转载:https://www.jianshu.com/p/310d930dd62fgit
1 前言
这篇文章主要想解决的问题是,在对安卓手机APP抓包时,出现的HTTPS报文经过MITM代理后证书不被信任的问题。(工做中在抓取12306请求时就遇到了这个问题)github
以前的推送讲过,一般要抓取HTTPS加密的数据包,通常使用Charles或者Fiddler4代理HTTP请求,配置证书信任后,即可拿到明文报文。可是因为Charles证书和Fiddler证书并不是证书机构颁发的目标站点的合法证书,因此会不被信任。一样的道理,以前说过的神器Packet Capture也存在该问题。app
对使用Charles等工具进行中间人代理抓取HTTPS请求不会的请看以前的推送:框架
阅读下文来解决这个问题。工具
2 解决方案
要解决这个问题要使用的工具是:Xposed+JustTrustMe测试
(安卓手机须要Root,该方法有手机变砖风险,建议在模拟器下操做)ui
XposedInstaller(xposed框架)是一款能够在不修改APK的状况下影响程序运行(修改系统)的框架服务,基于它能够制做出许多功能强大的模块,且在功能不冲突的状况下同时运做。加密
JustTrustMe是Github上的一个开源工程,他是一个Xposed模块,用来禁止SSL证书验证。如下是其简介。spa
JustTrustMe:An xposed module that disables SSL certificate checking. This is useful for auditing an appplication which does certificate pinning.代理
Xposed安装器下载地址
安卓5.0版本如下下载地址:https://pan.baidu.com/s/1dEToAvJ 密码:uiu8
安卓5.0版本以上下载地址:https://files.cnblogs.com/files/pingming/xposedinstaller.apk
JustTrustMe Relese版本下载地址:https://files.cnblogs.com/files/pingming/JustTrustMe.apk github:https://github.com/Fuzion24/JustTrustMe/releases
如下是安装步骤:
1 安装Xposed安装器
2 安装Xposed框架
安装过程须要Root权限,完成后重启。
3 安装JustTrustMe
4 安装完成后打开模块选项
勾选JustTrustMe,重启便可。
至此,完成配置,再加上以前的Charles或者Fiddler4的HTTPS配置,就能抓取HTTPS请求了。
3 最后
最后再强调一次,安装Xposed是有风险的,请尽可能在模拟器中操做。
文中的Xposed下载连接主要是针对于安卓5.0如下的机器,是在夜神模拟器安卓4.4版本测试经过,其余版本使用大同小异,请自行查找合适版本安装使用。