Android APP 用 Charles 网络抓包

最新推荐文章于 2024-10-08 12:29:38 发布
最新推荐文章于 2024-10-08 12:29:38 发布
阅读量2k 收藏 34
点赞数 30
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38989725/article/details/139322055
版权

一、Android抓包方式
对Https降级进行抓包,降级成Http
使用抓包工具对Https进行抓包
二、常用的抓包工具
wireshark:侧重于TCP、UDP传输层,HTTP/HTTPS也能抓包,但不能解密HTTPS报文。比较复杂
fiddler:支持HTTP/HTTPS协议,篡改请求入参,篡改响应效据,设置请求断点重发,弱网模拟。但是只支持Window
charles:基本功能跟fiddler一样。并且所有平台都支持,界面简洁,操作简单(重点)
三、抓包工具Charles
1.下载:
官网地址:Download a Free Trial of Charles • Charles Web Debugging Proxy

2.安装:
下载完成之后,直接点击安装即可。安装完成之后的界面

3.原理:

拦截请求,代理客户端向服务端发送请求
拦截服务端响应,拿到服务端返回的公钥,并返回自己的公钥证书,目的是为了接下来的流程中加密会话秘钥
客户端需要安装charies证书,并添加信任,否则会报证书无效错误;客户端生成会话秘钥,并使用charies公钥加密发送到服务端
再次拦截请求,用自己的私钥解密会话秘钥,并使用前面拿到服务端公钥加密会话秘钥发送到服务端
服务端使用自己的私钥解密会话秘钥
使用会话秘钥去加密response,并返回
charies再次拦截响应,使用会话秘钥去解密response,展示明文,从而达到https抓包的日志

4.证书配置
注意:
        在使用6.0及以下的手机的时候,如果想要抓包Https,只需要在手机上安装Charles证书就可以了,但是如果使用的手机是7.0及以上版本的时候,这个时候就不管用了,需要手动的添加该证书的信任

原因:
        因为Android在不同的版本,系统为了网络安全,网络配置发生了一些变化

系统的网络安全配置:
Android6.0及以下既支持信任系统证书,也支持信任用户安装的证书,也运行明文传输

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>
  • 在Android7.0及以上,不在信任用户安装的证书。这也就是为什么7.0以上的手机即便安装了charles证书,依旧无法抓包的原因 
    <base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

解决方案:
        为了解决Android7.0及以上手机https无法抓包,http无法传输的问题,需要自定义网络安全配置:

在res/raw目录下,添加charles的证书文件charles.pem
新增文件 res/xml/network_security_config.xml 文件,将cleartextTrafficPermitted设置成true,并增加trust-anchors标签引用添加进来的charles的证书

cleartextTrafficPermitted="true"  //允许在高版本上开启Http的明文传
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true"/>
    <trust-anchors>
        <certificates src="@raw/charles"/>
    </trust-anchors>
</network-security-config>
  • 在清单文件manifest中的Application下添加网络安全配置文件,这样就能抓包了
<application
    android:networkSecurityConfig="@xml/network_security_config"
</application>
  • 增加debug-overrides标签,只在debuggable为true的情况下,才会应用这个网络安全配置文件 
    <?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true" />
    <debug-overrides>
        <trust-anchors>
            <certificates src="@raw/charles" />
        </trust-anchors>
    </debug-overrides>
</network-security-config>

5.使用:

如何配置charles,完成Https数据报文的抓包?

1.点击Proxy -> Proxy Settings…,查看charles的端口号:8888

2.点击Help -> Local IP Address,查看本机的IP地址:192.168.40.38

3.将手机wifi连接的代理设置成手动,并输入上面的端口号和IP地址

4.让应用去信任charles证书

点击Help -> SSL Proxying -> Save Charles Root Certificate… 保存证书

5.将证书拷贝到项目中。在app下的res目录下新建一个raw文件夹,并且把charles.pem文件拷贝过来

6.创建配置文件。在app下的res目录下新建一个xml文件夹,在这个文件夹下新建一个network_security_config.xml 文件,并填写配置信息

