Android charles https抓包——剑指封喉

于 2024-03-23 13:59:45 发布
阅读量205 收藏
点赞数
文章标签: android https 网络协议
原文链接:https://juejin.cn/post/7308948084426686502
版权

写在前面

我们在使用charles抓包是经常遇到无法查看到https数据请求的内容,这是因为https使用到了证书对数据内容做了加密,我们只有使用中间人攻击的方式,往Android设备上安装我们自己的证书,才能对https请求中的数据做解密。然而,自Android 7.0以后,已经是无法通过常规手段,来让Android系统安装上我们的根证书。在此,将会介绍一种能够突破这类限制的方法,让我们能够在高版本的Android系统上轻松实现抓包自由。亲测Android 13有效。

准备环境

  • macos系统。
  • 可root设备,推荐用Pixel或者小米。
  • Magisk。

本文描述的内容都是在macos上来操作,使用Magisk对Android设备实现root,具体的root流程可自行谷歌搜索,这里就不详细描述。

生成证书

  1. 打开charles软件,并保存证书,Help->SSL Proxying -> Save Charles Root Certificate。下载完本地会存在一个.pem文件,如下图。

  1. macos上安装好openssl(好像现在系统默认都是自带这个命令的),打开终端,输入命令:openssl x509 -subject_hash_old -in xxx.pem,其中xxx.pem为1中保存下来到本地的.pem文件。输入上面命令后可以看到一个八位的十六进制数字,如下图。

  1. xxx.pem文件改名为xxx.0,其中xxx为2中输入命令后得到的八位十六进制数字,如:17c22b75.0

安装证书

如何将charles证书文件安装到设备上,将是全文的核心。在Android 8.0设备上root设备只需要将上面生成的xxx.0文件直接拷贝到/system/etc/security/cacerts目录下即可导入成功。但是在再高版本的系统上,即使是获取了root权限,也难以修改系统分区文件属性来进行读写。经常会出现一下错误提示:

  • Read-only file system
  • mount: ‘/system’ not in /proc/mounts
  • 等等。

总之,就是已经很难直接将证书文件直接拷贝到系统目录下了,在此我们将利用Magisk来实现证书导入。

Magisk证书导入

  1. 创建Magisk模块,具体模块下载连接,提取码gym6,模块目录结构如下图:

  1. 将上面生成的证书拷贝到system/etc/security/cacerts/目录下。
  2. 将所有文件压缩成个zip包,注意,zip压缩包中customize.sh,META-INF等这些文件是处于根目录。
  3. 将zip包拷贝到手机sd卡下,一般是拷贝到/sdcard/Download/目录,如下图。

  1. 打开Magisk,“模块” -> “从本地安装”,选择上面制作成功的zip包,确认安装,分别如下图。

  1. 进入system/etc/security/cacerts/目录确认charles证书顺利安装。

设置代理

  1. macos上打开charles软件,Proxy-> Proxy Settings,进入设置代理端口,默认设置8888,如下图。

  1. 开启https请求抓包,Proxy-> SSL Proxying Settings,开启SSL Proxying,如下图配置。

  1. 手机与macos电脑连上同个wifi,手机打开wifi高级设置,代理改为“手动”,代理主机名为:macos电脑内网ip,代理端口为:8888(与1中设置的端口一致)。

开干

至此,我们将能够实现https网络请求抓包,如下图:

作者:风铃Cipher
链接:https://juejin.cn/post/7308948084426686502
来源:稀土掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

