Charles二次开发-接口解密

已于 2023-04-09 20:23:24 修改
阅读量1.8k 收藏 6
点赞数 2
文章标签: java
于 2023-04-09 20:09:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39478044/article/details/130045422
版权

1,使用背景

最近工作中对公司接口进行抓包,发现接口路径和返回都是经过加密的,对于查看接口路径及接口返回结果带来了不便,于是想到了对Charles进行小改造,在Charles上增加一个按钮对加密的请求、响应结果解密,本质是执行一个Java方法,然后将解密结果通过文本框显示出来,效果如下

解密前:

点击解密:

解密后:

2,相关环境

Charles版本:4.6.2,界面是基于JDK11版本开发的

JDK版本:所以一定要用jdk11,不然会有坑

3,开发过程

3.1,新建普通工程Custom-Decrypt,引入Charles.jar

3.2,新建CustomDecrypt类,TransactionViewerPopupMenu类,代码如下

CustomDecrypt类中decrypt方法是解密方法,根据需要编写,代码注重实现可能有点low

package com.xk72.charles.gui.transaction.actions;

import com.xk72.charles.model.Transaction;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESKeySpec;
import javax.crypto.spec.IvParameterSpec;
import javax.swing.*;
import java.awt.*;
import java.awt.event.ActionEvent;
import java.io.UnsupportedEncodingException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.security.spec.KeySpec;
import java.util.logging.Logger;

/**
 * @author: create by libin
 * @date:2023/4/9
 */
public class CustomDecrypt extends AbstractAction {
    public final Transaction transaction;
    private static final Logger logger = Logger.getLogger("CustomDecryptLog");

    public CustomDecrypt(Transaction transaction) {
        super("CustomDecrypt");
        this.transaction = transaction;
    }

    @Override
    public void actionPerformed(ActionEvent actionEvent) {
        String requestString = transaction.getDecodedRequestBodyAsString();
        String responseString = transaction.getDecodedResponseBodyAsString();
        logger.warning("__________________________________");
        logger.info("request" + requestString);
        logger.info("response" + responseString);
        logger.warning("__________________________________");
        try {
            String request;
            if (requestString == null || requestString.length() < 1) {
                request = "空";
            } else {
                request = decrypt(requestString, DES_REQUEST_KEY);
            }
            String respnse;
            if (responseString == null || responseString.length() < 1) {
                respnse = "空";
            } else {
                respnse = decrypt(responseString, DES_RESPONSE_KEY);
            }
            String method = transaction.getMethod();
            String host = transaction.getHost() + ":" + transaction.getPort();
            String path = transaction.getPath();
            String file = transaction.getFile();
            String query = transaction.getQuery();
            String content = "method:" + method + "\n" +
                    "host:" + host + "\n" +
                    "path:" + path + "\n" +
                    "file:" + file + "\n" +
                    "query:" + query + "\n";
            if ("GET".equals(method)) {
                String url = host + file;
                content += "url:" + url + "\n";
            }
    

            WaringDialog("request", content);
            WaringDialog("response", respnse);
        } catch (Exception e) {
            logger.warning("CustomDecrypt Exception" + e.getMessage());
        }
    }




    public static void WaringDialog(String title, String content) {

        JFrame JFrame = new JFrame(title);
        JFrame.setPreferredSize(new Dimension(800, 500));
        JTextArea textArea = new JTextArea();
        textArea.setText(content + "\n");
        textArea.setLineWrap(true);
        textArea.setWrapStyleWord(true);

        JScrollPane jScrollPane = new JScrollPane(textArea);
        jScrollPane.setVerticalScrollBarPolicy(ScrollPaneConstants.VERTICAL_SCROLLBAR_ALWAYS);

        jScrollPane.setAutoscrolls(false);
        JFrame.setContentPane(jScrollPane);
        JFrame.pack();
        JFrame.setVisible(true);
    }


    @Override
    public boolean accept(Object sender) {
        return false;
    }
}