打开手机设置-密码与安全-系统安全-加密与凭据-安装证书-证书

然后将上面保存的证书push到手机上,找到位置添加证书信任

IT匠人
关注
Android App 如何防止抓包
xiangzhihong8的专栏
12-13 5286
在软件开发中,常用的抓包方式有 Charles 、 Fiddler和Burp,它们通过在手机网络中添加代理的方式,然后安装信任证书,接着就可以在 App 请求的时候拿到请求数据。不过,这也可能导致一些安全问题,所以对于我们通常的处理方式是,对于线上运行的包,需要防止这些抓包手段。
16.Xposed库实践设计
杨充
09-21 1935
目录介绍 01.下载安装 02.抓包代理设置 03.抓包Https操作 04.抓包原理介绍 05.抓包数据介绍 06.常见问题总结 07.Android拦截抓包 01.下载安装 下载地址(下载对应的平台软件即可) https://www.charlesproxy.com/download/ 下载破解文件 https://assets.examplecode.cn/file/charles.jar 打开Finder,在应用程序中选择Charles并右键选择显示包内容 显示包内容后在Content
呕心沥血保姆级Fiddler移动端抓包
m0_60054525的博客
01-30 891
用特定的工具获取客户端与服务端之间发送和返回的数据包。目的是分析数据包的协议、内容等,从而判断接口的设计是否符合要求,比如抓包某次请求的请求参数与响应参数,查看参数是否正确。
android模拟器抓包工具fiddler使用
sdlklyg的博客
09-09 1491
所需工具:fiddler和android模拟器 一,下载fiddler 二,下载完后安装,启动Fiddler,打开菜单栏中的 Tools > Fiddler Options,打开“Fiddler Options”对话框。 三,在Fiddler Options”对话框切换到“Connections”选项卡,然后勾选“Allow romote computers to con
安卓app抓包解决方案
Adiore丶无风的博客
03-30 1278
手机抓包
Android网络抓包--Charles
weixin_42277946的博客
04-12 1万+
Android网络抓包--Charles
charles安卓手机抓包教程(超详细的避坑指南)
热门推荐
qq_45005145的博客
08-12 2万+
charles无法抓取手机https请求?charles证书过期或者手机无法下载证书?超详细的避坑指南,本人亲测有效
使用CharlesAndroid APP进行抓包
neverSaynever_的博客
10-08 1280
Charles 是一个功能强大的 HTTP 和 HTTPS 抓包工具,通常用于网络开发、移动应用开发以及 API 调试。它允许开发人员查看网络请求和响应的详细信息,帮助分析数据传输中的问题,调试应用程序,或查看网页加载性能。Charles 特别擅长在 HTTPS 加密连接中解密数据,因此也广泛用于分析和抓取移动应用程序的网络请求。
使用Charles实现Android抓包,附带Charles破解教程
weixin_40261082的博客
07-02 4474
使用Charles实现Android抓包,附带Charles破解教程
使用CharlesAndroid逍遥模拟器抓包APP网络请求HTTP和HTTPS数据
loutengyuan的专栏
07-09 2568
起因是我需要保持一个APP上个人账户下的一些相册数据,无奈该APP未提供下载功能,所以想通过抓包的方式下载,以下是我通过在电脑上安装逍遥Android模拟器,再在电脑端安装charles抓包工具抓取APP的HTTPS加密请求,然后将获取到的数据批量保存到电脑上,最后使用python批量解析和下载图片的过程。
Charles抓包Android app
weixin_38951785的博客
04-06 2220
先关文档: AndroidCharles抓包 - SegmentFault 思否 charles连接不上手机的解决方法_小小红叶子的博客-CSDN博客_charles连接不上手机 ​​​​​​Android 7.0 之后抓包 unknown 和证书无效的解决方案(无需改代码)_ShadowySpirits的博客-CSDN博客 Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown_Kris Xia的博客
Charles抓包App教程
Ted_Fan的博客
03-22 1万+
安装完毕后理论上就可以抓包我们开发的APP的https请求了,为什么说是理论上呢,因为目前的Android版本需要手动配置network_security_config,才可以抓包,正常的线上环境是不可以抓包,所以有了接下来的配置。PC端配置Https抓包,点击Help->SSL Proxying->Install Charles root Certificate,安装证书。这里我用的是小米手机,以此为例,进入 设置->WLAN->进入WIFI设置界面->点击代理。至此已经可以抓取http请求的包了。
Android 手机网络抓包
weixin_34416649的博客
06-29 134
