请问用Charles抓包，有的app无法抓包求解

hj170520

比我我最近想抓我们学校的app，然后提示网络连接失败。
但是我同样的电脑+手机，抓微信、QQ都正常，为什么学校的app就提示网络连接失败。


最近学校换了疫情签到的方式，以前签到链接都在公网上，现在加密了，存在了后台。安全性增加了，想着破解了一劳永逸。

baoqi

可以尝试使用低版本安卓 安装证书后抓包 电脑上fd也行 记得安装证书证书证书 低版本 低版本低版本

baoqi

baoqi 发表于 2020-10-28 00:26
可以尝试使用低版本安卓 安装证书后抓包 电脑上fd也行 记得安装证书证书证书 低版本 低版本低版本

还有一个办法 上np管理器 有个去除代{过}{滤}理检测功能 可以试一下 检测到代{过}{滤}理了 XP框架好像也可以来着

累lei累

app发布的时候把服务器的证书信息“绑定“在APP端，然后建立连接时使用预先内置的绑定信息进行服务器证书校验,同时使用足够的代码加密或混淆，这种办法就是SSL pinning，如果证书校验失败，则无法获取服务器端返回信息，所以就会出现提示网络连接失败的情况

累lei累

baoqi 发表于 2020-10-28 00:29
还有一个办法 上np管理器 有个去除代{过}{滤}理检测功能 可以试一下 检测到代{过}{滤}理了 XP框架好像也 ...

解决方法：安装Xposed框架 + JustTruestMe组件
Xposed是一个框架，它可以改变系统和应用程序的行为，而不接触任何APK。它支持很多模块，每个模块可以用来帮助实现不同的功能。JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook，从而绕过证书检查。

累lei累

累lei累 发表于 2020-10-28 08:25
解决方法：安装Xposed框架 + JustTruestMe组件
Xposed是一个框架，它可以改变系统和应用程序的行为，而 ...

哎呀，想回复楼主的，回复错了，不好意思

累lei累

累lei累 发表于 2020-10-28 08:25
解决方法：安装Xposed框架 + JustTruestMe组件
Xposed是一个框架，它可以改变系统和应用程序的行为，而 ...

如果手机没有root也不想root可以在模拟器上面配置抓包

Nemoris丶

不需要root。只需要安装chars的证书，然后设置中开启https抓包就行了

feiyu361

建议用一下wireshark,试一下,这个贼强,一般人我不告诉他

tanghengvip

方法1，先用模拟器或老安卓机(7.0以下系统的)安装App，尝试抓包，如果可以直接抓 就是SSL Pinning问题；（操作难度1颗星）
方法2，如果设备方便root，可以用xposed框架 + justtrustme v4版本  ，如果可以抓 就是SSL Pinning问题；（操作难度4颗星）
方法3，如果设备不方便root或嫌麻烦，可以用 太极框架 +justtrustme v4版本，把目标App内添加到太极内，启用justtrustme模块，如果可以抓 就是SSL Pinning问题；（操作难度2颗星）
如果以上方法都不行，就不是SSL Pinning问题；大概率是App做了防抓包的处理，但我估计你那个App应该没这么“安全”。
或者你把Apk发出来，我这边有现成的抓包环境 可以帮你快速试一试。