《吐血整理》高级系列教程-吃透Fiddler抓包教程(35)-Fiddler如何抓取微信小程序的包-下篇
1.简介
通过前边和宏哥的学习,我们了解到Android 7.0 之后增加了对第三方证书的限制,抓包工具(charles、fiddler等)提供的证书都无法通过校验,也就无法抓取HTTPS请求了,对测试工作影响很大。 最近更新的微信 7.0 也增加了第三方证书校验,导致无法正常抓包。
2.解决思路
解决该问题一般有三个思路:
- 让开发打一个测试包,关闭对证书的校验。
- 将设备root,将证书安装到system分区。
- 将设备root,利用Xposed框架,利用justTrustme/SSL-killer等模块绕过第三方ssl的校验
以上三个思路虽然可行,但都比较复杂,配置成本比较高。有没有更简单的方法呢?
当然是有的。
这个方法仍然是利用思路3,不过利用virtualXposed工具,能够省去root的过程,安装两个软件即可搞定。
3.virtualXposed简介
经常折腾 Android 刷机 的同学应该都知道Xposed这个神级hook框架的存在。借助该框架以及开源插件,能够在不修改apk的情况下影响程序的运行。简而言之,借助Xposed框架和该框架之上的插件,能让app的功能强大十倍!
最常见的插件比如: 微信自动抢红包、消息防撤回、自定义界面、自动回复、消息屏蔽。。 抖音自动关注点赞,下载视频。。 修改系统界面、修改步数、虚拟定位。。 。。。
JustTrustme 就是其中一个插件,用于绕过 ssl 证书检查,借助它可以实现对 https 的抓包。类似的插件还有 SSLkiller、sslunpinning 等。
当然,这么强大的工具也有其缺点。最大的问题还是安装过程和系统兼容性。
- Xposed 安装需要root。如今root本身就是一件比较麻烦的事。。
- 国产手机厂商最热衷定制rom,导致Xposed存在很大的兼容性问题,一不小心就容易让手机变砖。。
- 微信 检测到相关插件后,会有封号风险。。
为了解决以上问题,国内一位大神借助 VirtualApp 实现了Xposed的一种免root方案 VirtualXposed。 简单来说就是,VirtualXposed 制作了一个虚拟环境(可以理解为虚拟机),该虚拟环境中内置Xposed环境,用户只需将软件安装到该虚拟环境中,就能使用xposed的功能了。
4.工具准备
- virtualXposed.apk
- justTrustme.apk 或 SSLkiller.apk 或 sslunpinning.apk
5.使用方法
这个详细步骤前边的文章中宏哥也介绍和分享过,自己看前边文章即可,这里宏哥就一笔带过。
先阅读官方说明:
《吐血整理》高级系列教程-吃透Fiddler抓包教程(30)-Fiddler如何抓取Android7.0以上的Https包-番外篇
以Justtrustme.apk为例,SSLkiller.apk 和 sslunpinning.apk类似。
- 安装 virtualXposed.apk 和 justTrustme.apk 模块。
- 启动virtualXposed,安照提示赋予相应的权限。
- 在主界面点击菜单按钮,选择"添加应用"
- 在添加应用列表选择 "justTrustme" 和 需要抓包测试的App(比如微信、微博),并安装
- 在 virtualXposed 中打开 xposed 应用。点击左上角菜单按钮,切换到模块。此时会看到 "justTrustme" 选项。
- 在 "justTrustme" 选项后打钩,并按照提示,返回菜单界面重启virtualXposed
- done!
完成以上设置后,virtualXposed 中的 https 应用都能直接抓包,不会再提示证书无效了。
6.小结
目前的 VirtualXposed 还不甚完善。它尚未支持需要使用资源 Hook 的模块,对一部分模块的兼容性也尚待增强。
同时,它的工作原理,也决定了任何修改系统的 Xposed 模块均无法使用;但瑕不掩瑜,VirtualXposed 的确是个很有前途的项目。它大大降低了 Xposed 框架的使用门槛,让更多人能体验到各种花样百出的模块。
对于已经在系统中启用了 Xposed 的用户,还可以借助 VirtualXposed 方便地测试模块;既不用频繁重启手机,又毋需担心「翻车」后影响正常使用。
希望作者能进一步地完善这个项目,提升兼容性与稳定性,造福更多 Android 玩家。
想要了解更多详情,可以访问 VirtualXposed 的 GitHub 页面。
相关文章
- centos 安装和配置mariadb详细教程[通俗易懂]
- 微信公众平台开发教程Java版(二) 接口配置
- 微信小程序入门文档下载_小程序开发教程全集免费
- 【说站】独立公众号版本微信社群人脉系统社群空间站最新源码全开源+详细教程
- 【说站】2021最新微信漫画小程序全开源商业版:带漫画资源,带搭建教程,流量变现利器
- php小程序开发完整教程_苹果X怎么下载微信分身
- 管家婆软件使用微信收款教程
- [029] 微信公众帐号开发教程第5篇-各种消息的接收与响应[通俗易懂]
- 微信公众号开发者账号_小程序后端开发教程
- WPF进阶之MVVM教程(二)(附源码下载)
- 正则表达式教程
- 小程序消息推送x微搭低代码,微信消息推送快速上手实操教程
- 使用腾讯云轻量应用服务器搭建网站教程
- 微信小程序反编译解包教程
- 微信小程序用户头像昵称获取新规适配教程,用户自定义头像昵称
- Au下载安装教程:Au2023中文版下载安装激活教程 Au2023中文版最新功能和特性
- 超详细之dll劫持+打包钓鱼详细教程
- 傻妞插件-千寻对接傻妞微信机器人框架详细教程
- 微信商城小程序怎么做?从公众号到商户号的教程!
- Civil3D软件下载,Autodesk Civil 3D土木工程软件下载安装教程
- Gpt-4来了?国内怎么免注册直接使用?详细教程来了
- 微信小程序简易教程详解手机开发
- 微信小程序转uniapp教程(汇总)详解手机开发
- Linux系统下微信证书快速安装教程(linux微信证书安装)
- Linux下JNI快速入门教程(linuxjni教程)