Charles 安装与使用详解:实现 App 与小程序 HTTPS 抓包

于 2025-04-15 20:48:18 发布
阅读量1k 收藏 18
点赞数 6
分类专栏: JS 文章标签: 小程序 https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglingguitar/article/details/147257900
版权

在日常的移动端开发、接口调试或逆向分析中,我们经常需要抓取移动 App 或微信小程序的 HTTP/HTTPS 请求。Charles 是一款经典强大的代理抓包工具,凭借简单的界面和强大的功能,成为了 macOS 抓包的首选工具之一。

本文将详细介绍 Charles 的安装、证书配置、手机抓包设置、HTTPS 解密,以及应对 App 启用 SSL Pinning 无法抓包的解决方案。

一、什么是 Charles?

Charles 是一款基于代理的网络抓包工具,支持 HTTP/HTTPS、WebSocket 等协议,能实时拦截、查看、修改请求与响应。

特点如下:

  • 支持 HTTPS 解密
  • 支持修改请求(断点调试、重放)
  • 支持手机代理抓包(iOS/Android)
  • 支持 WebSocket 抓包

二、安装 Charles(macOS)

1. 下载并安装

  • 官网地址:https://www.charlesproxy.com
  • 选择 macOS 安装包下载并安装
  • 安装完成后,将 Charles 拖入 Applications 即可使用

三、本机证书安装(解密本机 HTTPS 流量)

  1. 打开 Charles → 菜单栏 → Help → SSL Proxying → Install Charles Root Certificate
  2. 会弹出“钥匙串访问”,找到 Charles Proxy CA 证书
  3. 右键 → 显示简介 → “信任”设置为「始终信任
  4. 输入密码后完成配置
  5. 重启 Charles 生效

四、手机 App / 小程序 抓包配置

1. 配置手机代理

确保手机和 Mac 在同一个 Wi-Fi 下

  • 打开手机设置 → Wi-Fi → 当前连接 → 配置代理 → 手动
    • 服务器:Mac 的 IP(可用 ifconfig 查看,如 192.168.1.88
    • 端口:默认是 8888(Charles 默认监听端口)

2. 安装证书(iOS 为例)

iPhone 操作步骤:

  1. 手机 Safari 浏览器访问:

    http://chls.pro/ssl

    若打不开,使用:

    http://<你的Mac IP>:8888

  2. 跳转描述文件安装界面 → 安装 Charles 证书

  3. 打开 设置 → 通用 → 关于本机 → 证书信任设置 → 启用「Charles Proxy CA」

打不开链接,可以用微信等手动传输到手机,保存到本地,再点击安装即可。

五、启用 HTTPS 解密功能

仅安装证书不能解密 HTTPS,需要手动指定要解密的域名:

操作步骤:

  1. Charles 菜单栏 → Proxy → SSL Proxying Settings…

  2. 点击 Add

  3. 填入 Host(域名或通配符)和 Port:

    示例配置:

    HostPort
    *.weixin.qq.com443
    *.taobao.com443
    *.alipay.com443
    api.xxx.com443

添加完成后即可解密 HTTPS 请求。

六、判断抓包是否成功

在 Charles 中观察:

  • 能看到 HTTPS 请求(显示 🔓 图标)
  • 可以查看请求头、参数、响应内容
  • 请求不是 “Tunnel to …” 类型

七、无法解密的常见原因与解决方案

问题解决办法
抓不到 HTTPS 内容检查是否添加域名到 SSL Proxying Settings
手机访问不了证书地址尝试 http://<Mac IP>:8888,确认 Charles 正在运行并手机代理正确
App 请求依然加密不可见可能该 App 启用了 SSL Pinning
Charles 无法弹出设备确认框检查 Mac 防火墙设置,关闭防火墙或允许 Charles 网络访问

八、关于 SSL Pinning 的说明

很多大型 App(如微信、支付宝、抖音)会启用 SSL Pinning(证书锁定),即便你安装了 Charles 的证书,也无法中间人解密。

解决方案:

场景方法
微信 App使用 Android 模拟器 + 低版本微信进行抓包
Android App使用 Frida + SSL Pinning Bypass 脚本
开发小程序调试使用微信开发者工具代替抓包调试

九、Android 7+ 抓包问题

Android 7 以上系统默认不再信任用户安装的证书用于 App HTTPS 通信。

解决方式:

  • 使用模拟器(如 Genymotion)
  • 或 root 设备,将 Charles 证书加入系统证书存储
  • 或结合 Frida 技术实现绕过(适合高级用户)

十、结语

Charles 是开发调试过程中不可或缺的网络抓包利器,尤其在移动端调试中帮助巨大。通过正确安装证书、配置代理、设置解密域名,即可实现 HTTPS 流量透明可视化。

但随着安全性提升,越来越多 App 使用 SSL Pinning、系统证书校验等方式阻止中间人抓包,对此我们也可以使用模拟器、Frida 等进阶手段继续探索。

app逆向专题四:charles抓包工具配置
lyccomcn的博客
04-13 337
为了能抓取浏览器https的数据包,需要安装证书,点击Help选项卡下的SSL Proxying,再点击Install Charles Root Certificate,点击安装证书,点击本地计算机,点击下一步,点击将所有的证书都放入下列存储,点击浏览,点击受信任的根证书颁发机构,点击确定,点击下一步,点击完成。也就是说需要电脑和手机(或者模拟器)连接同一个WiFi,或者使用手机连接电脑的热点。查看你的设备ip地址,打开cmd输入ipconfig。点击设置,点击网络和互联网,点击右侧设置,如下图所示。
Charles安装使用教程(包含使用Charles进行抓包
热门推荐
北冥同学的成长记录笔记
06-29 2万+
Charles 是 PC 端常用的网络封包截取工具, 也可以抓取移动端的网络请求。除了调试接口外,Charles 也可以用于分析第三方应用的请求。配合 Charles 的 SSL 功能,Charles 还可以分析 Https 协议
抓包神器:Charles
Karka_的博客
02-27 1422
Charles 通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络封包的截取和分析,也就是抓包啦。同类型的工具还有 大名鼎鼎的 Fidder:telerik.com/fiddler。
HTTPS 抓包
KHOST的博客
08-05 8164
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS 的安全性讲透。 HTTPS实现原理 大家可能都听说过 HTTPS 协议之所以是安全的
爬虫之Fiddler抓取HTTPS设置
weixin_30718391的博客
03-05 656
Fiddler抓取HTTPS设置 启动Fiddler,打开菜单栏中的 Tools > Telerik Fiddler Options,打开“Fiddler Options”对话框。 对Fiddler进行设置: 打开工具栏->Tools->Fiddler Options->HTTPS, 选中Capture HTTPS CONNECTs (捕...
Charleshttps请求
qq_39538748的博客
03-08 253
设置代理(Proxy-&gt;Proxy Settings),修改端口号为8880 设置SSL Proxying Settings,添加需要抓取的https请求域名(注意:端口号不必填写) 安装证书 获取本机ip(help-&gt;Local IP Address) 手机配置代理 手机安装证书(chls.pro/ssl),安装完成后迁移需本人证书通用-关于本机-证...
https抓包工具httpsMon
weixin_34365417的博客
04-18 1728
众所周知,https的请求在大多数抓包软件里都无法显示,用调试器来分析目标程序可能触发反调试 于是此程序就诞生了,使用该程序能在不开调试器的情况下,能够粗略分析程序联网以及提交情况。 是分析http/https(Wininet/xmlhttp/Winhttp)请求的利器。 360:https://cf77d5.link.yunpan.360.cn/lk/...
【网络安全领域】抓包技术工具详解APP小程序及PC应用的封包监听协议分析基础入门教程介绍了抓包技术
最新发布
04-22
内容概要:本文档主要介绍了抓包技术的基础入门知识,涵盖全局协议、封包监听、网卡模式以及APP小程序和PC应用的抓包技术。文中详细讲解了不同类型的抓包工具如Wireshark、科来分析、Burp Suite、Fiddler、Charles...
