使用安卓模拟器+Xposed+JustTrustMe+burp suite抓取app的https流量

最新推荐文章于 2024-05-25 15:10:07 发布
最新推荐文章于 2024-05-25 15:10:07 发布
阅读量2k 收藏 6
点赞数
分类专栏: 安全测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43487849/article/details/119117025
版权

前言

有时候测试APP需要抓取数据包,当手机开启代理时,就显示离线或无网络,关闭代理就正常了;这可能是APP做了证书验证,也就是SSL Pining。这时我们可以使用一个框架组合来解决此问题:Xposed框架+JustTrustme。
为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?答案是:app启用了SSL Pinning(又叫“ssl证书绑定“).
在建立ssl通道的过程中,当客户端向服务端发送了连接请求后,服务器会发送自己的证书(包括公钥、证书有效期、服务器信息等)给客户端,如果客户端是普通的浏览器,比如IE浏览器,则:

  1. 使用内置的CA证书去校验服务器证书是否被信任,如果不被信任,则会弹出https的告警提示信息,由用户自己决定是否要继续。
  2. 同样,用户也可以主动的将服务器证书导入到浏览器的受信任区,下次打开时该服务器证书将会自动被信任。

为啥中间人可以劫持https流量,以及在浏览器上我们为什么可以使用burp伪造证书,正是因为上面的2点,即:

  1. 浏览器允许用户自行忽略证书告警,用户在无足够的信息安全意识时,可能会直接忽略刘浏览器的安全提示,在这篇文章的前2天以太坊钱包MyEtherWallet 就因为黑客使用“BGP流量劫持+HTTPS证书伪造“导致被干的鼻青脸肿。
  2. 浏览器允许“导入证书到浏览器信任区“这个操作让浏览器信任burp伪造的证书。

SSLPinning

客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接。

浏览器其实已经这样做了,但是如“前面”所说,选择权交给了用户,且浏览器由于其开放性允许让用户自导入自己的证书到受信任区域。

但是在APP里面就不一样,APP是HTTPS的服务提供方自己开发的客户端,开发者可以先将自己服务器的证书打包内置到自己的APP中,或者将证书签名内置到APP中,当客户端在请求服务器建立连接期间收到服务器证书后,先使用内置的证书信息校验一下服务器证书是否合法,如果不合法,直接断开。

当然攻击者也可以通过把这个APP源码给逆出来,然后找到证书校验这段逻辑,给他干掉,或者干脆把证书信息换成自己的服务器证书信息,然后重新打包签名,但是一旦APP做了代码加密和混淆,这个操作也会变得比较难搞。

补充:
不要将ssl pinning和https双向认证搞混了,HTTPS协议本身是支持双向认证的,既除了客户端对服务器证书进行验证外,服务器也可以要求客户端提供自己的证书信息并对其进行验证,在APP上,HTTPS双向认真的方案也可以防止中间人劫持,但这种双向认证开销较大,且安全性与”ssl pinning”一致,因此目前大多数APP都采用SSL Pinning这种方案。

使用Xposed + JustTruestMe来突破SSL pinning

Xposed是一个框架,它可以改变系统和应用程序的行为,而不接触任何APK。
它支持很多模块,每个模块可以用来帮助实现不同的功能。
JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook,从而绕过证书检查。

步骤:

1.电脑安装andorid模拟器
我使用的是逍遥模拟器,因为可以开多个Android版本:
https://www.xyaz.cn/
在这里插入图片描述

2.安装Xposed框架
官网下载apk:https://repo.xposed.info/module/de.robv.android.xposed.installer
注意选择适配的Android版本
在这里插入图片描述
点击模拟器主界面的APK+图标,选择下载好的Xposed installer的apk包,即可开始安装,安装完成后,桌面会生成对应的图标,打开
在这里插入图片描述
不要管,点击框架,进去,点击“安装更新”,更新完成后,会提示重启,重启后打开就显示激活成功了。
在这里插入图片描述
可能会出现***Xposed无法载入可用的ZIP文件***(Could not found ZIP files)的情况,采用下面的方法可以解决:
https://blog.csdn.net/fanhenghao/article/details/117441230

3.安装JustTrustMe
官网下载:https://github.com/Fuzion24/JustTrustMe/releases/tag/v.2
先进入xposed,点击“模块”,此时还没有可用的模块,同样的方法点击apk+导入之前下载好的JustTrustMe的apk安装包,系统会自动安装,安装完成后,在模块里面点击“软重启”,再次打开“模块”界面,即可看到JustTrustMe,勾选一下,启用这个模块:
在这里插入图片描述
到这里就安装成功了!!!可以开始使用了