1、 手机首先必须获取root权限,这里不多说了,可以用z4,很方便。 2、获取tcpdump软件,下载地址 下载文件 (已下载 4 次) 这个文件只能在登入之后下载。请先 注册 或 登入 下面是抓包的具体步骤: 1. 将Android手机与电脑USB相连,打开windows命令提示符窗口 2. 将tcpdump程序copy至androi...
Android网络抓包
bulote
10-08 210
tcpdump附件下载将附件解压得到tcpdump 放在adb的同目录下 1.把手机当无线路由 连无线androidther,浏览器输入地址.执行下面cmd命令,按F5刷新 CTRL+C停止抓包 2.用手机浏览器访问地址. 进入到手机浏览器输入地址(防止抓到些不干净的信息),关掉无机无线.执行下面cmd命令.手机浏览器刷新地址.CTRL+C停止抓包 adb shell su tcpd...
charles安卓手机抓包
luckgrilwyy的博客
07-12 1万+
参考:https://blog.csdn.net/luochoudan/article/details/72801573 原理: 设置charles为服务器和客户端直接的过滤器,让所有的网络请求都经过charles Proxy----Proxy Setting----Enable transparent HTTP proxying 1.HTTP 1)配置代理端口号; Proxy -》 Pr...
Android AppCharles抓包
最孤单的人的博客
06-16 2934
Charles 是在您自己的计算机上运行的 Web 代理(HTTP 代理/ HTTP 监视器)。然后将您的网络浏览器(或任何其他 Internet 应用程序)配置为通过 Charles 访问 Internet,然后 Charles 能够为您记录和显示所有发送和接收的数据。...
安卓charles抓包
weixin_56699419的博客
01-18 1466
下载证书:点击Help→SSL Proxying→Install Charles Root Certificate on a Mobile Device...→弹出信息框。④启用证书:点击Proxy→SSL Proxy Settings→勾选Enable SSL Proxying→Add→正则表达式*→OK。点进手机连接的WIFI后将代理改为手动,输入charles中对应的主机名和端口号,点击保存。①:关闭web端抓包,避免抓到web端接口造成干扰----取消勾选Windows proxy。
Charles小程序抓包安卓版)
故事讲予风听
02-23 3187
打开Charles,打开上方工具栏中Help---Register Charles,输入用户名和激活码。然后,抓取包的规则配置(*是代表抓取任意端口和域名,如果只抓取固定的端口or域名可自行设置。3.打开电脑热点,手机连接电脑热点。因为主要是联动手机对微信抓包,所以可以关闭windows端的抓包,避免干扰。1、Windows+Burp+Proxifier(配置困难,数据包卡顿)4.手机访问小程序或者公众号,在Charles和burp都可以看到包。3、Burp+Charles(本文测试,抓包完整,放包流畅)
charles抓包安卓
最新发布
01-08
### 使用Charles代理工具抓取安卓手机上的HTTP/HTTPS流量 #### 配置PC端Charles软件 为了使Charles能够拦截并显示来自安卓设备的网络请求,需先在电脑上安装好Charles,并确保其正常运行。接着,在Charles菜单栏中找到`Proxy`选项卡下的`Enable Transparent HTTP Proxying`以开启透明代理模式[^1]。 对于HTTPS流量的捕捉,则需要进一步操作SSL证书配置以便于解密加密过的通信内容。通过点击`Help` -> `SSL Proxying` -> `Install Charles Root Certificate`完成根证书的安装过程[^2]。这一步骤至关重要,因为只有当Charles被授权作为可信认证机构时才能成功解析HTTPS会话内的具体细节。 #### 设置Android设备连接至同一Wi-Fi环境 保证计算机与待测安卓装置处于相同无线局域网下是实现二者间有效通讯的前提条件之一。通常情况下,默认网关地址即为提供互联网接入服务路由器所分配给主机使用的IP地址;而8888则是Charles默认监听端口号[^3]。 #### 安卓终端配置代理服务器参数 进入安卓系统的“设置”-> “WLAN”,选中当前已连入的WiFi名称右侧的小齿轮图标打开高级属性页面。在此处切换到静态IP方式管理网络配置,并指定HTTP代理类型为手动输入形式。按照提示分别填入之前获取到的PC机IPv4数值以及固定不变的标准端口值(如无特殊设定均为8888)。 #### 导入CA证书至移动操作系统内核库 为了让安卓能识别由Charles签发的安全链接凭证从而允许后者介入所有进出该平台的数据流之中,还需执行最后一个重要环节——导入CA公钥文件(.pem/.crt格式)。一般而言,此步骤可通过电子邮件附件传送或是借助USB线缆直传两种途径达成目的。一旦接收完毕后务必记得前往安全中心确认信任状态已被激活生效。 ```bash # 如果遇到某些版本android无法自动信任的情况, 可尝试如下命令刷新存储器索引重建关联关系 adb shell pm path com.android.providers.settings ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值