我就想问问现在安卓怎么 charles 抓 https 包,真愁人。

2019-09-30 14:03:06 +08:00
 owenliang

请各位指点一个最简单的方法,头疼。

21596 次点击
所在节点    Android
27 条回复
boy666
2019-09-30 14:06:17 +08:00
Root,把证书放在系统证书目录。
takeoffyoung
2019-09-30 14:08:03 +08:00
U2Fsd
2019-09-30 14:08:57 +08:00
Android 7.0 以下机型安装证书、设置代理即可抓包。

Android 7.0 以上的机型需要额外修改 APP 的网络安全性配置。

https://johnnyshieh.me/posts/android-7-capture-https-package/
muyi
2019-09-30 14:10:28 +08:00
安卓 7.0 及以上,可以试试 httpcanary
manhere
2019-09-30 14:13:44 +08:00
推荐 netkeeper
dinmshi001
2019-09-30 14:14:21 +08:00
@U2Fsd 正解
manhere
2019-09-30 14:15:15 +08:00
madNeal
2019-09-30 14:17:31 +08:00
安卓 9.0 那是不是就不能抓包了,那还咋做渗透测试
elarity
2019-09-30 14:18:22 +08:00
des
2019-09-30 14:19:48 +08:00
shily
2019-09-30 14:23:48 +08:00
@madNeal
1. 如果应用不验证签名,解包,按照 3 楼修改配置,重新打包签名即可。
2. 不再信任用户证书而已,root 后丢到系统目录即可。
thyrlian
2019-09-30 14:24:16 +08:00
kitalphaj
2019-09-30 14:29:35 +08:00
楼上的都没有抓住重点,最重要的是设置 WiFi 代理为手动,然后输入 Charles 的代理地址。
Buges
2019-09-30 14:41:10 +08:00
试过很多办法,root 手动安装系统证书,无效。magisk 模块 move certification 无效。xposed 模块什么 justtrustme,eris 等也无效。
只有 https://repo.xposed.info/module/com.virb3.trustmealready
能在高版本系统,无需修改 apk 的情况下抓到包(如果应用混淆过估计也不行)
但这玩意是全局禁用 ssl 验证,日常不能一直开,一直想找能强制信任用户证书方式,无果。
zhaojames077
2019-09-30 15:00:49 +08:00
@elarity #9 实测可用,感谢~
owenliang
2019-09-30 15:07:44 +08:00
感谢各位老哥。
azh7138m
2019-09-30 15:26:28 +08:00
@kitalphaj 这个大家都知道,楼主的问题是如何添加系统证书,现在需要 root 了,或者就是其他人说的,禁用证书检查
owenliang
2019-09-30 15:59:44 +08:00
对,就是 7.0 之后怎么抓,愁人。
jamev5
2019-09-30 16:23:40 +08:00
@owenliang #18 由于 target SDK 的限制,如果不是自己的 App 的话需要把这个 App 装到平行空间或者类似的应用里,然后用 HttpCanary 抓平行空间的包,亲测可用
hkitdog
2019-09-30 16:27:31 +08:00
@jamev5 加固的 apk 检测平行空间啊,一打开就闪退了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/605666

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX