头疼Android APP 抓包？看这一篇就够了！（不是）

目录

0.前言

1.归因

2.抓不到 

2.1 路由重定向+透明代理

2.2 强制全局代理

2.3 VPN

3.抓到了，然后呢？

3.1 系统校验证书

3.2 App自校验证书

3.3 双向校验

4.其他

5.尾声

6.参考

---

0.前言

实习一个半月，习得了一些App抓包姿势，于是自己总结了一套思路。第一次写技术文，欢迎各位批评指正。

1.归因

App抓包有两种失败：

1、笑死，根本抓不到。即丝毫抓不到我们想要的数据包。

2、抓到了，但又没抓到。通常表现为Burp中dAlerts，Charles中出现❌CONNECT。

2.抓不到 

对应第一种情况。

抓包最basic的方案就是手机电脑置于同一网段下，电脑打开抓包工具，手机wifi设置代理。其原理是手机的流量接下来会先流经电脑。但实际上，此时wifi配置的代理只是一个option，App用不用取决于它自己。为了不被抓包，许多App选择NoProxy，即不使用用户设置的代理。这就是为什么我们连包的影子都见不到。

接下来介绍三类解决方案。

 重点推荐2.1，2.2、2.3可用作思路拓展。

2.1 路由重定向+透明代理

需要root。

原理：既然App不走代理，我们就转发它的流量（路由重定向）。同时，要让App没有感知（透明代理）。 

*** 作：无需设置wifi代理。手机端root权限下添加如下的iptables规则，转发手机流量到电脑。（删除规则时将-A改为-D）

iptables -t nat -A OUTPUT -d 0.0.0.0/0 -p tcp -j DNAT --to [电脑ip]

不同于wifi代理绑定某一端口，转发的流量仍流向其默认端口，如我们关注的HTTP和HTTPS，默认端口分别为80和443。因此我们需在抓包工具中打开并监听80和443端口。同时设置透明代理，让App无法察觉。

以Burp为例，配置如下：

2.2 强制全局代理

需要root。

该方案手机端需要下载ProxyDroid或者SocksDroid。原理如题，强制代理。

*** 作上，参考最basic的设置wifi代理方案，唯一区别在于，手机端的代理设置是在上面提到的App中进行的。

2.3 VPN

不需要root。

原理不多赘述，这三个字母明明白白。就是手机端连接我们自己在电脑端搭的VPN，然后在电脑端进行监听。（还是述了点）

电脑端VPN搭建用到了mmtm-pptp：https://github.com/jakev/mitm-helper-vpn。如何搭建文档写得十分详细，在此不作重复。搭建好后，手机端设置中连接VPN，电脑端选择tcpdump监听。

3.抓到了，然后呢？

对应第二种情况。

出现此类情况的原因就是两个关键字：HTTPS、证书。本文轻原理，重方法，具体类型具体分析。

3.1 系统校验证书

这一类大家其实都接触过，网页抓包时抓包工具会要求浏览器下载其证书，App抓包同理，手机上需要下载证书，这就引发了一个问题：

自己下载的证书属于用户证书，而Android 7.0及以上的手机，App默认只信任系统证书。

证书不被信任HTTPS自然会出错。因此，我们要化用户证书为系统证书。

需要root。

安装用户证书，Magisk中安装Move Certificates模块，重启，拿下！

3.2 App自校验证书

即单向校验。本文的口号是什么？轻原理，重方法！直接上方法！（其实是我讲不明白，大家可以自己查阅）

手机root了的，安装Xposed模块JustTrustMe/SSL Unpinning即可；手机未root的，可以使用VirtualXposed，同样安装模块JustTrustMe/SSL Unpinning，与Xposed大同小异。

3.3 双向校验

此类暂未测试。

4.其他

几个可以尝试的工具：

HttpCanaryPacket Capturer0capture

5.尾声

本文简单罗列了最近使用的一些抓包方法，写得不是很详细。如有问题，欢迎留言。

6.参考

https://www.dazhuanlan.com/bocar/topics/1141204

https://zhuanlan.zhihu.com/p/56397466

https://www.bilibili.com/video/BV1hT4y1g7CX

https://www.bilibili.com/video/BV1cp4y1X79S