这是一个创建于 710 天前的主题,其中的信息可能已经有所发展或是发生改变。
我现在有一个第三方的 APP ,我现在使用 Charles 抓包工具,手机已经安装 Charles 的证书,此时我配置好之后,app 上的每一个请求 Charles 上都会有记录 但是 contents 里面全是乱码。这种情况 我查了一下资料说的是因为 APP 做了双向验证 所以 抓不聊 https 的包,想咨询一个广大 V 友,对于这个有什么解决方案吗?
 | 1 Tamamopoi 2023-11-01 17:34:31 +08:00 小黄鸟安装系统级证书可解。 但是需要 root/虚拟机,系统证书放在/system/etc/security/cacerts ,重启后小黄鸟就能抓 https 的包了。 |
 | 2 zh826256645 2023-11-01 17:36:38 +08:00  1 |
 | 3 cian 2023-11-01 17:37:14 +08:00 via Android 这个需要逆向或者 decode 证书 |
 | 4 libook 2023-11-01 17:42:45 +08:00 也可能做了二次加密,先对数据加密,然后再扔给 HTTPS 二次加密传输,这种你用 HTTPS 证书抓出来的就是第一次加密的数据,要想解密得逆向 app 程序,找到密钥和加密算法,如果此时 app 还做了安全加固,就更难了。 |
 | 5 CEBBCAT 2023-11-01 17:44:47 +08:00 一楼说的不一定对,你现在能抓到 path 、header 吗?可以的话那说明 body 用了应用自定义的加密方式 |
 | 6 lxxzml 2023-11-01 17:58:03 +08:00 我也有个 app 抓包都抓不到。小米平 3 ,已 root ,安卓 7 系统,xposed ,justtrustme,justtrustme++都安装了,charles 里面连请求都看不到。但是 app 里面请求都成功了。可能是 sslping 的问题导致的。 |
 | 8 Puteulanus 2023-11-01 18:00:57 +08:00 能看到请求应该不是双向证书验证吧,更像二次加密 |
 | 9 blunterry 2023-11-01 19:20:26 +08:00 微信网页版不让登录,但是客户端可以登录,是不是因为网页版存在安全漏洞,跟客户端用的不是同一个后端 api ? |
| 10 cian 2023-11-01 19:27:35 +08:00 via Android 逆向过很多 app ,有这方面的需求可以找我 |
 | 11 chairuosen 2023-11-01 19:39:25 +08:00 也可能是类似 protobuf 的二进制序列化叙述 |
 | 14 wangyongbo 2023-11-01 19:56:25 +08:00 @lxxzml 可能是这个 APP 不使用 系统代理。 |
 | 16 guanbeilang 2023-11-01 20:42:19 +08:00 第一步:首先明确:是否已经可以正常抓 https 的包,如果不能,可能是根证书的安装、信任步骤没有完成 检查方法是:打开浏览器,看一下 https 的网站打开后 Charles 中能不能看到内容。 [小概率是这个情况] 第二步打开 App 看内容如果是加密的,有可能 App 本身对流量进行了加密(你可以抓一下微信的包试试看) [很大概率是这个情况] 除了主动的加密,App 为了避免被抓包,可以使用 ssl pinning 方法来保护自身,现象类似断网的状态(根据 App 自身的设计,始终加载中或提示网络错误或者假死都有可能) |
 | 17 BaiLinfeng 2023-11-02 02:48:30 +08:00 via Android @Tamamopoi 小程序也可以? |
 | 18 fenglirookie OP @Puteulanus 能看到请求,但是请求的 contents 里面全是乱码,这种是不是就要逆向 APP 拿到解密算法呀? |
| 19 fenglirookie OP @zh826256645 看了 写的很详细,但是我主营业能力是 Javascript 所以 其实没看懂 |
| 20 fenglirookie OP @Tamamopoi 小黄鸟是什么? |
| 21 fenglirookie OP |
 | 22 2j0a3Lwf7E7muKp5 2023-11-02 10:28:24 +08:00 是乱码,说明 APP 进行了加密 |
| 23 fenglirookie OP @liaoyuan6666 那就是要反编译 解密 APP 了哇? |
| 25 lxxzml 2023-11-02 11:09:42 +08:00 @wangyongbo 不是,有的请求能抓到,有的请求抓不到,只能看到给 umeng 发的打点日志。 |
| 27 Puteulanus 2023-11-02 13:02:17 +08:00 @fenglirookie 应该是要 |
| 28 fenglirookie OP @Puteulanus 好的 谢谢啦 |
 | 29 liuidetmks 2023-11-02 13:53:05 +08:00 国内环境这么恶劣,加密,sslpin 是基操了 |
 | 30 xchaoinfo 2023-11-02 17:23:03 +08:00 可以给个 app 下载链接,我手上有配置好的抓包设备。 |
| 31 fenglirookie OP |
| 32 xchaoinfo 2023-11-08 11:02:04 +08:00 @fenglirookie 是第三方的服务开启了 SSL 的验证,但是该 app 本身登录等动作没有验证 ``` POST https://xxxxx/app/newUser/login HTTP/1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 424 Host: xxxxx Connection: Keep-Alive Accept-Encoding: gzip User-Agent: okhttp/4.7.2 URLEncoded form mtoken: 60be9c45fxxxxx deviceStr: 46bd7fc2c08c8fab201b1f67fxxxxxx downloadSrc: yingyongbao android_version: 30 manufacturer: 21091116AC cpu_abi: arm64-v8a nickname: 爱美的臭 xxx oaid: d1f5b8b7f32c9xxx aaid: 1b8ad251-e54d-465b-92dc-2a58a9xxxx vaid: d2d3d1c763exxx device: 3 version: 11015 apkVersion: 11.0.1.5 isEnglish: 0 requestTimestamp: 1699411604769 key: b08bcf1a3bfe676e338946e864xxxxx ``` |
| 33 fenglirookie OP @xchaoinfo 你这是用什么抓的哟 |
Select Language