4.安装app
同样的方法点击apk+导入要测试的app

5.设置代理
在你的模拟器所在的主机上打开burpsuite,并启用代理,使用实际的IP地址作为监听地址;
在模拟器中找到设置-wlan(找到wifi名长按鼠标左键出现高级设置)-然后进行代理配置-把代理的ip和端口配置成burp监听的一样,就可以开始抓包了~~
来源:
https://blog.csdn.net/xiangshangbashaonian/article/details/80230664

Dejavu_^_^
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手机ssl抓包
02-04
ssl抓包神器_v1.1.0_VIP.apk 备份使用
Xposed+JustTrustMe.zip
01-19
Xposed框架与JustTrustMe模块详解》 在Android系统中,Xposed框架是一个非常强大的工具,它允许用户通过安装各种模块来修改系统的内部行为,从而实现对Android系统的深度定制和功能扩展。配合JustTrustMe模块,...
Android获取流量信息
Joey 的工作空间~
07-21 970
Note:纯属自己工作总结,好久没些博客了, 对自己这些年的工作做个记录 . public class TrafficInfoActivity extends Activity { //展示数据列表 private ListView lv; //获取到所有具有Intenet权限的应用的流量信息 private TrafficInfoProvider provider; //Prog
Fiddler 无法抓包手机 https 报文的解决方案来啦!!
最新发布
NHB234567的博客
05-25 419
解决手机https无法抓包的问题当你测试App的时候,想要通过Fiddler/Charles等工具抓包看下https请求的数据情况,发现大部分的App都提示网络异常/无数据等等信息这时候怎么解决呢?以提刷题APP为例:Fiddler上的显示如下: https的报文不能被解密:你可能开始找证书的问题:是不是Fiddler的证书没有导入的手机中去?删除证书又重新安装,配置一遍又一遍,又开始对比web端浏览器的https发现没问题。那么这个问题怎么解决呢?本文给大家提供一种非常。
Xposed绕过SSL 抓https包,不用安装证书
热门推荐
zhangmiaoping23的专栏
07-19 2万+
工具charles抓包工具官方地址破解版本地址破解地址上面有历史的下载版本 以及对应破解的Jar包 根据目录替换就行绕过SSLJustTrustMe 基于Xposed一个模块 github已开源 可以禁用SSL证书检查 从而抓取此应用所有网络流量 感兴趣的可以去看看代码写的很不错  这种禁用SSL的模块有好几个但只有justTrustMe星星最多 代码最干净 直接去github下载APK就行   ...
BURP APP HTTPS抓包xposed+justtrustme工具篇
szgyunyun的博客
01-24 1199
APP HTTPS抓包APPHTTPS时,则单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 1、下载夜神模拟器 2、Xpose框架和justtrustme下载: 公众号回复"app渗透"获取安装包 3、两 个APK拉到模拟器先安装xpose 安装完之后发现未激活,排了下坑,最后发现这个原因是我的安卓版本高于5.0 4、导入JustTrustMe模块 5、设置代理 PS:这里要和BURP里的代理一致,要使用本机IP不要
Burpsuite教程(四)安卓模拟器APP突破SSL Pinning抓包
慢就是快
04-02 1270
文章目录1.背景 1.背景 前面写了这种app基础抓包文章 Burpsuite教程(三)安卓模拟器下APK抓包测试基础版 若无效可参考本文,
Xposed离线完整+JustTrustMe.rar
09-26
JustTrustMe则是一个Xposed模块,专门用于绕过应用的安全检测,通常用于测试和开发目的,而不是常规用户日常使用Xposed框架的核心原理是利用Android系统的Zygote进程在启动时注入代码,使得所有基于该Zygote进程...
xposed模块和JustTrustMe.zip
04-16
Xposed框架与JustTrustMe模块详解》 Xposed框架是Android系统中的一款革命性工具,它通过修改系统运行时的框架服务,使得用户无需root权限就能实现对系统的深度定制和扩展。配合各种模块,Xposed可以实现诸多功能...
Xposed+JustTrustMe相关.rar
07-17
使用Xposed框架和JustTrustMe模块需要一定的技术基础,包括但不限于了解Android系统架构、熟悉Java编程语言以及掌握如何刷入和管理root权限。安装前,用户需要确保设备已解锁并安装了支持的 Recovery,如TWRP。然后...
XposedInstaller_3.1.5__JustTrustMe.rar
06-19
XposedInstaller_3.1.5__JustTrustMe.rar:Android系统自定义与安全增强的探索》 在Android世界中,Xposed框架是开发者和高级用户进行系统级自定义和功能扩展的重要工具。XposedInstaller_3.1.5__JustTrustMe.rar...
HBuilderX 连接电脑的模拟器问题
weixin_30851867的博客
