【爬虫】charles手机抓包环境设置(设置系统证书)

1.说明

想要对手机抓包,最关键的是需要设置好根证书,用户证书在安卓7.0之后就不受信任了,想要对手机app抓包,就需要把用户证书设置为系统证书(根证书)

注意,想要设置为根证书,你的安卓需要获取到root权限,但是root会有风险,很大app(如银行类app)都不能在已root的设备上运行,所以一般推荐使用模拟器操作,此处以雷电模拟器9和charles为例进行演示

2.charles设置

设置ssl抓包类型,菜单栏Proxy--SSL Proxy Settings,勾选"Enable SSL Proxying",新增一个类型,IP端口都设置为"*"(表示全部)

设置远程端口,菜单栏Proxy--Proxy Settings,Http Proxy这里设置一个端口号,例如8888,勾选下面两个传输类型

查看远程安装证书信息,点击菜单栏Help--SSL Proxying--Install Charles Root Certificate on a Mobile Device or Remote Browser,它弹出一个窗口,显示本机代理的IP端口(我这里是10.10.66.1:8888),以及证书下载URL(chls.pro/ssl

3.模拟器设置

打开模拟器的设置页面,找到root选项把它开启,大多数模拟器都支持root,都是在设置界面可以打开root开关,如果有写入设置也需要开启

打开系统设置,找到WLAN设置,然后把点击当前网络右上角的编辑按钮,把代理设置为Charles帮助信息显示的IP端口即可

4.设置用户证书

打开系统自带的浏览器,它会弹出证书不受信任的问题,不管它,一路点击"继续"知道不弹出提示。现在访问一下chls.pro/ssl,此时Charles那边应该会有一个确认按钮,确认之后模拟器就会下载证书,下载完完成之后点击安装,模拟器会提醒设置一个锁屏(图案或pin都可以),这时候就可以安装证书了,证书名可以随便写

5.设置系统证书

现在设置的是用户证书,在安卓7之后app是不信任用户证书的,所以我们还需要把它设置为系统证书,其实就是把这个证书文件复制到系统证书目录里就行

用户证书目录:/data/misc/user/0/cacerts-added/

系统证书目录:/system/etc/security/cacerts/

这个操作很容易,只要获取到root权限就行,你可以直接在文件管理器里把系统证书复制到用户证书的文件夹里,证书是一个.0结尾的文件,我这里是ca499da3.0,如果以前没有安装过用户证书,那用户证书文件夹里只有一个文件,很好找到的

如果你有adb,也可以使用adb的shell操作

shell 复制代码
adb devices
adb shell
su
mount -o remount,rw /system
cp /data/misc/user/0/cacerts-added/ca499da3.0 /system/etc/security/cacerts/

另外我们可以发现,其实证书文件的文件名就是一个哈希值,你也可以直接从charles导出证书,然后复制到安卓的证书文件夹里就行,但这种做法前提是你能使用openssl

首先,导出Charles证书文件(pem格式)

然后使用openssl生成哈希(证书文件名)

shell 复制代码
openssl x509 -subject_hash_old -in 证书文件路径

之后把Charles证书文件改名为哈希.0,最后使用adb把它push到对应的证书文件夹里即可

相关推荐
Red Red22 分钟前
网安基础知识|IDS入侵检测系统|IPS入侵防御系统|堡垒机|VPN|EDR|CC防御|云安全-VDC/VPC|安全服务
网络·笔记·学习·安全·web安全
2401_857610031 小时前
SpringBoot社团管理:安全与维护
spring boot·后端·安全
数据小爬虫@2 小时前
如何利用java爬虫获得淘宝商品评论
java·开发语言·爬虫
弗锐土豆3 小时前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
HackKong4 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享4 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
爱吃奶酪的松鼠丶4 小时前
Web安全之XSS攻击的防范
安全·web安全·xss
东莞梦幻网络科技软件开发公司4 小时前
开发体育赛事直播平台防止数据泄露的技术安全方案
经验分享·安全
vmlogin虚拟多登浏览器4 小时前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
澜世5 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全