朋友在做密评，想要查看APP的TLS握手报文，找到 Client Hello 和 Server Hello 数据包作为验证截图。可能对相关工具不是太熟悉，简单研究了下。

第一种思路: Arp欺骗

这里的思路其实就是通过ARP的方式，欺骗APP手机，然后流量牵引到虚拟机。通常Kali Linux预装了Ettercap和Wireshark，如果没有，可以通过以下命令安装：

sudo apt-get update

sudo apt-get install ettercap-graphical wireshark

其他操作就是用Ettercap进行流量欺骗牵引，然后分析，步骤如下:

启动Ettercap进行ARP欺骗

1.打开Ettercap图形界面：sudo ettercap -G

2.选择网络接口：在Ettercap界面中，点击"Sniff" > "Unified sniffing"。

3.选择与你网络连接相对应的网络接口（如wlan0）。

4.扫描网络主机：

5.点击"Hosts" > "Scan for hosts"。

6.Ettercap会扫描当前网络中的所有主机。

添加目标：

点击"Hosts" > "Hosts list"。

7.找到你的手机和网关的IP地址，并分别将它们添加为目标1和目标2。

启动ARP欺骗：

点击"Mitm" > "ARP poisoning"。

选择"Sniff remote connections”以捕获目标主机的所有流量。

8.开始捕获流量：

点击"Start" > "Start sniffing"。

9.打开终端并运行Wireshark：

sudo wireshark

第二种思路: 夜神模拟器tcpdump

夜神模拟器抓取SSL的TCP数据包:

C:Program FilesNoxbin>adb connect 127.0.0.1:62001

C:Program FilesNoxbin>adb shell

抓取443数据包:

tcpdump -i any -s 0 'tcp port 443' -w /sdcard/capture.pcap

夜神模拟器文件拷贝到本地:

adb pull /sdcard/capture.pcap .

本地分析pcap:

ip.addr==x.x.x.x

其他思路

1.wireshark直接抓取loopback回环包

2.iptables转发

3.网关劫持

原文始发于微信公众号（安全初心）：国密测评抓取APP的TCP握手报文