zoukankan      html  css  js  c++  java
  • 【破解APP抓包限制】Xposed+JustTrustMe关闭SSL证书验证!

    转载:https://www.jianshu.com/p/310d930dd62f

    1 前言

    这篇文章主要想解决的问题是,在对安卓手机APP抓包时,出现的HTTPS报文通过MITM代理后证书不被信任的问题。(工作中在抓取12306请求时就遇到了这个问题)

    之前的推送讲过,通常要抓取HTTPS加密的数据包,一般使用Charles或者Fiddler4代理HTTP请求,配置证书信任后,便可拿到明文报文。但是由于Charles证书和Fiddler证书并非证书机构颁发的目标站点的合法证书,所以会不被信任。同样的道理,之前说过的神器Packet Capture也存在该问题。

    对使用Charles等工具进行中间人代理抓取HTTPS请求不会的请看之前的推送:

    阅读下文来解决这个问题。


    2 解决方案

    要解决这个问题要使用的工具是:Xposed+JustTrustMe

    (安卓手机需要Root,该方法有手机变砖风险,建议在模拟器下操作)

    XposedInstaller(xposed框架)是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。

    JustTrustMe是Github上的一个开源工程,他是一个Xposed模块,用来禁止SSL证书验证。以下是其简介。

    JustTrustMe:An xposed module that disables SSL certificate checking. This is useful for auditing an appplication which does certificate pinning.

    Xposed安装器下载地址

    安卓5.0版本以下下载地址:https://pan.baidu.com/s/1dEToAvJ 密码:uiu8

    安卓5.0版本以上下载地址:https://files.cnblogs.com/files/pingming/xposedinstaller.apk

    JustTrustMe Relese版本下载地址:https://files.cnblogs.com/files/pingming/JustTrustMe.apk    github:https://github.com/Fuzion24/JustTrustMe/releases

    以下是安装步骤:

    1  安装Xposed安装器

     
     

    2  安装Xposed框架

     
     
     
     

    安装过程需要Root权限,完成后重启。

    3  安装JustTrustMe

    4  安装完成后打开模块选项

     
     

    勾选JustTrustMe,重启即可。

    至此,完成配置,再加上之前的Charles或者Fiddler4的HTTPS配置,就能抓取HTTPS请求了。


    3 最后

    最后再强调一次,安装Xposed是有风险的,请尽量在模拟器中操作。

    文中的Xposed下载链接主要是针对于安卓5.0以下的机器,是在夜神模拟器安卓4.4版本测试通过,其他版本使用大同小异,请自行查找合适版本安装使用。

  • 相关阅读:
    根据IP地址查找MAC地址
    MongoDB导入导出以及数据库备份
    本地mongodb数据库导出到远程数据库中
    datatable自动增加序号
    IDEA出现无法加载主类
    远程连接本地mongodb 数据库
    js将后台传入得时间格式化
    Java蓝桥杯--基础练习 (6)回文数
    Java蓝桥杯--基础练习(5)杨辉三角形
    Java蓝桥杯--基础练习(4)查找整数
  • 原文地址:https://www.cnblogs.com/pingming/p/10846068.html
Copyright © 2011-2022 走看看