请问用Charles抓包,有的app无法抓包求解
本帖最后由 hj170520 于 2020-10-30 13:40 编辑比我我最近想抓我们学校的app,然后提示网络连接失败。
但是我同样的电脑+手机,抓微信、QQ都正常,为什么学校的app就提示网络连接失败。
{:301_972:}
最近学校换了疫情签到的方式,以前签到链接都在公网上,现在加密了,存在了后台。安全性增加了,想着破解了一劳永逸。 可以尝试使用低版本安卓 安装证书后抓包 电脑上fd也行 记得安装证书证书证书 低版本 低版本低版本 baoqi 发表于 2020-10-28 00:26
可以尝试使用低版本安卓 安装证书后抓包 电脑上fd也行 记得安装证书证书证书 低版本 低版本低版本
还有一个办法 上np管理器 有个去除代{过}{滤}理检测功能 可以试一下 检测到代{过}{滤}理了 XP框架好像也可以来着 app发布的时候把服务器的证书信息“绑定“在APP端,然后建立连接时使用预先内置的绑定信息进行服务器证书校验,同时使用足够的代码加密或混淆,这种办法就是SSL pinning,如果证书校验失败,则无法获取服务器端返回信息,所以就会出现提示网络连接失败的情况 baoqi 发表于 2020-10-28 00:29
还有一个办法 上np管理器 有个去除代{过}{滤}理检测功能 可以试一下 检测到代{过}{滤}理了 XP框架好像也 ...
解决方法:安装Xposed框架 + JustTruestMe组件
Xposed是一个框架,它可以改变系统和应用程序的行为,而不接触任何APK。它支持很多模块,每个模块可以用来帮助实现不同的功能。JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook,从而绕过证书检查。 累lei累 发表于 2020-10-28 08:25
解决方法:安装Xposed框架 + JustTruestMe组件
Xposed是一个框架,它可以改变系统和应用程序的行为,而 ...
哎呀,想回复楼主的,回复错了,不好意思{:1_907:} 累lei累 发表于 2020-10-28 08:25
解决方法:安装Xposed框架 + JustTruestMe组件
Xposed是一个框架,它可以改变系统和应用程序的行为,而 ...
如果手机没有root也不想root可以在模拟器上面配置抓包 不需要root。只需要安装chars的证书,然后设置中开启https抓包就行了 建议用一下wireshark,试一下,这个贼强,一般人我不告诉他 本帖最后由 tanghengvip 于 2020-10-28 10:51 编辑
方法1,先用模拟器或老安卓机(7.0以下系统的)安装App,尝试抓包,如果可以直接抓 就是SSL Pinning问题;(操作难度1颗星)
方法2,如果设备方便root,可以用xposed框架 + justtrustme v4版本,如果可以抓 就是SSL Pinning问题;(操作难度4颗星)
方法3,如果设备不方便root或嫌麻烦,可以用 太极框架 +justtrustme v4版本,把目标App内添加到太极内,启用justtrustme模块,如果可以抓 就是SSL Pinning问题;(操作难度2颗星)
如果以上方法都不行,就不是SSL Pinning问题;大概率是App做了防抓包的处理,但我估计你那个App应该没这么“安全”。
或者你把Apk发出来,我这边有现成的抓包环境 可以帮你快速试一试。
页:
[1]
2