charles&fiddler安卓手机安装系统级ca证书抓取https请求信息

已于 2022-05-23 13:55:07 修改
阅读量5.4k 收藏 34
点赞数 2
分类专栏: 数据采集 文章标签: 爬虫 ca证书 fiddler openssl 安卓
于 2020-12-29 17:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43900244/article/details/111909176
版权

文章目录

问题描述

使用charles或fiddler对手机进行app抓包时,对于https请求不能正确的截取请求信息,通过观察抓包软件仅能看到TLS管道建立或大量请求失败的记录。

问题分析

  1. charles或fiddler缺少正确、完整的ca证书,因此不能与client建立TLS连接。
  2. charles或fiddler安装在手机端的ca证书会被作为用户层面的信任凭据,而并非是系统层面的信任凭据。
  3. 安卓7以上只有系统级证书才能被信任,所以为了能正常抓包,需要把ca证书安装到系统证书下。

解决问题思路

  1. 从对应的抓包软件导出ca证书文件到本地(这里以charles为例)。
  2. openssl工具安装
  3. 使用openssl计算ca证书的哈希值,并且完成重命名操作。
  4. 把证书移动到安卓手机的/system/etc/security/cacerts/目录下。

开始

1、从charles端导出ca证书

  • 保存为charles.pem文件
    在这里插入图片描述

2、windows系统安装openssl

这里可以直接不安装,下一步骤直接使用linux服务器下自带的openssl

  1. 下载便捷版安装包http://slproweb.com/products/Win32OpenSSL.html
    在这里插入图片描述
    这里要注意下载64位还是32位,一直点下一步完成安装即可。
  2. 配置环境变量
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    至此安装完成!

3、使用openssl工具计算hash值

  1. 在刚才导出的.pem所在文件夹下进入控制台执行以下语句
    openssl x509 -inform PEM -subject_hash_old -in charles.pem
    在这里插入图片描述
    注意:红框中为计算得到的hash值
  2. 使用该hash值更改charles.pem名字为 ba7a3a6d.0(不同证书计算得到hash值不同,注意更换成自己计算得到的hash值)
  3. 把更名后的文件复制到安卓手机的/system/etc/security/cacerts/目录下
  4. 手机-》设置-》安全-》信任的凭据查看ca证书是否添加成功
    在这里插入图片描述
  5. 手机-》设置-》安全-》信任的凭据查看ca证书是否添加成功
    在这里插入图片描述
    在这里插入图片描述

2022/02/20更新
注:新版本的夜神模拟器拷贝证书进系统证书文件夹后需要对证书授权才可用
6.修改证书权限
证书拷贝进去后默认权限不被信任,因此需要对该证书增权

(1)使用adb connect 连接模拟器(连接端口每个模拟器不一样,详情百度)

