关于安卓7.0版本以上charles无法抓取https包的问题解决办法

最新推荐文章于 2024-07-02 17:09:28 发布
最新推荐文章于 2024-07-02 17:09:28 发布
阅读量3.4k 收藏 5
点赞数 2
分类专栏: Android 文章标签: 抓包 https
原文链接:https://blog.csdn.net/chouzhou9701/article/details/105408761/
版权
本文详细介绍了在安卓7.0及以上版本因系统不信任用户安装证书导致无法正常抓取HTTPS包的问题。通过修改APK的网络配置,使系统信任用户证书,从而解决抓包失败的难题。步骤包括APK反编译、添加网络配置、重新打包签名,最终实现成功抓包。建议使用低版本设备或iOS设备作为替代方案。
摘要由CSDN通过智能技术生成

结论:由于安卓7.0后,用户安装的证书不被信任,导致无法使用charles等抓包工具对https的请求包进行正常的解析,所以直接用安卓7.0以下的手机来进行抓包,或者最简单的就是用安卓7.0以下的模拟器!

 

 

前言

解决这个问题比较复杂,需要花费大量时间来解决这个问题,如果没有耐心是不能成功的.可以说这里解决的每一步都有坑

问题描述

在安卓7.0及以上的版本,即使安装了charles证书,也会导致抓取https包失败
在这里插入图片描述
如图 https 包出现 unknow 报错

为什么这样

Android6.0网络默认配置:

    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>

Android 7.0到 Android 8.1的默认配置:

    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>

Android 9及更高版本应用的默认配置:

<base-config cleartextTrafficPermitted="false">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>

简单解释一下这几个参数的意思:
cleartextTrafficPermitted 是否允许http明文传输
certificates src="system"信任系统证书
certificates src="user"信任用户安装的证书

通过几个版本对比可以看出,从 安卓7.0版本开始系统已经不再信任用户安装的证书,而安卓9.0 后系统默认禁止了http明文传输

上面所说的配置都是在安装包里面没有配置网络的情况下,系统默认的网络配置是这样的,如果有安装包里面的网络配置,那么优先执行安装包里面的网络配置. 即安装包配置的优先级高于系统默认配置

所以解决这个问题的办法,可以修改或添加apk中的网络配置来信任用户安装的证书,然后重新打包签名,这样抓包就不会报错了

开始解决

1.解包(反编译)

使用 apktool 来进行反编译,不同系统的安装的方法大致相同
反编译

apktool d 安装包名字
  •  

这一步可能会遇到各种错误,不过大部分原因都是由于 apktool.jar版本导致的,优先使用最新版本,如果解包失败,那么更换几个apktool.jar的版本

2.修改网络配置文件

在安装包同级目录下会生成一个与安装包名字相同的文件夹,里面就是apk反编译后的内容了,首先在 AndroidManifest.xml 添加网络配置选项
在 application标签中添加配置
在这里插入图片描述

android:networkSecurityConfig="@xml/network_security_config"
  •  

然后在res/xml/路径下 新建network_security_config.xml文件(如果没有对应文件夹可以建立对应文件夹)
文件内容:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>
</network-security-config>

3.打包和签名

打包:

apktool b 文件夹名字

打包后的apk存在于dist文件夹下

签名:
签名我这里用的是signapk.jar
使用命令进行签名:

java -jar signapk.jar testkey.x509.pem testkey.pk8 旧安装包 新安装包

之后就可以安装新安装包(签名后的)

后续

再次进行抓包就不会出现问题了

其实不如买一个 安卓7.0以下的手机进行抓包,或者直接使用苹果手机进行抓包

 

