抓包分析安卓手机的HTTPS请求

最新推荐文章于 2024-04-12 20:31:27 发布
最新推荐文章于 2024-04-12 20:31:27 发布
阅读量706 收藏 2
点赞数
文章标签: python 移动开发 shell
原文链接:https://segmentfault.com/a/1190000017035564
版权

HTTP抓包流程

为了实现对安卓手机或模拟器的网络请求抓包,简单流程为:

  • 电脑上安装Fiddler等抓包工具,其原理就是一个HTTP/HTTPS代理服务器。注意需要允许远程电脑连接
  • 确保电脑和安卓手机在同一个子网中,互相能够PING通。比如:可以连接同一个WIFI热点,或者用电脑给手机开热点都可以
  • 在手机的WLAN设置中,设置WIFI代理,指向电脑的IP和抓包工具的端口,比如:192.168.122.101:8888
  • 这个时候,如一切正常,HTTP代理就已经可以工作了,可以在手机浏览器里访问HTTP站点,看看抓包工具中是否有反应。

HTTPS抓包原理

  • HTTPS抓包就要麻烦一些了,要知道HTTPS的报文是加密的,主要防的就是在网络传输中间环节做手脚。
  • 不过抓包工具可以用中间人方式(Man-In-The-Middle)方式来解析HTTPS报文,大概原理是对访问者假装自己是目标网站,对目标网站假装自己是访问者,
  • 这需要访问者信任这个中间人签发的(伪造的)网站证书,具体做法是将抓包工具提供的根证书添加到系统的“受信任的根证书颁发机构”中去。

  • 在电脑上比较简单,打开"Fiddler设置->HTTPS面板":

    1. 选中"Capture HTTPS CONNECTs", "Decrypt HTTPS traffic", "Ignore server certificate errors(unsafe)"
    2. 点击右面的Actions按钮,选择"Trust Root Certificate"即可

在Android中安装根证书

但是在安卓系统中就要自己动手安装根证书了,下面梳理一下整个过程:

前提

  • Android 4.4及以上
  • 手机已经root,则可以安装为系统证书,否则只能安装用户证书
    区别在于:用户证书会要求手机必须有锁屏密码
  • adb连接手机正常

安装为用户级别证书

  • 把证书文件 .crt/.cer下载到内部存储,比如/sdcard
  • 文件管理器打开文件,会自动打开证书管理应用,给证书起个名字即可导入,另外需要设定屏幕解锁密码
  • 打开 设置 -> 安全和隐私 ->凭据存储 -> 用户 可以查看安装的证书

  • 对于Fiddler有个更简便的办法:

    • 打开手机浏览器,访问 http://ipv4.fiddler:8888/
    • 打开的页面最下面的链接:You can download the Fiddler certificate,点击即可下载安装证书,步骤和从文件安装一致

安装为系统级别证书

把证书文件转换为Android可识别格式

  • 确定文件名。我这里安装了两个不同工具的证书,即Fiddler和LittleProxy-MITM,它们的证书格式不同,因此使用的命令也略有不同。
    openssl x509 -inform DER -subject_hash_old -in FiddlerRoot.cer
    openssl x509 -inform PEM -subject_hash_old -in littleproxy-mitm.pem
    把输出的第一行的8位hex字符串保存下来,比如269953fb,最终的证书文件名则为269953fb.0
  • 转换证书文件格式
    openssl x509 -inform DER -in FiddlerRoot.cer -text > 269953fb.0
    openssl x509 -inform PEM -text -in littleproxy-mitm.pem > 4bb9877f.0
  • 编辑输出的文件,把"-----BEGIN CERTIFICATE-----"到文件结束这部分移动到文件首部

安装证书

  • 把证书文件复制到手机内部存储。adb push后第一个参数是证书文件在电脑上的路径,第二个是手机内部存储的路径
    adb push path/to/269953fb.0 /sdcard

  • 从内部存储复制到系统证书目录。adb shell启动命令行交互,su获取超级用户权限,mount将/system目录重新挂载为可读写,最后执行复制

    adb shell
    su
    mount -o remount,rw /system
    cp /sdcard/269953fb.0 /system/etc/security/cacerts/

  • 修改文件权限。

    cd /system/etc/security/cacerts/
    chmod 644 269953fb.0

  • 用ls命令检查文件权限是否正确。下面一行是期望的输出。

    ls -alZ
    -rw-r--r-- root root u:object_r:system_file:s0 5ed36f99.0
  • 重启设备
  • 打开“设置->安全和隐私->凭据存储->系统”可以查看安装的证书。