09-14 708
首先你是尝试了很多次都没有在HBuilderX检测到电脑里面的模拟器 重启动也没有用的情况下: 你可以这样 :点击 运行==》运行到手机或模拟器(N)==>Android模拟器端口设置(P) 根据下面的手机模拟器修改 其中:******就是模拟器的端口号。 夜神模拟器端口号:62001 海马模拟器端口号:26944 逍遥模拟器端口号:21503 MuMu模拟器端口号...
安卓7.0以上抓HTTPS包的工具
风华浪浪的博客
05-07 1666
一、背景 爬虫抓包时经常遇到https的包,此时装了证书仍然无法抓到https的包,出现了此等错误unknown、Tunnel to ,网上各种都是一大抄,没有场景,没有原因。上去就是干。 原因是安卓7.0以后,不让随便抓包了:https://developer.android.com/training/articles/security-config.html 二、解决方案 使用 VirtualXposed+JustTrustMe 来绕过SSL验证,来实现抓包需求 Xposed是一个框架,它可以改变系统和
https 报文新方案 -Magisk+LSPosed,来试试吧
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-17 762
关于如何抓取Android端https报文,在之前一篇文章中有介绍可以通过VitualXposed+JustTrustMe模块禁用SSL验证,这样可以抓取https,还是有一些同学反馈以下的一些问题: App在低版本的Android上不兼容,需要用高版本的Android系统
xposed+justTrustMe在逍遥模拟器上的安装配置
qq_39138295的博客
12-17 2326
下载xposed框架 下载网址:https://xposed.appkg.com/nav 模拟器中安装即可,安装成功之后重启一下。 justTrustMe安装 下载链接:https://github.com/Fuzion24/JustTrustMe/releases 打开xposed之后,找到模块选项,选中即可。 重启模拟器,ok。 ...
android hook 应用流量,wooyun_articles/Android.Hook框架xposed篇(Http流量监控).html at master · jiji262/wooyun_ar...
weixin_35792271的博客
05-31 310
Android.Hook框架xposed篇(Http流量监控) - 瘦蛟舞原文地址:http://drops.wooyun.org/tips/7488官方教程:https://github.com/rovo89/XposedBridge/wiki/Development-tutorial官网:http://repo.xposed.info/module/de.robv.android.xposed...
安卓手机抓包实战
小关同学的博客
04-09 2323
最近因为要做一个项目,所以需要对手机给家电发送的请求进行抓取,于是上网找了许多教程,但都不怎么理想,最终经过两个晚上的艰辛奋斗,终于让我找到了方法抓取到了手机发送的请求,写一篇博客记录一下这个过程。 一.下载Fiddler 下载Fiddler这一步我就不说了,网上都有教程的 二.使用Fiddler 首先我们的Fiddler所在的电脑和手机必须处在同一个局域网内(即连着同一个WiFi,在同一个路由器下)。 在cmd窗口使用ipconfig指令查询自己电脑的IP地址,如下图: 打开fiddler后
android模拟器上https抓包
Aislli的博客
02-12 3747
通过 xposed+charles 在 android 设备上进行 https 抓包
burp+逍遥模拟器 app抓包 (导入证书到系统的解决方案)
weixin_43910861的博客
03-30 2万+
1.前言 以前抓包,只要将证书直接导入至用户,就能愉快得抓取https的请求,忽然有一天,就用不了,很奇怪,抓包软件显示 Client SSL handshake failed: An unknown issue occurred processing the certificate (certificate_unknown) 原因是Android7.0 之后默认不信任用户添加到系统的CA证书,知道了原因,解决起来就很简单了。 2.模拟器和burp 打开代理(这一块大部分教程都相似,所以略讲) 2.1 bu
Charles+xposed抓包APP
05-22
使用Charles和Xposed抓包一个APP,可以按照以下步骤进行操作: 1. 首先需要在安卓设备上安装Charles和Xposed框架。 2. 在Xposed Installer中安装JustTrustMe模块,这个模块可以让我们绕过SSL证书验证。 3. 打开Charles,在菜单栏中选择“Proxy” -> “Proxy Settings”,记录下Proxy和Port。 4. 在安卓设备的WiFi设置中,将代理设置为手动,将上一步记录下的Proxy和Port填入。 5. 打开Xposed Installer,在模块中勾选JustTrustMe并重启设备。 6. 打开需要抓包APP,在Charles中会看到APP的请求和响应信息。 注意:抓包是一种违法行为,必须遵循法律法规。在进行抓包前,请确保你已取得了合法授权,并仅限于个人学习研究使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值