总结一次对app分析实战

• 总结一次对app分析实战
  • • 解决SSL-Pinning
    • 需要ssr的软件，手机开着ssr怎么抓包呢

解决SSL-Pinning

当开开心心的打开charles抓包分析时，咦，网络异常，难到这app还能检测代理，通过向师傅请教发现可以使用postern+charles来抓包，一通操作之后发现还是不行...

在网上查找资料发现了SSL-Pinning这个技术

开发者预先把证书相关信息预置到App中再打包，这样在https通讯过程中App本地可以与服务器返回的CA证书可以做合法性校验，如果发现不一致，那么可能就是由于中间人攻击（比如Fiddler/Charles抓包工具），App客户端可以终止https链接。而在新版本的系统规则中，应用只信任系统默认预置的CA证书，如果是第三方安装的证书（比如Fiddler安装的）则不会信任：

Charles证书安装到系统默认预置的CA证书区域中

此种办法前提是需要root权限，自己Pixel2已经root，可以试一试，可是怎么把用户证书导入到系统证书呢

参考：https://blog.csdn.net/fjh1997/article/details/106756012

使用magisk的一些模块，模块是magisk的Move Certificates模块。

在这里下载：https://github.com/Magisk-Modules-Repo/movecert
下载成zip之后直接用这个FoxMagiskModuleManager（https://github.com/Fox2Code/FoxMagiskModuleManager）安装即可
黑屏好几次拔掉数据线才安装上。

重启手机之后，可以看见用户证书到系统上了。然后再使用postern+charles来抓包

貌似不用postern也可以了，反正代理都时系统的了。

需要ssr的软件，手机开着ssr怎么抓包呢

暂时没解决，开着代理就抓不到包，关闭代理切换postern，在开代理试试，也不行

标签：postern,2022,证书,18,app,ssr,https,抓包
来源： https://www.cnblogs.com/bigcrucian/p/15908167.html