 TransactionViewerPopupMenu类,通过jd-gui反编译得到,反编译后有错误将.换成$符号即可

package com.xk72.charles.gui.transaction.popups;

import com.xk72.charles.gui.session.popups.TransactionPopupMenu;
import com.xk72.charles.gui.transaction.actions.Base64DecodeAction$Text;
import com.xk72.charles.gui.transaction.actions.Base64DecodeAction$TextComponent;
import com.xk72.charles.gui.transaction.actions.CopyToClipboardAction$Text;
import com.xk72.charles.gui.transaction.actions.CopyToClipboardAction$TextComponent;
import com.xk72.charles.gui.transaction.actions.CustomDecrypt;
import com.xk72.charles.model.Transaction;

import javax.swing.*;
import javax.swing.text.JTextComponent;
import java.awt.*;
import java.awt.event.MouseEvent;

public class TransactionViewerPopupMenu extends TransactionPopupMenu {
    // 定义 Transaction
    private final Transaction transaction;

    public TransactionViewerPopupMenu(Transaction paramTransaction) {
        super(paramTransaction, null, null, null);
        // 接收
        this.transaction = paramTransaction;
    }

    @Override
    protected void prepare(MouseEvent paramMouseEvent) {
        Component component = (Component)paramMouseEvent.getSource();
        if (component instanceof JTable) {
            JTable jTable = (JTable)component;
            Point point = paramMouseEvent.getPoint();
            int i = jTable.rowAtPoint(point);
            int j = jTable.columnAtPoint(point);
            if (i >= 0 && j >= 0) {
                Object object = jTable.getValueAt(i, j);
                if (object != null) {
                    add((Action)new CopyToClipboardAction$Text(object.toString()));
                    if (object instanceof String)
                        add((Action)new Base64DecodeAction$Text((String)object, component));
                    addSeparator();
                }
            }
        } else if (component instanceof JTextComponent) {
            add((Action)new CopyToClipboardAction$TextComponent((JTextComponent)component));
            add((Action)new Base64DecodeAction$TextComponent((JTextComponent)component));
            // 新增一个按钮,执行按钮的时候会调用CustomDecrypt的actionPerformed方法
            add((Action)new CustomDecrypt(this.transaction));
            addSeparator();
        }
        prepare(false);
    }
}

3.3,将上面的CustomDecrypt类和TransactionViewerPopupMenu类,编译成class 

 3.4,执行命令前进入到out\production\custom-decrypt路径

执行如下命令,意思是将这两个类的class加到charles.java包里面

jar -uvf H:\learn\custom-decrypt\libs\charles.jar com\xk72\charles\gui\transaction\actions\CustomDecrypt.class

jar -uvf H:\learn\custom-decrypt\libs\charles.jar com\xk72\charles\gui\transaction\popups\TransactionViewerPopupMenu.class

 出现正在添加,表示执行成功 

3.5,将项目中libs下的charles.jar替换到charles的安装路径下的lib目录,例如:D:\charles\location\lib

4,测试

替换后,打开charles软件,例如编写一个测试接口(根据需要自己编写),抓包如下

点击按钮后

 结语:以上笔记已经非常详细,主要给自己做个记录,然后也能分享一下技术,整体来看需要花点时间,如果有问题,不负责任,仅供参考,毕竟能做程序员的都不笨,别跟个别人一样白嫖了文章,自己不会还要骂人,我真是擦了尼玛

