问题描述
使用charles或fiddler对手机进行app抓包时,对于https请求不能正确的截取请求信息,通过观察抓包软件仅能看到TLS管道建立或大量请求失败的记录。
问题分析
- charles或fiddler缺少正确、完整的ca证书,因此不能与client建立TLS连接。
- charles或fiddler安装在手机端的ca证书会被作为用户层面的信任凭据,而并非是系统层面的信任凭据。
- 安卓7以上只有系统级证书才能被信任,所以为了能正常抓包,需要把ca证书安装到系统证书下。
解决问题思路
- 从对应的抓包软件导出ca证书文件到本地(这里以charles为例)。
- openssl工具安装
- 使用openssl计算ca证书的哈希值,并且完成重命名操作。
- 把证书移动到安卓手机的/system/etc/security/cacerts/目录下。
开始
1、从charles端导出ca证书
- 保存为charles.pem文件
2、windows系统安装openssl
这里可以直接不安装,下一步骤直接使用linux服务器下自带的openssl
- 下载便捷版安装包http://slproweb.com/products/Win32OpenSSL.html
这里要注意下载64位还是32位,一直点下一步完成安装即可。 - 配置环境变量
至此安装完成!
3、使用openssl工具计算hash值
- 在刚才导出的.pem所在文件夹下进入控制台执行以下语句
openssl x509 -inform PEM -subject_hash_old -in charles.pem
注意:红框中为计算得到的hash值 - 使用该hash值更改charles.pem名字为 ba7a3a6d.0(不同证书计算得到hash值不同,注意更换成自己计算得到的hash值)
- 把更名后的文件复制到安卓手机的/system/etc/security/cacerts/目录下
- 手机-》设置-》安全-》信任的凭据查看ca证书是否添加成功
总结
至此,再次操作手机APP便发现抓包软件能正确拦截https请求,获取想要的数据。