(2)使用adb shell进入模拟器shell界面

(3)使用指令{mount -o remount,rw /system}来解除system文件夹不允许修改的限制

(4)使用{chmod 777 xxxx.0}(这里是9f3b5bd8.0)来对证书进行权限修改
在这里插入图片描述

总结

至此,再次操作手机APP便发现抓包软件能正确拦截https请求,获取想要的数据。

zf zZ
关注
  • 2
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
charlesFiddler 证书安装安卓根目录,解决安卓微信 7.0 版本以后安装证书也无法抓包问题,需要 root...
墨鱼菜鸡
07-11 5711
From:https://testerhome.com/topics/21956 OpenSSLhttps://slproweb.com/products/Win32OpenSSL.html 谷歌在安卓7.0修改了安全策略,安卓系统 大于7.0 时,应用不在信任用户安装证书文件。用户添加的 CA 证书不能再用于安全连接,对于 https 传...
抓包大全 通过Charles抓取Android的Https链接数据
qq_38363506的博客
02-20 8028
Android 实现抓取Https数据1.为啥要会抓包2.电脑手机同一局域网,设置手机手动代理。3.抓取HttpsCharles需要设置什么三目录 1.为啥要会抓包 a.当公司没有接口文档,但需要做接口测试的时候,需要通过代理工具,对接口进行抓取。 b.当开发上传图片时,不知道自己到底上传没上传,这时候就可以通过抓包来收集证据,避免后台甩锅。 2.电脑手机同一局域网,设置手机手动代理。 a.可通过Charles查看电脑IP地址,也可以通过命令行输入ipconfig查看IP地址 b.之后通过设置手机
Fiddler抓包之【 抓取https请求 】详解教程
热门推荐
m0_70618214的博客
03-16 2万+
抓包之前,先了解一下Fiddler。   Fiddler是一款免费且功能强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况,能够记录所有客户端和服务器间的http请求,支持监视、设置断点、甚至修改输入输出数据等功能。fiddler包含了一个强大的基于事件脚本的子系统,并且能够使用.net框架语言扩展。
【HarmonyOS NEXT】鸿蒙App开发抓包指导-以Charles工具为例
最新发布
wu1004019946的博客
06-12 1439
三、 PC端Charles导出证书,点击 Help--->SSL Proxying--->Install Charles Root Certificate on a Mobile Device or Remote Browser。点击 Help--->SSL Proxying--->Install Charles Root Certificate--->安装证书--->选择证书存储路径为:受信任的根证书颁发机构。1) 通过手机浏览器下载charles提供的网址下载证书,在浏览器下载之后要另存到下载目录。
Fiddler证书手机系统证书的计算及安装(android 7.0+)
芜湖~米汤来喽~
01-18 4122
Fiddler手机系统证书计算 使用fiddler手机进行app抓包时,对于https的加密请求信息截取不到,抓包软件仅能看到TLS管道建立或大量请求失败的记录,安卓7以上只有系统证书才能被信任,为了能正常抓包,需要把证书安装系统证书下(需要ROOT),没有ROOT的下载虚拟机也是可以的。
安卓手机暂时不想被charlesfiddler抓包如何设置,长期不抓包如何删除证书
晓飛的博客
05-21 7884
安卓手机,解除抓包操作、关闭或卸载抓包证书;暂时不想被charlesfiddler抓包如何设置,长期不抓包如何删除证书,这儿给您答案! 下一篇讲解如何关闭苹果手机iOS操作系统抓包功能或卸载苹果手机iOS系统的抓包证书
为何Android 7.0 以上CharlesFiddler无法抓取HTTPS包?
软测小生
09-14 7151
对于之前的文章:Fiddler安卓App抓包(逍遥模拟器APP)但是,升了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Charles 抓...
安卓手机使用FiddlerCharles无法抓到https协议的请求解决办法
树新风的博客
01-28 3960
Android7.0 之后默认不信任用户添加到系统CA证书,即使你的安卓手机安装了抓包工具生成的证书文件,安卓系统对这个证书也是不信任的,这就是导致无法抓到https协议请求的原因。 解决方案一: 最简单的办法就是换手机,换个iPhone手机(土豪请随意),或者换个安卓7.0系统以下版本的安卓手机。 解决方案二: 此方法需要手机获得root权限 将抓包软件的证书安装系统证书 系统证书目录:/...
抓包证书安装安卓7.0+手机
晦涩难董先生
05-05 1131
首先理解一下,这个不只是证书到浏览器,而是抓包证书安卓7.0+手机上的文章;还有一点区分,在浏览器上装的证书,只是让抓包工具可以抓取手机浏览器的包,而不是抓取手机app上的包;如果你的证书只是简单的在浏览器下进行安装,那么你的手机app是走不了代理网络的;因此,本章也就是继续,进行深一步的前期步骤!