转载自:https://blog.csdn.net/chouzhou9701/article/details/105408761/

lognic10
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android 导入系统证书,安卓手机添加系统证书方法(HTTPS抓包)
weixin_31702225的博客
05-30 9652
安卓7.0以后,安卓信任用户安装证书,所以抓https无法解码请求,对于第三方应用,需要将证书添加为系统证书,网上解决方法较多,比如使用安卓模拟器(兼容性差,很多应用闪退),使用xposed框架等,这里使用安卓手机添加证书。注:需要手机有root权限,以下操作以小米9 SE为准,其他品牌手机操作可能有差别。1. 导出证书(以Charles为例)help --> SSL Proxyin...
关于安卓7.0以上无法抓到https协议问题
smartexam的博客
08-26 3901
1.软件抓包环境部署 用的抓包软件是fiddler,首先部署好抓包环境,https选项里面设置fiddler信任证书,然后导出fiddlerRoot.cer证书安装到电脑浏览器上 2.手机必须root 每个品牌型号的手机方法各有不同,及时百度(稳定版系统小米手机root用到的工具有ADB命令,Magisk面具,小米社区下载的对应手机型号的开发版系统zip,解压zip复制出boot.img映像文件,用面具将boot.img映像文件修补完成得到一个新的映像文件,将新的映像文件在电脑端用ADB刷入手机系..
使用Charles实现Android抓包,附带Charles破解教程
最新发布
weixin_40261082的博客
07-02 1130
使用Charles实现Android抓包,附带Charles破解教程
Android中7.0及以上手机无法使用Charles抓取https数据的解决方法
麦壳的记忆
03-16 4332
最近,测试小哥哥提出公司的部分7.0以上的测试机无法进行Charles抓包查看https的接口数据。 通过一波的查阅资料过后发现:android7.0+的版本新增了证书验证,https的安全证书手机端和电脑端都必须安装,这个是前提;又由于android手机多厂商系统定制的问题,可能有部分手机确实无法抓包,这里,对于抓包问题上,我们在给测试打的时候要对我们的项目进行添加设置: 默认信任所有证书...
7.0以上系统Charles无法抓取https接口的解决方案
Groople的专栏
03-12 2897
现象 Android 7.0及以上系统在即使安装证书的情况下,抓取https接口出现:Client SSL handshake failed: An unknown issue occurred processing the certificate (certificate_unknown)问题证书无效,导致https接口数据抓取失败问题。 原因 在Andro...
Android 7.0以上charles无法抓取部分https问题
jie_0754的博客
02-20 883
AndroidManifest.xml文件的中添加android:networkSecurityConfig=“@xml/network_security_config”在res文件夹中创建xml文件夹保存配置文件,创建network_security_config.xml。手机通过访问chls.pro/ssl下载.pem证书,如无法安装,在文件管理器中将后缀名改为.crt。network_security_config.xml内容。以上基本配置结束后,看下代码。
安卓手机使用Fiddler和Charles无法抓到https协议的请求解决办法
树新风的博客
01-28 3982
Android7.0 之后默认不信任用户添加到系统的CA证书,即使你的安卓手机上安装抓包工具生成的证书文件,安卓系统对这个证书也是不信任的,这就是导致无法抓到https协议请求的原因。 解决方案一: 最简单的办法就是换手机,换个iPhone手机(土豪请随意),或者换个安卓7.0系统以下版本安卓手机。 解决方案二: 此方法需要手机获得root权限 将抓包软件的证书安装系统证书 系统证书目录:/...
Android7.0 以上Charles抓取HTTPS解决方法
weixin_45697761的博客
04-20 676
Android7.0 以上Charles抓取HTTPS解决方法 经过俺多天的努力,终于找到了Charles抓取HTTPS接口的解决方法 下载VritualXposed apk安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 下载JustTrustMe apk安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 安装
Android 7.0以上的系统如何抓取HTTPS
简言
10-16 1556
Android 7.0 以上的操作系统,大部分机型,如红米note、华为荣耀等按照老的方法设置了代理之后,依然无法抓包,并且部分手机比如小米上安装Charles证书报错,这是因为Android系统做了安全限制,那么需要怎么解决呢? 先解决Android系统的安全限制 不解决的话Charles报错:Client SSL handshake failed: An unknown issu...
抓包大全 通过Charles抓取Android的Https链接数据
qq_38363506的博客
02-20 8143
Android 实现抓取Https数据1.为啥要抓包2.电脑手机同一局域网,设置手机手动代理。3.抓取HttpsCharles需要设置什么三级目录 1.为啥要抓包 a.当公司没有接口文档,但需要做接口测试的时候,需要通过代理工具,对接口进行抓取。 b.当开发上传图片时,不知道自己到底上传没上传,这时候就可以通过抓包来收集证据,避免后台甩锅。 2.电脑手机同一局域网,设置手机手动代理。 a.可通过Charles查看电脑IP地址,也可以通过命令行输入ipconfig查看IP地址 b.之后通过设置手机手
关于面向Android7.0及以上系统的应用无法通过charles抓包
joye123的博客
08-01 6541
关于面向Android7.0及以上系统的应用无法通过charles抓包 默认情况下,来自所有应用的安全连接(使用TLS和HTTPS之类的协议)均信任预装的系统CA,而面向6.0及以下系统版本的应用默认情况下还信任用户添加的CA证书。如果我们将targetSdkVersion修改到24以上的时候,应用则不信任用户安装证书了。 详细说明见官方文档。 这时,当我们通过charles或其他抓包...
