关于APP抓包问题，如何区分APP的服务接口地址

fengyutongzhou

因工作需要把APP的连接地址提取出来，封掉，目的是不让使用该APP。我每次都是抓登录的包来确定APP连接的域名，这样一来封掉该域名肯定APP就无法登陆也就无法使用了，最近遇到一个APP，我在抓包时是通过环境逃逸方法来抓取流量包，绕过了APP内置代{过}{滤}理功能。用的Proxiffer+fiddler抓取夜神模拟器流量，准备好环境后一打开APP就显示疯狂连接好多个IP，并且都是30568端口，什么也没操作就自己连这些ip，我看了一下这些ip应该都是代{过}{滤}理池，而且在fiddler里看不到这些IP的HTTP请求包，有一条连接443端口的ip在fiddler里是截获到http报文的但是乱码（图片所示）。PRoxiffer还显示连接了一个dqw****68.oss-accelerate.aliyuncs.com阿里云的域名，不过在fiddler里没有截获下来http请求包，最后有2个问题
1.APP没看到DNS解析过程就自动连接了代{过}{滤}理池是怎么做到的。
2.当我进行登录操作时在Proxiffer里看不到有新的流量刷出来。那么我如何区分APP自己的服务器接口。

请求大佬帮助一下

holdtoday

建议你在模拟器里先试用浏览器访问一个https的网站，查看fiddle是否正常截获来自模拟器的https流量，从而验证fiddle证书在模拟器里正确安装。若验证正常，则怀疑app代码对网络代{过}{滤}理模式有检测，这种情况下，可以用两种方式来获取目标域名：1，apptool逆向转为java代码，从中提取url；2、在模拟器上安装流量监控类app，直接查看网络流量。

holdtoday

fengyutongzhou 发表于 2024-3-20 10:02
这APP肯定没那么简单，如果是证书不可用的话APP应该没有网络连接才对，我怀疑APP没用http协议所以抓取不 ...

如果你确认代理证书没问题，那么问题就是APP的安全策略，我在渗透测试过程中也遇到过抓包的问题，例如app使用了双向认证或SSL-pinning(证书绑定)，则由于证书验证不通过，则会中断网络连接，导致https通信无法建立。

fengyutongzhou

补充一点，模拟器里已经把系统安装到内置证书文件夹了，fiddler为什么有的包抓不到，抓到的还是乱码。

gugouo163

看你的截图，这个https包是doh 查询，是一种通过http请求来解析域名，DoH协议(DNS over HTTPS)

fengyutongzhou

gugouo163 发表于 2024-3-19 16:20
看你的截图，这个https包是doh 查询，是一种通过http请求来解析域名，DoH协议(DNS over HTTPS)

那是不是封了这个ip他就无法解析域名啦，就无法连接那些节点了吗

fengyutongzhou

holdtoday 发表于 2024-3-19 17:14
建议你在模拟器里先试用浏览器访问一个https的网站，查看fiddle是否正常截获来自模拟器的https流量，从而验 ...

这APP肯定没那么简单，如果是证书不可用的话APP应该没有网络连接才对，我怀疑APP没用http协议所以抓取不到。

myforaward

如果想知道域名 ，也可以自己搭一个 dns服务 ，然后手机dns改成你的dns地址，  就可以拦截到dns请求，获取到域名了

fengyutongzhou

holdtoday 发表于 2024-3-20 13:27
如果你确认代理证书没问题，那么问题就是APP的安全策略，我在渗透测试过程中也遇到过抓包的问题，例如app ...

我遇到的都是APP逃逸了HTTP协议，只看见他连接某个IP和域名但是抓包工具里不显示HTTP包

gugouo163

fengyutongzhou 发表于 2024-3-19 16:48
那是不是封了这个ip他就无法解析域名啦，就无法连接那些节点了吗

按道理是这么说，但是看样子这个内置了阿里云的httpdns 的sdk ，可不止一个IP
https://www.aliyun.com/product/httpdns