总结一次对app分析实战
目录解决SSL-Pinning
当开开心心的打开charles抓包分析时,咦,网络异常,难到这app还能检测代理,通过向师傅请教发现可以使用postern+charles来抓包,一通操作之后发现还是不行...
在网上查找资料发现了SSL-Pinning这个技术
开发者预先把证书相关信息预置到App中再打包,这样在https通讯过程中App本地可以与服务器返回的CA证书可以做合法性校验,如果发现不一致,那么可能就是由于中间人攻击(比如Fiddler/Charles抓包工具),App客户端可以终止https链接。而在新版本的系统规则中,应用只信任系统默认预置的CA证书,如果是第三方安装的证书(比如Fiddler安装的)则不会信任:
Charles证书安装到系统默认预置的CA证书区域中
此种办法前提是需要root权限,自己Pixel2已经root,可以试一试,可是怎么把用户证书导入到系统证书呢
参考:https://blog.csdn.net/fjh1997/article/details/106756012
使用magisk的一些模块,模块是magisk的Move Certificates模块。
在这里下载:https://github.com/Magisk-Modules-Repo/movecert
下载成zip之后直接用这个FoxMagiskModuleManager(https://github.com/Fox2Code/FoxMagiskModuleManager)安装即可
黑屏好几次拔掉数据线才安装上。
重启手机之后,可以看见用户证书到系统上了。然后再使用postern+charles来抓包
貌似不用postern也可以了,反正代理都时系统的了。
需要ssr的软件,手机开着ssr怎么抓包呢
暂时没解决,开着代理就抓不到包,关闭代理切换postern,在开代理试试,也不行