yan_chenglong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Charles抓取安卓应用https包演示
专注于输出具有实用价值的软件运维经验及教程
06-20 342
Charles抓取安卓应用https包演示,内附关键步骤。
Charles抓包Https请求显示Unknown解决方案.pdf
06-18
Charles抓包Https请求显示Unknown解决方案
安卓APP抓包解决方案(教程)
Python_0011的博客
10-18 4747
kaliwindowsburpsuite夜神模拟器 Android7.0以上 版本V7.0.2.2000Charlespostern下载地址: Charles是一款非常强大的HTTP抓包工具,通过对该软件的设置让其成为系统网络访问服务器,即所有的网络访问都要通过该软件来完成,这样它就可以轻松获得所有HTTP、HTTPS的数据封包,监视所有的流量包括所有的浏览器和应用进程,方便开发人员查看计算机与Internet之间的所有通信。Charles下载后有30天免费使用权限,过了之后可以选择重新下载或者购买,未激活
charles手机证书https
08-13
一个charles在手机上的证书,使其支持https,在安卓系统和ios上均可以使用
Android手机使用charleshttps请求
3年2班的博客
07-10 1729
抓http请求,手机和电脑用同一个网。 使用charles中这个功能,手机网络高级选项中Ip地址写自己电脑弹出的提示框中地址 端口写这里面对应的值。没改的话,默认好像都是8888。这两个配好,就可以抓http请求了 抓https请求,点击charles-->help-->ssl proxying-->install on mobile/save... install on mobile直接下载到手机上,但是只有pem格式,有的手机好像安装不了。 save..先下载
Android手机如何用Charles抓包HTTPS接口
Gamin
11-22 3981
Charles的安装和使用,这里就不重复介绍了,之前有介绍。本文重点介绍在Android手机上如何配置抓包环境。
Charles抓取Android设备HTTPS
殇神马的博客
06-27 3776
一、前言 作为一个移动应用开发者,我们在平时的应用开发过程中,除了UI界面的相关编码之外,做的最多的编码工作就是和服务端程序员进行接口的联调;当然在接口联调的过程中,往往会出现接口调试不通的情况,可能是我们确实没有按照接口文档的要求来进行接口请求,如没有按照指定的请求方式Post/Get,请求头Header,Content-Type,或者请求参数等来进行正确的接口请求 ,当然也有可能是服务端程序本身的问题,为了快速定位我们请求是否是有问题,我们可以通过一些抓包工具Wireshare、Charles等来对我们
Charles抓包httpsAndroid手机上
androider_yxs的专栏
03-19 2390
测试手机:小米note8pro,miui 10 首先在mac上需要安装charles证书 点击添加 然后在证书的列表里找到Charles Proxy开头的证书,然后双击,选择始终信任 mac端设置好了,接下来安装手机上的证书,这里非常重要的一点,一定不要从手机浏览器里下载证书,要把charles证书导出来,然后传输到手机的某个文件夹里(记住路径) 导出需要设置密码,设简单...
android TV端Charles抓包https证书配置
03-27
android TV端Charles抓包https证书配置
移动端代理抓包工具charles4.2.5
07-08
charles4.2.5可以简单配置,进行http和SSL代理,实现对移动端的网络请求监控,特别适合移动端的开发和测试人员使用
charles http/https抓包设置
01-24
详细介绍charlse设置,如何在ios/android设置https证书
安卓手机/pad用Charles抓包https(mac版超详细教程)
热门推荐
weixin_43500974的博客
03-31 1万+
此时会启动“钥匙串访问”APP,并找到刚开安装好的证书,证书名字:Charles Proxy CA,找不到的可以搜索框搜下。选择OK,弹框提示内容里写了怎么在手机上使用charles代理,接下来我们就按照步骤来操作。这个链接下载证书包,然后修改后缀 将.pem的后缀改为.crt,发送到手机上安装;这时再次单击我们重命名的文件,按提示给证书取个名字,安装成功。我们选中下载好的文件,点击更多-任务详情,去文件管理中找到它。更改为始终信任,并关闭窗口输入密码保存。直接点击,却提示“无法打开文件”,怎么办?
Android 7.0以上高版本,使用Charles抓取HTTPS数据
"技术宅张毅的博客°
02-21 3993
Android 7.0高版本,使用Charles抓取HTTPS数据包 Android 8.0高版本,使用Charles抓取HTTPS数据包 Android 9.0高版本,使用Charles抓取HTTPS数据包 Android 10 高版本,使用Charles抓取HTTPS数据包 Android 11 高版本,使用Charles抓取HTTPS数据包 Charles 、JustTrustMe 、VirtualXposed Android 高版本免root,抓取https请求SSL数据
Android Charles抓包 3分钟手把手图文教程 支持https 7.0以上系统 fidder
深南大盗的博客
01-25 1278
Charles抓包 https://blog.csdn.net/c10WTiybQ1Ye3/article/details/109733079 https://www.jianshu.com/p/1338c9f5305e 01.下载安装软件charles 下载地址(下载对应的平台软件即可) https://www.charlesproxy.com/download/ 下载破解文件 https://assets.examplecode.cn/file/charles.jar ..
安卓9系统Charles配置socket方式抓包httpsSSL证书移动
zxc979647835的专栏
10-01 6073
开箱即食教程,适用于高低版本安卓手机,以socket的方式使用Charles抓包,绕过大部分防抓包检测,帮助逆向人员快速分析。
Android 7.0以上charles无法抓取部分https包问题
jie_0754的博客
02-20 775
AndroidManifest.xml文件的中添加android:networkSecurityConfig=“@xml/network_security_config”在res文件夹中创建xml文件夹保存配置文件,创建network_security_config.xml。手机通过访问chls.pro/ssl下载.pem证书,如无法安装,在文件管理器中将后缀名改为.crt。network_security_config.xml内容。以上基本配置结束后,看下代码。
安卓7.0及以上版本抓包https问题
流柯软件测试
07-03 3276
文章目录现象原因解决办法webview抓包失败警告 现象 android7.0以上的手机https抓包失败(安装了https证书也不行) 原因 android7.0+的版本新增了证书验证(系统证书) 解决办法 前提:在手机端和电脑端都必须安装https的安全证书 配置:打测试包时,项目设置默认信任所有证书(系统+用户) 1.在工程res-xml目录中创建一个名为 network_security_config.xml的文件,文件内容如下: <network-security-config>
android 7.0以上 https使用charles抓包 提示 unknow 解决方案
骑猪也能看夕阳
07-04 4419
关于android7.0以上https抓包问题,在charles都配置好的情况下依然提示unknow,解决方案如下
mumu模拟器 charles https抓包
最新发布
04-11
以下是在mumu模拟器上使用Charles进行HTTPS抓包的步骤[^1]: 1. 首先,确保你已经在mumu模拟器上安装了Charles抓包工具,并且Charles已经启动。 2. 在mumu模拟器中打开设置,找到Wi-Fi设置。 3. 长按你当前连接的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值