1. 为什么你的HTTPS抓包总是失败每次看到Charles里那些标红的Unknown提示我都想砸键盘。特别是从Android 7.0开始这个困扰就像牛皮癣一样甩不掉。上周帮同事调试一个金融类App时明明证书装得好好的就是抓不到数据包气得他差点把测试机扔出窗外。这里有个冷知识Android系统从7.0API 24开始默认不再信任用户安装的CA证书。就像你去高档餐厅穿着拖鞋会被保安拦下来一样用户证书在系统眼里就是那个不合规矩的访客。更糟的是很多银行、支付类App还会额外启用证书固定Certificate Pinning相当于给餐厅门口又加了一道安检。2. 用户证书 vs 系统证书信任链的战争2.1 Android的证书信任体系Android系统维护着两套证书仓库系统证书存放在/system/etc/security/cacerts出厂时预置需要Root权限才能修改用户证书存放在/data/misc/user/0/cacerts-added通过设置界面安装关键区别在于targetSdkVersion≥24的应用默认只认系统证书。这就像公司门禁普通员工卡用户证书只能进大厅而系统证书是VIP卡能直达顶楼会议室。2.2 查看证书状态的技巧在手机设置里走这个路径设置 → 安全 → 加密与凭据 → 信任的凭据你会看到两个Tab页系统这里列出的证书有皇室血统用户这里是你手动安装的平民证书如果在这里看不到Charles的证书说明安装步骤有问题。我见过最奇葩的情况是小米手机需要用文件管理器重命名证书后缀才能识别。3. 解决方案一修改App的网络安全配置适合场景你正在开发或调试自己的App3.1 创建network_security_config.xml在res/xml目录下新建这个文件内容如下network-security-config base-config cleartextTrafficPermittedtrue trust-anchors certificates srcsystem / certificates srcuser / /trust-anchors /base-config /network-security-config这个配置做了三件事允许明文流量方便调试同时信任系统和用户证书覆盖默认的网络安全策略3.2 修改AndroidManifest.xml在Application标签中添加android:networkSecurityConfigxml/network_security_config注意上线前一定要移除cleartextTrafficPermittedtrue否则会被应用商店拒审。去年有个同事忘记删除导致App被Google Play下架。4. 解决方案二将Charles证书转为系统证书适合场景逆向分析或测试第三方App4.1 准备工作从Charles导出证书Help → SSL Proxying → Save Charles Root Certificate...保存为charles.pem计算证书哈希值需要安装OpenSSLopenssl x509 -inform PEM -subject_hash_old -in charles.pem输出第一行就是哈希值如e5c3942b4.2 推送到系统证书目录# 重命名证书 mv charles.pem e5c3942b.0 # 推送证书到设备 adb push e5c3942b.0 /sdcard/ # 挂载系统分区为可写 adb shell su mount -o remount,rw /system # 移动证书到系统目录 mv /sdcard/e5c3942b.0 /system/etc/security/cacerts/ # 修改权限 chmod 644 /system/etc/security/cacerts/e5c3942b.0 chown root:root /system/etc/security/cacerts/e5c3942b.04.3 验证证书安装重启手机后在信任的凭据 → 系统里应该能看到Charles证书。我实测发现有些定制ROM如MIUI需要额外在安全设置里手动启用系统证书。5. 进阶技巧绕过证书固定Certificate Pinning当遇到使用OkHttp或第三方加固的App时可能需要这些方法5.1 使用Frida脚本注入Java.perform(function() { var CertificatePinner Java.use(okhttp3.CertificatePinner); CertificatePinner.check.overload(java.lang.String, [Ljava.security.cert.Certificate;).implementation function() { console.log(Bypassing CertificatePinner.check()); }; });运行命令frida -U -f com.target.app -l bypass.js5.2 修改Smali代码定位到证书校验逻辑通常包含verify或check关键字将相关方法改为直接return-void。去年分析某电商App时发现他们在native层做了二次校验这种情况需要同时hook JNI调用。6. 常见问题排查指南6.1 证书安装失败现象手机提示证书格式无效解决方案确保证书是PEM格式尝试修改后缀为.crt或.cer使用第三方文件管理器安装6.2 抓包内容乱码现象能看到HTTPS请求但内容是加密的检查Charles的SSL代理设置是否包含目标域名是否启用了Proxy → macOS Proxy这个坑我踩过三次6.3 特定App无法抓包可能原因使用了WebSocket或gRPC启用了证书固定检测到代理连接可用ProxyDroid工具转发流量7. 安全注意事项测试结束后务必卸载用户证书Root设备不要安装不明来源的应用生产环境禁止使用修改后的networkSecurityConfig逆向分析需遵守相关法律法规记得有次在测试机上残留了Charles证书结果支付宝一直报安全警告最后只能重置设备。现在我的工作流程是用专属测试机 → 配置抓包环境 → 测试完成后恢复出厂设置。
