标题真实够长的~

很多小伙伴在测试APP的过程中经常会遇到下面的这些状况,我给大家分享一下!

1.我们无法进行APP通讯的数据包抓取?为什么?

   答:原因是因为APP采用了HTTPS证书加密,我们利用burp截取发送证书是不受服务器认识的,所以会抓取不到通讯数据包,这个时候我们只需要导入burp 的证书到我们的手机里面就行,这个网上的教程很多,我就不多解释了

 2.我已经装了burp 的证书,为什么还是抓不到数据包?

   答:原因是app采用了双向认证的模式,是不允许中间人进行数据监听的,但是解决方式还是有的,需要用到一个框架,Xposed框架以及一个Xposed的模块justtrustme

---------------------------------------------------------------

导burp证书什么的不说了,网上教程多的是

我们需要在我们的手机安装Xposed框架,这个操作有风险,因为一旦安装不到位,就可能会导致手机变砖的风险,而且还是必须有root权限

这个时候我建议大家使用模拟器进行安装测试,如果你非要使用手机,也不是不可以,但是你需要上网找到合适的Xposed框架的版本进行安装

我以逍遥模拟器为例,下图是我的版本信息.5.1.1版本,上网找逍遥模拟器5.1.1的XPosed版本,很好找的,下方统一给大家网盘地址

BurpSuite抓取基于HTTPS双向认证的数据包方法-JE2Se ' Blog

安装后,访问该app点击里面的安装,过程也不写了,就是单纯的点击安装,点击确认,重启

BurpSuite抓取基于HTTPS双向认证的数据包方法-JE2Se ' Blog

这个时候就安装成功了

接下来下载Xposed模块,上网搜寻justtrustme 下载,下边统一给大家一个我网盘的链接

安装后再次访问Xposed框架

BurpSuite抓取基于HTTPS双向认证的数据包方法-JE2Se ' Blog

选中我们的justtrustme

勾选重启

BurpSuite抓取基于HTTPS双向认证的数据包方法-JE2Se ' Blog

然后就能抓取大部分的的双向认证的数据包不报错了

------------------------------------------

BurpSuite抓取基于HTTPS双向认证的数据包方法-JE2Se ' Blog

什么?你看到了微信红包?

好吧,一个小彩蛋,就是有微信红包的Xposed模块,可实现自动抢红包

安装方法同样,小福利,百度链接如下,记得为本文章点个赞~

----------------------------------------

文中提及的工具

----------------------------------------

适用于逍遥模拟器5.1.1安卓版本的Xposed框架:

链接:https://pan.baidu.com/s/188EFH3TAfAlDWSvQ5gp22A 密码:w4ah

Justtrustme双向认证绕过模块:

链接:https://pan.baidu.com/s/1U8BN_83LgW9kmyuJy79l7w 密码:9a24

微信红包模块:

链接:https://pan.baidu.com/s/1NcI9pzXF3rUEOEMBwAlkow 密码:uzbo

----------------------------------------------------------------------------------------

解压密码:www.je2se.com

感觉对你有帮助,帮我点赞下~