验证

  • 手机浏览器打开HTTPS站点,看抓包工具中是否可以正常解析HTTPS报文。

参考

weixin_33810302
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android平台HTTPS抓包全方案
CHAMPION8888的博客
11-26 1008
前言 HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。 抓包是每个程序员的必修技能之一,.
Android平台HTTPS抓包解决方案及问题分析
weixin_33827590的博客
04-27 8431
HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之...
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证)
05-22
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证) 解压密码 qq810285810
Android Charles抓包 3分钟手把手图文教程 支持https 7.0以上系统 fidder
深南大盗的博客
01-25 1330
Charles抓包 https://blog.csdn.net/c10WTiybQ1Ye3/article/details/109733079 https://www.jianshu.com/p/1338c9f5305e 01.下载安装软件charles 下载地址(下载对应的平台软件即可) https://www.charlesproxy.com/download/ 下载破解文件 https://assets.examplecode.cn/file/charles.jar ..
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
主要介绍了安卓APP测试之使用Burp Suite实现HTTPS抓包方法,本文详解讲解了测试环境和各个软件的配置方法,需要的朋友可以参考下
Charles—针对Web、App的抓包分析
yx20130919的博客
07-05 428
一、概述:
Charles抓包Https请求显示Unknown解决方案.pdf
06-18
Charles在进行HTTPS请求的中间人攻击(MITM)时,需要将自身的根证书安装到被测试的系统中,这样Charles就能够将加密的请求解密,然后再进行抓包分析。如果用户已经安装了证书但问题依旧存在,那可能是因为证书没有...
Flutter中http请求抓包的完美解决方案
08-26
在 Android 中,我们可以使用 Charles 抓包工具来设置代理服务器。在 iOS 中,我们可以使用 iOS 自带的代理服务器来截获请求。 Flutter 中 http 请求抓包的完美解决方案是通过设置代理服务器来截获请求。我们可以...
https抓包与手机抓包操作介绍
最新发布
04-19
为了确保网络通信的安全性和稳定性,开发人员和测试工程师经常需要对HTTPS流量进行抓包分析。本文将详细介绍如何使用Fiddler和Charles这两种常用的抓包工具来进行HTTPS抓包及手机端的抓包操作。 #### 二、Fiddler...
安卓Android源码——手机抓包相关工具.zip
10-12
综上所述,安卓Android源码的学习与手机抓包工具的使用是安卓开发中的重要技能。通过深入理解源码,开发者可以更高效地调试和优化应用,而抓包工具则提供了直观的网络行为分析,是解决问题不可或缺的助手。在实际...
Android网络抓包--Charles
weixin_42277946的博客
04-12 7913
Android网络抓包--Charles
解决安卓7.0后手机,https无法抓包问题
lxq18817388351的博客
12-13 3285
1、在linux系统(或下载openssl工具)下执行openssl x509 -inform DER -in FiddlerRoot.cer -out FiddlerRoot.pem,把fiddler证书文件转换成pem格式 2、再执行openssl x509 -inform pem -subject_hash_old -in FiddlerRoot.pem |head -1,生成一个hash值...
android 监听本机网络请求_实现一个简单的Unity网络同步引擎——netgo
weixin_39822728的博客
11-25 302
实现一个简单的Unity网络同步引擎Netgo目前GOLANG有大行其道的趋势,尤其是在网络编程方面。因为和c/c++比较起来,虽然GC占用了一部分机器性能,但是出错概率小了,开发效率大大提升,而且应用其原生支持的协程很容易就能开发出高并发的服务端程序。笔者接触VR行业两年有余,接触了一些商业unity网络引擎,总觉的用的东西都落伍了,于是自己写了一个简单的引擎。目前实现了的基本功能:支...
【Android测试技巧】02. 测试手机客户端HTTPS 你应该知道的事
热门推荐
毕小烦的学习笔记
04-16 1万+
本文目录 了解httpshttps的工作过程浏览器实现客户端实现为什么HTTPS慢 ?手机客户端使用HTTPS注意点 了解https HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的保护 HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构(意即“我信任证书颁发机构告诉我应该信任的”)
Android HTTPS 抓包
fabbychips的专栏
07-20 3822
网络请求抓包是研发过程中常见问题,无论是开发时的接口调试,还是测试时的数据检验,都有网络抓包的需求。随着HTTPS协议的推广以及手机系统安全性的升级,抓包的门槛可能会逐渐变高;在这篇文章里,我将带你从原理到实战全面认识HTTPS抓包,既理解HTTPS抓包背后的实现原理,又掌握市面上已有的抓包方案。对于一些方案中存在的坑点我也一一列举并给出解决方法。Fiddler目前主要是用在Window系统上的网络调试工具这里总结一下使用Charles进行抓包的主要步骤,其实就是按照第2节。...
android使用Charles抓包https请求
xydzjnq的博客
06-29 1万+
最近编辑于2018年6月29日 按照正常抓http的方式进行抓包,会出现如下情况: https抓包就是需要在电脑端和移动端装上安全证书。 电脑端的安装: 手机端就是需要到手机浏览器打开chls.pro/ssl下载安全证书安装到手机上,如下所示: 再在青花瓷上设置一下SSL Proxying,7.0以下的android手机就能正常抓包了: 但是在7.0的...
使用Fiddler进行HTTPS抓包与手机远程抓包教程
"本文主要介绍了如何使用Fiddler进行手机抓包操作,包括在PC上配置Fiddler以监听HTTPS和允许远程连接,以及在安卓手机上安装Fiddler证书和设置代理,以便抓取手机网络请求数据。" 在IT行业中,抓包工具是一种常用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值