青花瓷Charles抓包工具
01-22
**青花瓷Charles抓包工具详解** 在信息技术领域,网络数据包分析是开发者、测试人员以及安全专家必备的技能之一。而"青花瓷Charles"就是一款专为Mac OS设计的强大抓包工具,它能够帮助用户捕获并分析网络通信数据,...
高颜值抓包工具Charles实现Mac和IOS端抓取https请求
caixiangting的博客
06-12 4580
目录一、Charles介绍二、Charles下载及安装三、Charles界面视图介绍四、Charles抓取HTTPSHi,大家好。在进行测试的过程中,不可避免的会有程序报错,为了能更快修复掉Bug,我们作为测试人员需要给开发人员提供更准确的报错信息或者接口地址,这个时候就需要用到我们的抓包工具。常见的抓包工具有Fiddler、Charles,在此之前介绍过Fiddler抓包:Fiddler抓包详解,今天我们介绍Mac端以及IOS端如何使用Charles抓取https。1、Charles简介Charles中文
charles手机证书https
08-13
一个charles在手机上的证书,使其支持https,在安卓系统和ios上均可以使用
HTTPS抓包工具
06-14
非常好用的HTTPS数据抓包工具,对于web页面数据分析有很大帮助哦
httphttps抓包工具
05-08
httphttps抓包工具,用于抓取浏览器会话数据,支持http和https等协议,适用于IE firefox safri ,非常好用 ! 以前我用这些工具抓包: WinSockExpert Ethereal/Wireshark HTTPDebugger HTTPLook HTTP Watch Pro 但是上面的工具没有一个完全满足: 抓进程,而不是全局。 可以启动一个进程并抓包 支持HTTPS自动解码 支持IE7、Vista 支持过滤 不是IE插件(IE插件只能抓IE的包,Maxthon怎么办?) 综上,强人都应该选择选择 HttpAnalyzer。
https抓包工具 httpsMon_V1.1
04-26
https抓包工具httpsMon_V1.1,可以轻轻松松的抓取https的数据包。
[强烈推荐]HTTP/HTTPS抓包工具 HTTP Analyzer 5.1.1 破解版
04-26
HTTP Analyzer 为一款实时分析 HTTP/HTTPS 数据流的工具。它可以实时捕捉HTTP/HTTPS 协议数据,可以显示许多信息(包括:文件头、内容、Cookie、查询字符窜、提交的数据、重定向的URL地址),可以提供缓冲区信息、清理对话内容、 HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。 注册机在附件中,安装后执行,将生成的序列号输入到相应的版本中即可.
Charles 抓包工具详解
悦分享
10-30 1161
Charles是一款很实用、界面很友好(至少跟fiddler比起来)、功能强大的抓包神器。因为它是基于 Java 开发的,所以跨平台,Mac、Linux、Windows 下都是可以使用的,并且在 Android 和 iOS 设备上通用。它的原理是通过成为电脑或者移动设备的代理,截取请求和响应,达到抓包分析的目的。
iOS开发——使用Charles进行http网络抓包详解
乞力马扎罗的雪CYF的博客
12-23 7824
我在之前一篇博客《网络抓包工具Charles的介绍使用》中简单介绍了Charles安装破解,以及进行简单的Charles抓包配置的介绍。今天我们来详细介绍下使用Charles进行http抓包,关于https抓包,我将会在另一篇博客中介绍。(1)http抓包的配置,请参考《网络抓包工具Charles的介绍使用》这篇博客。(2)为了使抓包的结果清晰,便于调试,我写了一个简单的网络请求,通过点击按
fiddler Android下https抓包全攻略
weixin_33767813的博客
12-08 1210
fiddler Android下https抓包全攻略      fiddler的http、https抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行、支付宝、陌陌这样的APP是抓不到包的,需要一些特殊的配置,本文把fiddler Android下https抓包的详细配置都罗列出来,供大家参考。 一、普通https抓包设置 先对Fiddler进行设置: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值