Android高版本HTTPS抓包实战:从用户证书到系统证书的进阶之路
1. 为什么你的HTTPS抓包总是失败每次看到Charles里那些标红的Unknown提示我都想砸键盘。特别是从Android 7.0开始这个困扰就像牛皮癣一样甩不掉。上周帮同事调试一个金融类App时明明证书装得好好的就是抓不到数据包气得他差点把测试机扔出窗外。这里有个冷知识Android系统从7.0API 24开始默认不再信任用户安装的CA证书。就像你去高档餐厅穿着拖鞋会被保安拦下来一样用户证书在系统眼里就是那个不合规矩的访客。更糟的是很多银行、支付类App还会额外启用证书固定Certificate Pinning相当于给餐厅门口又加了一道安检。2. 用户证书 vs 系统证书信任链的战争2.1 Android的证书信任体系Android系统维护着两套证书仓库系统证书存放在/system/etc/security/cacerts出厂时预置需要Root权限才能修改用户证书存放在/data/misc/user/0/cacerts-added通过设置界面安装关键区别在于targetSdkVersion≥24的应用默认只认系统证书。这就像公司门禁普通员工卡用户证书只能进大厅而系统证书是VIP卡能直达顶楼会议室。2.2 查看证书状态的技巧在手机设置里走这个路径设置 → 安全 → 加密与凭据 → 信任的凭据你会看到两个Tab页系统这里列出的证书有皇室血统用户这里是你手动安装的平民证书如果在这里看不到Charles的证书说明安装步骤有问题。我见过最奇葩的情况是小米手机需要用文件管理器重命名证书后缀才能识别。3. 解决方案一修改App的网络安全配置适合场景你正在开发或调试自己的App3.1 创建network_security_config.xml在res/xml目录下新建这个文件内容如下network-security-config base-config cleartextTrafficPermittedtrue trust-anchors certificates srcsystem / certificates srcuser / /trust-anchors /base-config /network-security-config这个配置做了三件事允许明文流量方便调试同时信任系统和用户证书覆盖默认的网络安全策略3.2 修改AndroidManifest.xml在Application标签中添加android:networkSecurityConfigxml/network_security_config注意上线前一定要移除cleartextTrafficPermittedtrue否则会被应用商店拒审。去年有个同事忘记删除导致App被Google Play下架。4. 解决方案二将Charles证书转为系统证书适合场景逆向分析或测试第三方App4.1 准备工作从Charles导出证书Help → SSL Proxying → Save Charles Root Certificate...保存为charles.pem计算证书哈希值需要安装OpenSSLopenssl x509 -inform PEM -subject_hash_old -in charles.pem输出第一行就是哈希值如e5c3942b4.2 推送到系统证书目录# 重命名证书 mv charles.pem e5c3942b.0 # 推送证书到设备 adb push e5c3942b.0 /sdcard/ # 挂载系统分区为可写 adb shell su mount -o remount,rw /system # 移动证书到系统目录 mv /sdcard/e5c3942b.0 /system/etc/security/cacerts/ # 修改权限 chmod 644 /system/etc/security/cacerts/e5c3942b.0 chown root:root /system/etc/security/cacerts/e5c3942b.04.3 验证证书安装重启手机后在信任的凭据 → 系统里应该能看到Charles证书。我实测发现有些定制ROM如MIUI需要额外在安全设置里手动启用系统证书。5. 进阶技巧绕过证书固定Certificate Pinning当遇到使用OkHttp或第三方加固的App时可能需要这些方法5.1 使用Frida脚本注入Java.perform(function() { var CertificatePinner Java.use(okhttp3.CertificatePinner); CertificatePinner.check.overload(java.lang.String, [Ljava.security.cert.Certificate;).implementation function() { console.log(Bypassing CertificatePinner.check()); }; });运行命令frida -U -f com.target.app -l bypass.js5.2 修改Smali代码定位到证书校验逻辑通常包含verify或check关键字将相关方法改为直接return-void。去年分析某电商App时发现他们在native层做了二次校验这种情况需要同时hook JNI调用。6. 常见问题排查指南6.1 证书安装失败现象手机提示证书格式无效解决方案确保证书是PEM格式尝试修改后缀为.crt或.cer使用第三方文件管理器安装6.2 抓包内容乱码现象能看到HTTPS请求但内容是加密的检查Charles的SSL代理设置是否包含目标域名是否启用了Proxy → macOS Proxy这个坑我踩过三次6.3 特定App无法抓包可能原因使用了WebSocket或gRPC启用了证书固定检测到代理连接可用ProxyDroid工具转发流量7. 安全注意事项测试结束后务必卸载用户证书Root设备不要安装不明来源的应用生产环境禁止使用修改后的networkSecurityConfig逆向分析需遵守相关法律法规记得有次在测试机上残留了Charles证书结果支付宝一直报安全警告最后只能重置设备。现在我的工作流程是用专属测试机 → 配置抓包环境 → 测试完成后恢复出厂设置。