Android(安卓)7.0+抓包https突破ssl-pinning方案
16lz
2021-01-25
一、背景
Android 7.0 之后增加了对第三方证书的限制,抓包工具(charles、fiddler等)提供的证书都无法通过校验,也就无法抓取HTTPS请求了。
解决该问题一般思路:
- 将设备root,将证书安装到system分区。
- 利用Xposed框架,利用justTrustme/SSL-killer等模块绕过第三方ssl的校验。
二、virtualXposed简介
经常折腾 Android 刷机 的同学应该都知道Xposed这个神级hook框架的存在。借助该框架以及开源插件,能够在不修改apk的情况下影响程序的运行。
三、工具准备
- virtualXposed.apk
- justTrustme.apk
工具下载:
链接: https://download.csdn.net/download/u014644574/12253810
四、使用方法
- 安装 virtualXposed.apk 和 justTrustme.apk 应用。
- 启动virtualXposed,安照提示赋予相应的权限。
- 在主界面点击菜单按钮,选择"添加应用"。
- 在添加应用列表选择 "justTrustme" 和 需要抓包测试的App(比如微信),并安装。
- 打开 virtualXposed界面后上划,打开 Xposed Installer应用。点击左上角菜单按钮,切换到模块。此时会看到 "justTrustme" 选项。
- 在 "justTrustme" 选项后打钩。返回菜单界面重启virtualXposed。
- 打开 virtualXposed界面后上划,打开需要抓包测试的App(比如微信)。
五、参考
VirtualXposed——无需Root使用 Android 最强大的 Xposed 框架
更多相关文章
- 【Android(安卓)界面效果15】Android(安卓)UI 之一步步教你自定
- Android开发基础之AlertDialog的单选对话框的使用
- Android模仿微信加号菜单模式
- APP 开发从 0 到 1(二)框架与网络
- Android(OPhone) 学习笔记 - 记事本实例
- 带你过一遍Android(安卓)多主题框架——MagicaSakura
- Android中Activity启动模式详解,可以控制程序按home键后进来还会
- 【Android(安卓)UI设计与开发】第02期:引导界面(二)使用ViewPager实
- Android实现通用的ActivityGroup(效果类似Android微博客户端主界