fiddler抓不到android的包,Android 7.0 以上 CharlesFiddler 无法抓取 HTTPS 包的解决方式...
weixin_33099377的博客
05-28 706
最近升了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Charles 抓取 https 包时显示找不到证书,但是 Android 6.0 机型还是可以正常抓包。原因是因为从 Android 7.0 开始,默认的网络安全性配置修改了,具体请阅读官方文档网络安全性配置。问题原因Android 6.0(API 23)及更低版本应用的默认网络安全性配置如下:而...
fiddler如何清除证书? Fiddler https证书清除图文教程
10-01
通过以上步骤,FiddlerHTTPS证书就被成功地从你的系统中移除了。请注意,清除证书可能会导致之前依赖这些证书HTTPS连接出现问题,因此在进行此操作前,请确保你了解可能带来的影响。在调试完成后,如果需要重新...
Fiddler如何抓取手机APP数据包
09-21
标题中的“Fiddler如何抓取手机APP数据包”指的是使用Fiddler工具来捕获移动设备(如Android、iPhone或Windows Phone)上的应用程序产生的网络通信数据包。Fiddler是一款强大的HTTP协议调试代理服务器,它能够记录并...
Fiddler实现IOS手机抓取https报文1
08-08
设置fiddler(1)点击设置按钮(2)选中https菜单,选择trust,勾选capture Https(3)选中connections菜单,设置端口,勾选
fiddler抓取https请求设置
09-17
fiddler抓取https请求设置过程,解决了fiddler不能抓取https请求的问题
fiddler抓取https请求 数据乱码问题解决方案
04-27
NULL 博文链接:https://st4024589553.iteye.com/blog/2378674
APP加壳原理及常用脱壳方法介绍
weixin_43900244的博客
12-07 1万+
APP加壳原理及常用脱壳方法介绍 文章目录APP加壳原理及常用脱壳方法介绍前言1 加壳1.1 什么是加壳1.2 加壳作用1.3 加壳原理1.4 加壳后的利与弊1.5 如何辨别是否加壳2 脱壳2.1 脱壳原理2.2 常用脱壳软件2.2.1 反射大师2.3 脱壳后分析2.3.1 Dex2Java2.3.2 Dex2Smali3 总结 前言 目前针对移动应用市场上安卓APP被破解、反编译、盗版丛生的现象,很多APP开发人员已经意识到保护APP的重要性。而对于移动应用APP加密保护的问题,如何对DEX文件加密尤为重
微信小程序抓包反编译保姆教程
weixin_43900244的博客
01-26 7383
小程序数据采集方法调研 文章目录小程序数据采集方法调研1.基本采集流程2.采集流程2.1 抓包2.1.1 使用工具2.1.2 具体抓包流程2.2 wxapkg包获取2.2.1 wxapkg包获取背景介绍2.2.2 使用工具2.2.3 具体获取包流程2.3 wxapkg包反编译2.3.1 反编译背景介绍2.3.2 使用工具2.3.3 具体反编译流程2.4 微信开发者工具调试2.4.1 开发者工具调试背景2.4.2 使用工具2.4.3 具体调试流程2.5 总结 1.基本采集流程 一、模拟请求进行抓包 二、小程序
手机APP抓包问题总结及相关解决方案
weixin_43900244的博客
12-03 5995
关于App抓包你需要知道的这些事 文章目录关于App抓包你需要知道的这些事前言1 抓包工具的选择2 常见问题解决2.1 App正常运行,但是抓包工具中没有对应的请求记录2.1.1 UDP协议进行网络通信2.1.2 无代理模式2.2 App正常运行,但是抓包工具中对应的请求记录标记为失败2.3 App不能正常运行,报请求失败或网络错误2.3.1 单向认证(SSL pinning)2.3.2 双向认证3 总结 前言 本文主要用于介绍我们在常规App抓包过程中遇到的各种问题以及解决方案 1 抓包工具的选择 现阶段
fiddler如何抓取https请求
03-16
Fiddler可以通过设置代理来抓取HTTPS请求。具体步骤如下: 1. 打开Fiddler,点击菜单栏的Tools -> Options。 2. 在弹出的窗口中选择HTTPS选项卡,勾选“Capture HTTPS CONNECTs”和“Decrypt HTTPS traffic”。 3. 点击“Actions”按钮,选择“Export Root Certificate to Desktop”,将证书保存到桌面。 4. 安装证书。在Windows系统中,双击证书文件,选择“安装证书”,按照提示完成安装。 5. 设置代理。在需要抓取HTTPS请求的设备上,设置代理为Fiddler的IP地址和端口号(默认为127...1:8888)。 6. 打开浏览器或应用程序,访问HTTPS网站或发送HTTPS请求Fiddler会自动捕获并显示请求和响应的详细信息。 需要注意的是,抓取HTTPS请求会涉及到加密解密过程,可能会影响性能和安全性,建议仅在必要时使用。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值