展开

关键词

手机APP(连接服务器)

charles-ssl-proxying-certificate_saved.pem改名为3a1074b3.0放到系统分区 放到systemetcsecuritycacerts 注意 但是呢,现在多数手机都很难root了 括我之前的锤子 M1L和很多常见品牌,比如小米、华为等,的最新手机如果真的可以root,那倒是容易此办去解决ssl pinning的问题 也可以直接移动证书 用户证书路径:datamiscuser0cacerts-added 系统证书路径:systemetcsecuritycacerts 傻瓜模式视我上面说的参考这里进行操作https:www.cnblogs.compythonywyp12682315.html二.用其他工具绕开 https校验实现https 确保了手机已root或越狱 Android:已root 确保后续可以安装Xposed等工具 iOS:已越狱 确保后续能安装Cydia等工具 再去用可以绕开禁止 SSL

58220

部分APP代理的原因及解决方

其实自己也很早就发现平时使用的支付宝等APP使用Fiddler 或 Charles这类代理软件默认情况下就取请求的,但使用Wireshark这类网卡软件可以看到这些APP的流量,而已这些流量也表明这些 APP使用的主要应用层协议仍然是HTTP(https),不过我们的代理工具却失效了。 代理原理为了弄明白为什么Fiddler 或 Charles对这些APP效,我们有必要先了解代理我原理(当然您不想了解也是完全可以的,直接看后面的实际操作就可以完成,原理分析什么的可以有兴趣随时回来看 前面说到了我们APP使用的HTTP客户端没有连接到代理服务器,导致我们的代理软件正常,那我们只要想办让客户端重新连接到代理服务器就好了(当然这一切都是以不修改客户端软件APP为前提的)方 做演示是因为这些APP比较常用,且的原因与笔者当前项目APP是类似的。?

25.2K149
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Charles 手机app

    Charles 手机app 使用场景: mac系统使用fiddler, 不知道其他朋友是否遇见过, 只能找替代工具.先去百度上搜索下载Charles 破解版, 选择Charles是4.2.7版本 Charles默认端口8888, 勾选Enable transparent HTTP proxying选项, App使用http协议的,PC端设置就结束了.如果app使用https, 那还需要设置ssl 进行匹配, 如果想取所有域名, 直接用* 即可,如果想取某个域名可以直接在host里写下具体的.第二步: PC端Charles安装https证书, 我已经添加信任了?? 直接allow, 你的pc端就开始手机了, https 尽在你掌握. 仿佛你拥有了神奇的力量. App的所有请求被你一览遗.

    1.6K21

    分析 | APP 不到怎么办?

    简单对遇到的 APP 不好的情况做个总结,篇幅较短只讲述方,没有实战。 单向认证的APP单向认证和双向认证•单向验证的情况是客户端校验证书,校验出错就访问•双向认证的情况是客户端校验证书的时候,服务端也要校验证书,有一端证书校验失败都访问数据。 •关闭代理服务器(fiddler等代理工具)•使用手机访问浏览器网页访问失败,确定代理失效•使用APP访问,正常访问确定 APP 不走代理访问网络处理方•更换不基于代理类型的工具(HTTP Analyzer 强制拦截转发代理检测的APP挂上代理之前APP访问正常,挂上代理之后APP使用显示网络出错等情况•代理检测(hook 代理检测的方)•证书检测(用 JustTrustMe )双向认证的APP双向认证的情况是客户端校验证书的时候 ,服务端也要校验证书,有一端证书校验失败都访问数据。

    1.9K40

    Fiddler2-只APP的请求

    前言fiddler手机app的请求,估计大部分都会,但是如何只来自app的请求呢?把来自pc的请求过滤掉,因为请求太多,这样会找不到重要的信息了。 四、APP上的HTTPS请求1.如果app都是http请求,是不需要安装证书,能直接到的,如果是https请求,这时候手机就需要下载证书了。 五、设置过滤1.手机上设置代理后,这时候fiddler上到的是pc和app所有的请求,如果pc上打开网址,会很多,这时候就需要开启过滤功能了。 ...from browsers only :只浏览器的请求...from non-browsers only :只非浏览器的请求...from remote clients only:只远程客户端请求 (注意:如果手机设置代理后,测玩之后记得恢复原样,要不然手机正常上网。)