[Android] 7.0以上Android手机连接Charles无法抓取HTTPS请求的坑
Haocxx的博客
04-10 7963
配置Charles抓取HTTPS的方法就不说了,网上一搜一大堆,无非是配置下证书,打开下SSL代理连接。最近业务开发需要抓取HTTPS请求,按照网上的教程在自己的华为P9(Android O)上一顿配置diao用没有,然而同组小哥的乐视就可以,一顿查之后发现是Android N之后证书信任问题。 从Android Nougat(7.0)开始,谷歌改变了网络安全策略。 自签的CA证书将...
接口测试实战 | Android 高版本无法抓取 HTTPS,怎么办?
ceshirenhemin的博客
08-31 351
在接口测试中,相信很多人都遇到过 Android 高版本(Android7.0 以上)系统无法抓包问题。由于在测试过程中对分析定位问题很不方便,所以就想找开发的同学帮忙,结果开发也说搞不定,那只能自己解决了。问题分析问题原因分析如下:问题:Android6.0 及以下系统可以抓包,而 Android7.0 及以上系统不能抓包;原因:Android7.0+ 的版本新增了证书验证,所以 App 内不再像原来一样默认信任用户证书;参考网上资料得到如下解决方案:方案一在 Android 工程目录的 res 底下
android版本7.0以上无法抓取https
hnnd123的博客
05-09 2712
由于android7.0+版本新增了证书验证,如果不增加配置默认是无法抓取https请求的。 解决方案: 在app清单文件的下增加:android:networkSecurityConfig="@xml/network_security_config" 来指定一个网络配置文件。 内容: <network-security-config> <base-config cl...
解决安卓7.0以后https抓不到问题
ssrf
08-25 2261
1、把代理证书放到系统证书根目录下 安卓7.0以后,安卓信任用户安装证书,所以抓https无法解码请求,对于第三方应用,需要将证书添加为系统证书,使用安卓手机添加证书。 需如下: root手机 安装openssl 1、burp到导出证书 2、计算导出证书的hash值 openssl x509 -inform DER -subject_hash_old -in C:\Users\s\Desktop\burp.cer 3、生成系统预设格式证书文件 openssl x509 -inform D
解决手机安装Charles证书后,https抓取请求依然为unknown
mxc1658的博客
10-19 2927
手机安装Charles证书后,https抓取请求依然为unknown 1.选中“启动SSL代理” 2.点击“添加”: 主机:* 端口:443 如下图: 3.再次点击“添加”: 主机:* 端口:* 添加完如下图,点击“确定”即可 ...
为何Android 7.0 以上Charles和Fiddler无法抓取HTTPS
软测小生
09-14 7180
对于之前的文章:Fiddler对安卓App抓包(逍遥模拟器APP)但是,升级了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Charles 抓...
Android 7.0(荣耀8) charles不能抓https问题解决
zhangmiaoping23的专栏
05-22 9058
转:https://www.jianshu.com/p/a222a420ff351. 问题描述换了了一个荣耀8测试机,按照charles的老套路去安装证书,准备抓https,发现死活不成功,charles报错如下:You may need to configure your browser or application to trust the Charles Root Certificate...
charles安卓7.0以上抓包
04-20
以下是在安卓7.0以上版本上使用Charles进行抓包的步骤[^1]: 1. 在Windows上安装Charles:首先,您需要在Windows上安装Charles。您可以从Charles官方网站下载并安装Charles。 2. 配置CharlesHTTPS抓包功能:在Charles中,您需要配置HTTPS抓包功能,以便能够捕获和查看HTTPS请求和响应。以下是配置HTTPS抓包功能的步骤: - 打开Charles并导航到“Proxy”菜单,然后选择“SSL Proxying Settings”。 - 在“SSL Proxying”选项卡中,单击“Add”按钮。 - 在“Location”字段中,输入要抓取的域名或URL的模式。例如,如果您想抓取所有的HTTPS请求和响应,可以输入“*”。 - 单击“OK”保存设置。 3. 安装Charles证书:为了能够捕获和解密HTTPS流量,您需要在安卓设备上安装Charles证书。以下是安装Charles证书的步骤: - 在安卓设备上打开浏览器,并访问http://chls.pro/ssl。 - 下载并安装Charles证书。 - 在安卓设备的设置中,导航到“安全性和隐私”或“安全”选项。 - 选择“凭据存储”或“受信任的凭据”。 - 选择“安装从存储设备安装的凭据”。 - 选择下载的Charles证书文件并安装。 4. 配置安卓设备的代理:为了将安卓设备的流量导向Charles,您需要配置设备的代理设置。以下是配置代理设置的步骤: - 在安卓设备的设置中,导航到“Wi-Fi”或“网络和互联网”选项。 - 长按您当前连接的Wi-Fi网络,并选择“修改网络”或“网络设置”。 - 在高级选项中,选择“代理”。 - 选择“手动”代理设置。 - 输入您计算机的IP地址和Charles的代理端口(默认为8888)。 - 保存设置并重新连接Wi-Fi网络。 5. 使用Charles进行抓包:现在,您已经完成了所有必要的设置,可以开始使用Charles进行抓包了。以下是使用Charles进行抓包的步骤: - 在Windows上打开Charles,并确保代理服务器正在运行。 - 在安卓设备上打开您想要抓包的应用程序。 - 在Charles中,您应该能够看到安卓设备的流量,并可以查看请求和响应的详细信息。 请注意,使用Charles进行抓包可能涉及到违反隐私和安全规定的行为。请确保您在合法和合适的情况下使用Charles进行抓包
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值