参考了以下文章:charles 增加 自定义解密功能 · TesterHome

yingyinqixian
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Charles使用(二)
a13001236963的博客
09-02 238
1、charles的证书下载(虚拟器)
charles的使用
sheep0924的博客
09-02 3479
一、charles的原理 1.1:Charles的原理 客户端向服务器发起HTTPS请求 Charles拦截客户端的请求,伪装成客户端向服务器进行请求 服务器向“客户端”(实际上是Charles)返回服务器的CA证书 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(CharlesCharles拦截客户端的.
Charles4.2版插件
11-02
解压出charles.jar 替换掉原文件夹里的charles.jar Mac: /Applications/Charles.app/Contents/Java/charles.jar Windows: C:\Program Files\Charles\lib\charles.jar
charles-proxy-ssl-proxying-certificate.pem
11-19
charles 浏览器插件安装 charles 浏览器插件安装 charles 浏览器插件安装 charles 浏览器插件安装
charles-proxy-4.5.6-win64.msi
12-21
charles-proxy-4.5.6-win64.msi
charles-proxy-4.5.6-win64
08-02
charles 解压就能用 charles-proxy-4.5.6-win64
charles-proxy-4.6.2-win64.msi
01-02
Charlescharles-proxy-4.6.2-win64.msi官方下载试用30天Windows 64位版本) 是在您自己的计算机上运行的 Web 代理(HTTP 代理/ HTTP 监视器)。然后,您的网络浏览器(或任何其他互联网应用程序)被配置为通过 Charles 访问互联网,然后 Charles 能够为您记录和显示所有发送和接收的数据。 在 Web 和 Internet 开发中,您无法看到 Web 浏览器/客户端和服务器之间发送和接收的内容。如果没有这种可见性,就很难准确地确定故障在哪里,也很耗时。Charles 可以轻松查看正在发生的事情,因此您可以快速诊断和解决问题。 Charles 使调试快速、可靠和先进;节省您的时间和挫折! 主要特点 SSL 代理– 以纯文本形式查看 SSL 请求和响应 带宽限制以模拟较慢的 Internet 连接,包括延迟 AJAX 调试——以树或文本形式查看 XML 和 JSON 请求和响应 AMF – 以树的形式查看 Flash Remoting / Flex Remoting 消息的内容 重复请求以测试后端更改 编辑请求以测试不同的输入 拦截和编辑请求或响应的断点 使用 W3C 验证器验证记录的 HTML、CSS 和 RSS/atom 响应
又是一个开发效率神器——Charles
iiopsd的博客
12-09 300
Charles是一款Http代理监听工具,可以让开发者查看通过这个代理的所有连接信息,包括请求数据、相应数据和请求头等信息。
Charles 抓包工具教程(一) Charles的安装、代理配置及组件介绍
雨水的早晨的博客
11-08 3881
Charles 抓包工具的安装,以及代理的相关配置
抓包逆向神器Charles推荐,https接口了无秘密
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
03-22 1200
业余时间想找个免费的智能AI接口用,体验了几款插件真不错,比如Bito插件和IDE神器Cursor,但不知道他们的后台接口。想着看看他们的接口,不用说肯定是https加密的。http包透明传输还好,但是大多数是https加密传输的,一般的工具还真不好抓包。使用了一款抓包神器Charles,真不错。这里推荐分享下。
charles-proxy-3.12.3.tar.gz
01-02
Charlescharles-proxy-3.12.3.tar.gz官方下载试用30天Linux版本) 是在您自己的计算机上运行的 Web 代理(HTTP 代理/ HTTP 监视器)。然后,您的网络浏览器(或任何其他互联网应用程序)被配置为通过 Charles 访问互联网,然后 Charles 能够为您记录和显示所有发送和接收的数据。 在 Web 和 Internet 开发中,您无法看到 Web 浏览器/客户端和服务器之间发送和接收的内容。如果没有这种可见性,就很难准确地确定故障在哪里,也很耗时。Charles 可以轻松查看正在发生的事情,因此您可以快速诊断和解决问题。 Charles 使调试快速、可靠和先进;节省您的时间和挫折! 主要特点 SSL 代理– 以纯文本形式查看 SSL 请求和响应 带宽限制以模拟较慢的 Internet 连接,包括延迟 AJAX 调试——以树或文本形式查看 XML 和 JSON 请求和响应 AMF – 以树的形式查看 Flash Remoting / Flex Remoting 消息的内容 重复请求以测试后端更改 编辑请求以测试不同的输入 拦截和编辑请求或响应的断点 使用 W3C 验证器验证记录的 HTML、CSS 和 RSS/atom 响应
charles安装插件,流程示意图,
g19974673874的博客
09-02 999
1.下载charles的ssl证书 2.点击help选中ssl proxying3.点击安装证书按钮 4.点击下一步按钮 5.选中证书点击按钮 6.选中”受新任的根证书颁发机构”,点击”确定”按钮 7.点击”下一步”按钮 8.点击完成 9.最后弹出导入成功提示 10.:点击”proxy”按钮,选中Proxy Settings 11.勾选允许传输http代理,接着点击”OK”按钮 12.点击’proxy”按钮,选中SSL Proxyig settings 13...
Charles 功能介绍和使用教程
清心寡欲的博客
10-20 754
Charles 下载地址 Charles Web Debugging Proxy - Official Sitehttps://www.charlesproxy.com/latest-release/download.do
接口测试-代理工具charles,从0配置代理,安装证书
weixin_46583017的博客
01-27 304
文章目录前言一、charles是什么?二、charles1.安装charles2.chrome浏览器下载SwitchyOmega插件3.app设置代理 前言 charles用于抓取http/https抓包,本文介绍如何安装charles和chrome以及手机的代理环境设置 一、charles是什么? 是一个HTTP代理服务器,HTTP监视器,反转代理服务器,当浏览器连接Charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP
charles下载安装及在测试中的应用
爱咋咋咋滴
05-17 593
Windows版: 1、下载安装 官网: https://www.charlesproxy.com/ 双击点击安装即可 2、证书配置 代理https需要配置相应证书, pc端 3、关闭多余的抓取,使用switchyOmega插件 下载switchyOmega插件 https://github.com/FelisCatus/SwitchyOmega/releases 修改后缀为zip并解压。谷歌浏览器选择”加载已解压扽扩展程序“—加载该插件插件会报错(直接忽略) 添加情景模式并作如下配置 Cha
《爆肝整理》保姆级系列教程-玩转Charles抓包神器教程(5)-Charles如何设置捕获Https会话
m0_73409141的博客
07-19 357
在大数据时代,互联网时代,个人信息安全尤为重要,网络安全在近日多起电信诈骗事情发酵下的情况下,引起国家,企业,个人对于互联网安全进一步的重视。而之前很多以http协议传输的网站出现的网站信息泄露,个人信息裸露在大数据的泳池中,让我们在遇到一个陌生网站的时候,都会格外考虑其安全性。通过认证SSL证书的以https加密协议访问网站比没有加密的http协议访问网站要安全的多。由于近几年来各大网站越来越注重安全性都改成了https协议,不像前十几年前直接是http协议直接裸奔在互联网。
charles的简单操作
qq_72697024的博客
08-08 1273
Charles的设置和使用
Charles 实现电脑抓取手机包(解决手机不能上网问题)
weixin_44015043的博客
12-16 2762
Charles 抓取手机包(解决手机不能上网问题) 前言,最近甲方项目要求对公司的App进行二次开发,所以需要Charles实时抓包,来查看具体的情况。在写之前也是将网上的文章都看了一遍,还是还是有一些地方需要注意。所以特地记录下来。 下载与安装 安装破解地址 网络配置 首先保证自己的手机和电脑在同一个局域网里面,可以连接到同一个wifi。 证书的安装: 点击如下图所展示位置: 存储位置选中当前计算机: 证书存放目录: 剩下就是一直向下出现如下图即可: 点击
代理技术哪家强?接口 Mock 测试首选 Charles
weixin_46635091的博客
04-26 177
作为一名测试工程师,抓包是最常用的分析问题手段。Charles 则是最常用的代理工具,而且对于 Windows 和 Mac 也非常友好。之所以这么受欢迎还有以下几个原因: 代理功能 HTTP/HTTPS、Socks5 限速模拟 断点调试 转发 映射:让发往a网站的请求返回b网站的内容 重写:自动把请求和内容篡改掉 工具:拼装请求、重放请求、重读请求 Charles 代理工具的每个知识点都值得认真...
charles 怎样查看慢接口
最新发布
07-27
回答: 要在Charles中查看慢接口,你可以按照以下步骤进行操作。首先,在Charles的顶部菜单中选择"Proxy",然后选择"Throttle Settings"。\[1\]在弹出的窗口中,你可以启用限速功能,选择要限制速度的网络类型。\[1\]此外,你还可以通过设置指定的host和location来限制特定接口的速度。\[2\]要查看Charles运行所在电脑的IP地址,你可以在Charles的顶部菜单中选择"Help",然后选择"Local IP Address"。\[3\]在弹出的对话框中,你将看到Charles运行所在电脑的IP地址。 #### 引用[.reference_title] - *1* *3* [抓包工具 Charles使用教程---抓取接口数据](https://blog.csdn.net/weixin_41815063/article/details/118701642)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Charles模拟接口返回异常值/空值/超时](https://blog.csdn.net/sinat_34937826/article/details/110493085)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值