    72070

    APP Https双向认证

    在一次测试中偶然遇到一个https双向认证的手机app(fiddler提示需要提供客户端证书),平时一梭子能搞定地姿势没有效果了,本着所有客户端发出的数据都是操控的想,决定搞一搞,非是采用什么方式的问题 很不巧,手机app被加壳了,基本上告别动态调试的方式。 ?在assets目录下发现了用于双向认证的证书库文件,如下:? 福尔摩斯:“当你排除了所有的不可能,论剩下的是什么,即使再不可能也一定是真相。” 还是失败,推测可能是证书信任或者服务端证书缺少的问题 ,将另一个bks库中的ca证书和server证书导出,导入到windows证书库中,成功: ?

    2.2K11

    渗透测试 APP流量通用

    这样就跟浏览器挂代理原理是一样的。 、注入流量(**模拟器有很多进程,其中有个进程是网络的进程**) 安卓模拟器大多是使用virtualbox的虚拟网卡进行的网络通信,那么,如果直接将模拟器的网络进程的所有流量代理到burpsite即可取流量 将Burp的CA证书文件复制到模拟器安装就可以了 2.4 取流量 配置之后,即可在proxifier中获取到模拟器内对应app的流量 这样模拟器的流量就全部走向Burp了 ? 实现微信登录数据 ??

    95620

    Fiddler取手机APP数据

    好吧,这时候我就拿到了IP地址和端口号了下面来对Android手机进行代理设置确定一下手机和PC是连接在同一个局域网中进入手机的设置->点击进入WLAN设置->选择连接到的线网,长按弹出选项框:如图所示 第四步:下载Fiddler的安全证书使用Android手机的浏览器打开:http:192.168.1.96:8888, 点FiddlerRoot certificate 然后安装证书,如图:接下来打开app 这样就取Android移动端的数据成功了,这个对于我们后面进行网络数据请求的调试有很大的帮助,我们可以通过这个方来判断我们请求网络是否成功!

    81010

    关于手机App的Https

    我喜欢用 Mitmproxy 来处理手机 App 之类的工作,本来用它来 Https 是很容易的一件事,只要设置好代理,浏览 mitm.it 按提示安装证书即可,可是当 Android 版本升级到 image.pngmumu网易 MuMu 使用起来很简单,不过你需要注意实际的时候,你需要设置模拟器的网络连接走相应的代理,设置的方是找到对应的网络连接「长按」即可:image.png网络连接因为我是用 Mitmproxy 来的,所以要安装的也是 Mitmproxy 的证书。 BTW:有一个 VirtualXposed 项目,需 root,使用起来更简单,值得关注。 image.pngXposedimage.pngJustTrustMe如果你认认真真从头看到尾,那么恭喜你,关于手机 App 的 Https ,你已经是专家了!

    9220

    App出现网络错误的解决办

    之前我刚开始学APP的时候经常用fiddler或者charles,配置好https及手机证书后发现有的app到,有的不行,不能APP基本会报一个错,叫”网络错误”。 所以就不到了。ssl-pinning: APP在开发时就将服务端证书一块打到客户端里。这样在HTTPS建立时与服务端返回的证书比对一致性,进而识别出中间人攻击后直接在客户端侧中止连接。 针对以上两张情况,目前都有解决办,先说第一种情况:换一个 Android 7 以下的手机(快捷方便,我就这么用的2333)用 Android 模拟器Root手机,将证书移到systemetcsecuritycacerts 下,目前已经有 APP(root-certificate-manager-root) 支持一键配置解apk,改配置文件,再重新打第二种情况:主要通过hook解决,因为平时没这种需求,所以不是很了解 ,只把网上已知的方记录下。

    4.2K10

    Fiddler对安卓App(逍遥模拟器APP)

