电脑端证书安装(window版本)
安装根证书,由于生成的证书默认不受系统信任,所以安装时,选择 受信任的根证书颁发机构
启用SSL拦截
Proxy——>SSL proxy settings—->enable ssl proxy—->新建键值对,host空着,port填443,如图
· 手机端证书安装(android版本)
手机安装SSL证书,在HELP下面的 SSL Proxying,选择”Install Charles Root Certificate on a Mobile Device or remote Browser” (在移动设备或远程浏览器上安装SSL证书),
然后会看到一个弹窗,提示你该怎么操作
Configure your device to use charles as its HTTP proxy on 192.168.10.108.8888,then browse to chls.pro/ssl to download and install the certificate
大概的意思是让你把手机上的wifi信息设置了 HTTP代理,内容是192.168.10.108.8888;然后用手机浏览器访问:http://charlesproxy.com/getssl l就可以下载并安装证书了;
第三步:后面操作比IOS复杂,注意不同点,Andriod 的下载和安装是分开的。
使用手机UC浏览器访问:http://charlesproxy.com/getssl ,弹出下载提示,需要修改下载地址,否则默认地址安装时找不到
点击编辑按钮,选择一个路径,方便以后查找,之后点击确定,这样文件就下载到手机中了
安装:
在设置--选择安全与隐私--更多安全设置--从SD卡安装--点击VTR-AL00--排序方式选择:按修改日期,就能看到之前存储的文件夹,点击文件夹中能看到下载的包,之后点击安装包,填入证书的名称,点击确定证书就安装好了
之后再用户凭据就可以看到刚刚安装的证书了。
·游戏apk包抓包
首先查看游戏包的targetSdkVersion
目前游戏的配置是
需要游戏游戏包的证书认证,保证chales证书能够被使用
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <debug-overrides> <trust-anchors> <!-- Trust user added CAs while debuggable only --> <certificates src="user" /> </trust-anchors> </debug-overrides> </network-security-config>
最后抓包测试,以初始化为例子:
·VitualXposed框架+JustTrustMe模块(推荐)
VitualXposed介绍:
Use Xposed with a simple APP, without needing to root, unlock the bootloader, or flash a system image
官网下载地址:https://vxposed.com/
简单来说,VitualXposed可以在不需要设备root的情况下,修改App的行为。此应用的工作原理类似于应用分身功能,会将应用安装到一个虚拟独立的环境当中,其内部会自带一个已经激活了的Xposed工具。
JustTrustMe介绍:
An xposed module that disables SSL certificate checking for the purposes of auditing an app with cert pinning
JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证。
官方链接:https://github.com/Fuzion24/JustTrustMe
操作流程:
- 将VitualXposed安装到真机中,点击应用按钮->添加应用,将要调试的App、JustTrustMe.apk进行安装
- 打开Xposed,选择左上角导航栏->模块,勾选JustTrustMe
- 重启VitualXposed应用,打开贝壳找房,通过Fiddler抓包,可以看到App请求正常,https请求能抓到
完美,奈斯~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~