|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 前言
0x01 安卓7以上抓取https流量包
工具准备:
模拟器OpenSSLadb
首先安装OpenSSL,此步骤不再赘述,可以参考百度。
然后安装模拟器(我使用的是夜神模拟器)。
记得开启模拟器的ROOT权限
导出需要的证书
使用openssl进行证书转换,将cer后缀的证书转换为pem后缀
openssl x509 -inform DER -in cacer.der -out cacert.pem查看hash,两条名字分别对应不同的openssl版本,自己选择。
openssl x509 -inform PEM -subject_hash_old -in cacert.pemopenssl x509 -inform PEM -subject_hash -in cacert.pem
把文件名字改为:9a5ba575.0
证书安装
将证书复制到安卓目录下
adb push C:UsersadminDesktop9a5ba575.0 /sdcard/
进入adb shell 进入root权限,输入以下命令
sumount -o remount -o rw /mount -o remount -o rw /system
把证书复制到系统证书目录,然后赋权。
cp /sdcard/9a5ba575.0 /system/etc/security/cacerts/chmod 644 /system/etc/security/cacerts/9a5ba575.0
然后重启即可。
问题解决
0x02 电脑端抓微信小程序的包
再次打开小程序即可抓到包
文章来源:博客园(知冰)原文地址:https://www.cnblogs.com/zhibing/p/16893831.html
原文始发于微信公众号(betasec):安全攻防 | 安卓APP/小程序渗透测试技巧总结
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论