    摘要:在做移动端app进行测试的时候,经常需要对APP进行,此文主要介绍使用Fiddler对安卓app进行APP是使用逍遥模拟器的APP,过程中参照慕课网视频教程,并使用慕课网APP进行。 当app再出现bug要定位时,需要去看具体的请求信息,进而确定异常,定位bug。 准备环境:WindowsAndroid 手机一台(此处使用逍遥模拟器 ,下载地址:http:www.xyaz.cn)目标APP的apk安装文件(此处使用慕课网APP,apk安装已经上传到此处,也可到慕课网官网去下载 apk安装工具Fiddler(国内官网下载超级慢,推荐点击此处下载)此处使用的慕课网apk安装版本是5.X,新版本做了一些防盗版和安全相关的功能之后就不能了。 然后在模拟器上面启动慕课网APP,我们就可以看到Fiddler里面取到了一些慕课网相关的请求,如下图: ?上述均使用模拟器设置代理,真机的设置也是一样的方

    2.5K20

    Spider爬虫--手机App爬虫

    需求:手机和下载图片(图片重命名)1. 工具准备 1.1 Fiddler 该软件端口默认是8888 1.2 猎豹免费WiFi:1.3 手机设置代理服务器使用命令ipconfig在windows上查看猎豹免费WiFi的产生的ip? 图片下载路径 image = item # 把图片路径添加到scrapy引擎里面,让对应的下载器帮我们下载图片 yield scrapy.Request(image) # 当图片下载完成后,会调用的方, 并且把下载后的路径,回传到这个方里 def item_completed(self, results, item, info): print(results===, results) image =

    90250

    爬虫系列之手机App

    爬虫系列之手机App0.说在前面1.准备工作2.配置fiddler3.电脑端配置4.手机端配置5.手机6.py实现7.作者的话0.说在前面今日来实战一波手机App爬虫,目的是访问我昨日发的文章! 1.准备工作fiddler工具安装wifi共享精灵或者其他wifi工具2.配置fiddler按照如下图点击Tools配置HTTPS配置Connections3.电脑端配置安装证书 电脑访问:localhost :8888wifi共享软件配置,使得两者处于同一网段4.手机端配置手机安全证书安装 手机访问下面查看到的ip:8888 本机ip查看手机代理设置(配置上述IP)5.手机重新启动电脑的fiddler, 然后打开微信文章,会有相应的请求,说明成功!

    87630

    APP渗透 | 安卓模拟器7.0以上的

    并且某些app也会检测代理情况,如果修改了或开启了代理app正常运行,我们通过在模拟器外部进行来绕过app检测。 进行到这一步后我们在模拟器中打开浏览器就可以从Proxifier中看到流量情况,但是目前我们只能取http的还不能https的。? 所以我们要来解决这个问题,经过查询资料了解到安卓7.0以上后默认不在信任用户自行安装的证书文件、如果需要我们就要把自己的证书放到系统目录下、或者对app进行修改从而进行。 重新刷新即可正常取https。 其他拓展:双向认证app,有些app会认证客户端和服务器证书。一般反编译app到其中找到其内置的证书。 justtrustme模块、有时候启用这个模块就会出问题、我更加推荐SSLUnpinning这个xposed模块,安装完毕后选择有双向认证的app即可愉快的进行调试。?

    5.6K20

    Fiddler11-HTTPS证书Actions导出问题

    前言在点Actions时候出现Export Failed:The root certificate could not be located.最近有很多小伙伴在fiddler导出证书的时候,遇到导出的问题 ,收集了几种解决办,供参考。 一、证书导出1.在点Actions时候出现Export Failed:The root certificate could not be located.? 二、导出问题解决方案1.首先确保安装的 Fiddler 是较新的版本,先关闭fiddler2.下载并安装Fiddler证书生成器下载地址:http:www.telerik.comdocsdefault-sourcefiddleraddonsfiddlercertmaker.exe 4.安装好证书后,看第一篇Fiddler1-firefox上https请求的的浏览器导入证书就行了(弄好之后,重启电脑就OK了)

    72750

    另一个生鲜App 和mfsig签名分析(二) 针对flutter

    一、目标拿到App之后,不到是件很令人狂的事情。今天我们通过排除来分析失败的原因,并提供一个通用的 针对flutter 的方案。 工具和环境介绍失败的几种原因和对应的解决方案针对flutter今天我们分析的还是 某生鲜App v9.9.59二、步骤工具和环境介绍飞哥手头有两个不同的环境,一台手机是通过手工设置代理到 失败的几种原因和对应的解决方案不走系统代理最简单的失败的原因是:app检测是否设置了代理,如果设置了,就不走这个代理,继续直接访问。这样我们的第一种环境就失效了。 解决方就是用第二种环境,app发现不了被代理了。使用QUIC或者Spdy协议这个在某手App里出现过,我们的解决方是利用App自身的配置,强制它继续使用https协议来解决。 这次要好一些,但是还是有些图片显示。应该还是有些漏了。我们用排除,搜quic、spdy,然后再试试是不是ssl证书双向认证。坏消息是都不对。

    17620

    漫画:App 防止 Fiddler 小技巧!

    首先你需要有效的提醒用户,去正确的设置 WiFi 的代理;其次,总有一些特殊的情况,用户需要在手机上挂代理,可能不是针对你的 App,总不能让你的 App 和当前代理在用户眼里“不兼容”吧! 设置不使用代理Fiddler 和 Charles 这类工具,本质上就是利用中间人攻击的方式,通过这个中间人获取到通信的数据。 而利用这些工具的前提,都是在设备上,设置代理,通常我们直接在 WiFi 连接页面,设置代理即可。 而对于一些常用的网络库,其实是提供了我们设置的代理的接口,我们只需要将其设置成代理的模式,它就不会去应用系统默认的代理了。 以这样的方式,就可以阻止第三方使用 Fiddler 或 Charles 进行。对于防止,你还有什么新奇的思路,不妨在留言区讨论~最后如果你看到了这里,觉得文章写得不错就给个赞呗?

    1.5K40

    移动端诊断工具之app

    imgcache.gtimg.cnhuatuoapkscapture.apk操作说明:1.下载后安装,会看到UCAP 图标image.png2.打开后点击开始image.png3.开始进行业务上的操作,这些操作都会被下来 4.操作完后,打开UCAP,点击结束image.png5.分享到的数据点击刚刚的这个image.png选择需要导出哪个APP的数据,然后导出并分享image.pngimage.png

    84631

    Fiddler+夜神模拟器进行APP

    Fiddler+夜神模拟器进行APP作者:霞落满天需求:对公司APP进行获取详细的接口信息,这是现在开发必备的。 工具:Fiddler,夜神模拟器 模拟手机 安装APP1.下载Fiddlerhttps:www.telerik.comdownloadfiddlerFiddler正是在这里帮助您记录计算机和Internet 7 可以了访问:https:linuxstyle.blog.csdn.net管理博客??JSON格式化工具?另外推荐工具ApiDebug这个比较简单,谷歌浏览器集成就行了?

    55030

    为何Android 7.0 以上Charles和Fiddler取HTTPS

    对于之前的文章:Fiddler对安卓App(逍遥模拟器APP) 但是,升级了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Charles 取 https 原因是因为从 Android 7.0 开始,默认的网络安全性配置修改了解决方如下: 现象:android7.0以上的手机https失败(安装了https证书也不行)原因:android7.0+的版本新增了证书验证 重新打项目,然后,即可成功。 警告这样的配置操作是敏感且危险的,只能用于测试环境方便,线上一定注意要恢复配置,不然APP会面临被他人的风险。如何只在调试模式下允许呢? handler.cancel(),第一次访问时加载,第二次以后可以加载 super.onReceivedSslError(view, handler, error); 忽略SSL证书错误,继续加载页面

    3.3K20

    扫码关注云+社区

    领取腾讯云代金券