如何对 Android APP 抓取 HTTPS 包?

2022-03-22 16:37:02 +08:00
 LxnChan

现有一 APP ,采用 HTTPS 方式与服务器通讯,需要对该 APP 抓包获得接口。

但是现在问题如下:

因此想问问大家有什么别的好的方法吗?

17548 次点击
所在节点    Android
59 条回复
LxnChan
2022-03-22 17:59:47 +08:00
@bruce0 是 7.0
@ysc3839 #11 @mxalbert1996 #17 不能 root
@clf 考虑过,但我想作为最后的解决方案
@tsanie 草🤣,这就开始下载源码(
@mxT52CRuqR6o5 #19 虚拟定位稍后试一下
Jat001
2022-03-22 18:00:45 +08:00
试试这个,root 之后基本全自动了

https://github.com/httptoolkit/httptoolkit-android
ch2
2022-03-22 18:02:05 +08:00
->该应用无法安装在 x86 架构上
装个翻译插件就行了
LxnChan
2022-03-22 18:02:58 +08:00
@ch2 细说,试过 Android 模拟器的兼容模式会导致该 App 闪退
Zy143L
2022-03-22 18:47:04 +08:00
安卓 12 使用 Magisk 模块安装根证书
使用 Xposed 模块 JustTrustMe TrustMe 解除固定证书
noahhhh
2022-03-22 18:50:21 +08:00
Android 不是有很多虚拟机吗…太极应该也行吧
chanwang
2022-03-22 19:22:15 +08:00
电脑开热点抓手机的包不可以吗?抓包不是很简单嘛?当然我说抓的是手机的流量全部包了。还是说要解密数据?这个绕不开证书。抓包整个通讯路径上都可以尝试抓包吧?非要手机上自己抓?路由器上不可以?
xFrank
2022-03-22 19:59:39 +08:00
@mynuolr
已 root 的手机怎么加入系统证书?
skylancer
2022-03-22 20:11:29 +08:00
@chanwang 人家要看内容,你通讯路径抓了看个寂寞?
skylancer
2022-03-22 20:12:12 +08:00
[现有一 APP ,采用 HTTPS 方式与服务器通讯,需要对该 APP 抓包获得接口。]

我发现都是回贴不看贴的..
mxT52CRuqR6o5
2022-03-22 20:17:06 +08:00
如果 app 用了 ssl pinning ,你在那边折腾证书是没用的,这种情况下不 root 就得改 app 了,你说哪个更难操作(都能改 app 了还抓什么包呢)
theqiang
2022-03-22 20:18:07 +08:00
目前用 lsposed 插件 JustTrustMe/TrustMeAlready + HttpCanary + magiskhide 组合,但是有 root 方案了
imtianx
2022-03-22 21:00:00 +08:00
我记得使用 okhttp 可以自定义代理,这样抓包工具是抓不到的,但是如果连的 wifi ,在路由器上应该可以抓到,但是解密比较麻烦吧。
imtianx
2022-03-22 21:01:06 +08:00
还有 ,root 和 xposed 检测可以自己欺骗过去的
mxalbert1996
2022-03-22 21:06:54 +08:00
@LxnChan 不能 root 就放弃吧,你这个需求没 root 是不可能的。
wanf3ng
2022-03-22 21:14:55 +08:00
下个安卓模拟器,安卓版本选 4.4 (只要 7 以下就行,7 以下可以信任非系统证书)
jpyl0423
2022-03-22 21:14:58 +08:00
装个平行空间 apk ,然后就能用 charles/fiddler 抓包了
不过这个平行空间的版本有要求,好像是某个版本之下,具体不记得了可以搜一下。
0o0O0o0O0o
2022-03-22 21:26:33 +08:00
1. 用一些免 root 框架,如果被检测,先尝试各种公开的过检测的技巧和插件,再进一步则需要学习分析
2. 带有 ARM 转译的商业模拟器,或者干脆 arm 云真机,如果仍然被 APP 检测,那么可能也需要学习分析和过检测
3. 修改 APP ,重新打包 APK ,由于现在的应用多数有加固,比上述的大概还复杂一些,一般用于需要重新分发的场景,只是抓个包成本太高

总之,这方面的新手如果一定要给自己提前设下机型和免 root 的限制,那对于同等防护级别,要付出的努力也会更多。
cweijan
2022-03-22 22:06:46 +08:00
@mxT52CRuqR6o5 不是的,比如京东就没有 ssl pinning, 而是设置了只信任系统证书
LxnChan
2022-03-22 22:45:24 +08:00
@0o0O0o0O0o 倒是提醒我 arm 云真机的问题了,等下问问学校那边还有没有资源

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/842130

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX