校验,导致的问题呢?

解决方案

假设我们的猜想是对。(有时间的话,可以反编译下需要抓包的Android apk,慢慢验证一下是不是因为添加了对证书的校验导致的)
我所知道的解决方案有几个,大致分为两类:

  1. 想办法让应用信任自己证书
  2. 想办法绕开Android应用的SSL pinning

第一类方案的话:要么有APP源码,通过修改代码允许其抓包https;没有源码的话就对其Android apk 解包,找到校验部分的代码修改后,重新打包。

第二类方案的话:需要手机root,手机root可以采用模拟器或者某些手机可以到官方申请解锁BL,然后root。
root后手机安装XPosed神器,然后使用插件Android-SSL-TrustKiller 或者 JustTrustMe

最后,我应该算是采用的上述第一类的方案,让应用信任代理主机的证书,由于手机已经root,就大胆的将证书放到了系统证书区域

详细步骤:
计算证书名
openssl x509 -inform der -in FiddlerRoot.cer -out FiddlerRoot.pem
openssl x509 -subject_hash_old -in FiddlerRoot.pem
算出数值,比如e5c3944b
证书文件改名
然后把原Fiddler证书FiddlerRoot.pem改名为e5c3944b.0
放到系统分区
放到/system/etc/security/cacerts/

最后运气比较好,问题解决了

题外话,模拟器可以帮我们解决很多问题。

参考文章

eatlemon
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何用Fiddler对Android应用进行抓包
04-24
- **抓包权限**:某些Android应用可能会对网络请求进行加密或使用自签名证书,此时可能需要安装Fiddler提供的根证书到Android设备上,才能完整地捕获HTTPS流量。 #### 使用Fiddler分析数据 完成以上配置后,即可...
android终端数据tcpdump抓包
10-17
在深入探讨如何在Android终端上使用tcpdump进行数据抓包之前,我们首先需要理解几个关键概念:Android系统、tcpdump工具、以及数据抓包的基本原理。 ### Android系统与Root权限 Android系统是一种基于Linux内核的...
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
Android开发过程中需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站中的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
模拟器或手机抓不到某些APP的包,利用Drony配合fiddler实现App定向抓包
爬楼梯的巨人的博客
05-27 4122
Drony配合fiddler抓某些fiddler无法单独抓的软件
APP渗透抓不到包/解决方法
最新发布
菜鸟的自学之路
05-27 465
解决APP抓不到包—安装证书到系统根证书目录
Android抓包
熊猫卓Sun博客
02-12 1756
1.使用https,可以初步防止一些只抓http包的软件。 2.如果网络框架使用的是OkHttp,可以在Builder中设置proxy(Proxy.NO_PROXY)属性,禁止使用代理,这样一般使用中间人的代理就使用不了,客户端是直接访问服务器。 3.判断是否使用了代理: final boolean flag = Build.VERSION.SDK_INT >=14; ...
android 某些app无法抓包问题
hustlwz的博客
02-25 6904
原因之一:使用了AsyncHttpClient 1.49以上版本可能会造成此问题,把依赖版本改成1.43即可。
关于模拟器App无法抓包情况及绕过手段
qq_46081990的博客
03-25 2196
App无法抓包总的来说分为App有没有做限制,当App没有做限制抓不到包时,可能是工具(BurpSuite、Charles等)证书没有配置好,或者有的数据包走的不是http/https协议,这时可以选用Wireshark、科来等能抓其他协议数据包的工具,这是比较好解决的一种情况。1、反模拟器调试2、反证书检验3、反代理或VPN。
高级黄鸟抓包-个人抓包,取CK
04-29
总结来说,"高级黄鸟抓包"是一款面向个人用户的Android应用程序,专为抓取和分析网络数据,特别是与京东平台相关的Cookie信息。它可以帮助用户了解网络通信细节,对于开发者调试应用、测试网络功能或安全研究人员...
HttpCanary-Android抓包软件
11-22
1. **应用调试**:开发者在调试Android应用时,可以通过HttpCanary查看网络请求的细节,找出错误或性能瓶颈。 2. **安全审计**:安全研究人员可以利用HttpCanary检测应用是否泄露敏感信息,或者是否存在潜在的安全...
charles抓包工具
06-15
6. **记录和回放**:可以保存抓包记录,并在后续时间回放这些记录,便于重现问题或进行自动化测试。 ### 三、安装与配置 1. 下载安装 Charles,根据操作系统选择对应的版本。 2. 配置设备代理:在手机或电脑上设置...
抓包精灵,安卓模拟器抓包,一键式傻瓜操作
03-28
新闻软件抓包,关键词,链接,傻瓜式一键操作,许通过安卓模拟器使用
Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown
热门推荐
MrgcXia的博客
07-18 5万+
前提:Android使用Charles抓取Https请求的报文时,Android和Charles都正确安装了证书之后出现抓包失败,报错SSLHandshake: Received fatal alert: certificate_unknown,如下图所示:原因:安卓7之后调整了安全策略会导致部分手机抓包失败,请参考此链接:https://android-developers.googleblog.
通过MuMu模拟器解决Charles无法抓包App问题
大唐锦绣的博客
04-28 2876
当你发现Charles无法抓包某些App的时候,通过MuMu模拟器解决
android抓包为什么有些数据抓不了?抓包的辛酸历程
qq_34094008的博客
07-05 3194
一、开篇闲扯 不知道该从哪个方面来写这10天的收获,但确切的说:这10天我收获很大,也暴露出自己潜在的一些问题。为了让看官更快的知道艺灵接下来要讲啥,所以我会把主要的东西简练成一句话放前面。至于后面的2千来字,全是回忆这10天我是怎么入坑爬坑,再入坑再爬坑以及自己是有多么的无知的过程。 二、核心点 SSL Pinning、App逆向反编译、用证书的密钥来解锁证书 三、建议 没错,整篇文章要讲的东西只用上面一句话就概括了!下面就是闲扯时刻...... 如果看官跟艺灵一样是一个门外汉但又想抓取app
某些app无法抓包问题
chilly
12-30 1万+
1.首先确认其他app包是否能够正常抓取,如果其他app能过正常抓包,请继续往下看。 2.回顾一下手机抓包的流程,手机抓包是需要手机使用fiddle,charles,mitmproxy,packageCapture这些作为代理的. app不能抓包的原因之一就是http客户端(也就是不能抓包app)在检测使用了系统代理的时候,可以不使用系统代理,也就是请求不经过代理,自然而然你就在抓包工具上看...
app渗透测试抓不到数据包怎么办?
阿大撒大撒的博客
11-16 2667
app渗透测试抓不到数据包怎么办
2022最新Fiddler解决抓模拟器App的https无法抓包问题
u011971558的专栏
05-08 2102
网上目前普遍做法: 基本上都是模拟器/手机真机需要root,连wifi之后,设置ip地址+8888端口.这种方法设置完后,app或者网站点击直接访问不了了.无法解决抓取https的问题! 现有解决方法: 通过adb命令,直接设置全局的代理 命令如下: 先通过查询到自己的电脑本机ip 通过adb命令设置: adb shell settings put global http_proxy 本机ip:8888 之后手机正常下载证书,模拟器尝试抓取https。访问ok!完美解决~ ...
fiddler+安卓雷电模拟器+解决无法抓包问题,看我就对了,一站式解决问题,告别到处搜文章
描述不清的男人
05-24 2万+
打开模拟器设置-打开WiFi菜单-修改wifi配置(有些模拟器有小笔头修改键,有些模拟器是鼠标长按会出现“修改网络”大同小异,可自行参照,核心就是修改连接wifi的手动代理,ip写本机,端口写8888 对饮fiddler软件里面的,如果端口占用在fiddler里面修改此处改成一致即可)最后点击保存!如果不移动安装好的证书,此处会出现不信任的证书,频繁弹出(可以看到组织单位是我们安装fiddler)。3.设置信任证书:使用adb命令,将安装好的证书挪到系统目录中。3.根证书安装:导出桌面安装证书。
android 10 charles 抓包
06-06
Android 10是最新版本的Android操作系统,使用起来更加便捷实用。而Charles是一种非常流行的抓包工具,可以用于分析Android程序的网络请求。在Android 10上使用Charles抓包并不困难,以下是具体的操作步骤: 1. 在Android设备上安装并打开Charles抓包工具,并设置代理服务器IP地址和端口号。 2. 在Android设备的WLAN设置中,将代理服务器的IP地址和端口号配置上。 3. 打开需要进行抓包分析的Android程序,进行相应的操作。 4. 在Charles工具中,会看到请求的列表,可以将其中的请求信息进行分析和筛选。 5. 通过Charles可以查看请求的详细信息,包括请求头、响应头、请求参数等等。 6. 在Charles工具中还可以针对请求进行调试、修改、重放等操作,方便进行更深入的分析。 总的来说,在Android 10上使用Charles抓包并不复杂,只需要简单的设置代理即可。而借助Charles抓包工具,可以有效地分析Android程序中的网络请求,寻找问题、优化性能,是一项非常有用的技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值