【Windows版】tcpdump + wireshark 联动 frida，实现APP无感抓取HTTPS数据包

字数 494，阅读大约需 3 分钟

前言

之前写了一篇frida在linux上执行的.

tcpdump + wireshark 联动 frida，实现APP无感抓取HTTPS数据包

但有师傅反馈在Windows上不行。我之前在测试的时候，看了源码，其实在Windows上是可以的，只不过可能没办法一键完成。

Windows上执行frida-analykit

项目地址：https://github.com/ZSA233/frida-analykit

pip install -r requirements.txt

在frida-analykit同级目录下执行

python frida-analykit/gen.py dev

会报错：

这是因为原项目用到了依赖linux的包，但其实不用管，我们可以手动执行。

在frida-analykit同级目录下执行

npm install

配置config.yml

app: com.frida_analykit.ssl_log_secretjsfile: _agent.jsserver:  servername: /data/local/tmp/frida-server  host: 192.168.1.9:27123  device:agent:  datadir: ./data/  stdout: ./logs/outerr.log  stderr: ./logs/outerr.logscript:  nettools:    # 要输出sslkey.log文件的路径    ssl_log_secret: ./data/nettools/sslkey/

启动frida-compile文件监听编译

# 执行下面命令行来监听index.ts脚本的修改变动以实时编译生成_agent.jsnpm run watch

启动frida-server服务

./fs1625 -l 0.0.0.0:27123 &

脚本直接运行

python frida-analykit/main.py spawn

出现如下页面

准备hook，执行命令如下

# 获取js层的全局变量：Process>>> proc = script.jsh('Process')# 获取js层的全局变量：SSLTools>>> ssltools = script.jsh('SSLTools')>>> ssltools.attachLibsslKeylogFunc()

此时，在data目录下，成功生成文件sslkey.log

配置wireshark

编辑——》首选项——》protocols——》tls

android上

# tcpdump 将80端口和443端口的请求发送到11111端口，如果https是其他端口，则修改下面的443tcpdump -i wlan0 -s0 'tcp port 80 or tcp port 443' -w -  | nc -l -p 11111

wireshark所在的机器

因为是Windows，默认没有nc，需要我们下载。

Windows版本的nc：https://eternallybored.org/misc/netcat/下载后，杀毒软件会报毒。毕竟是ncat。用不用，或者从别的地方下载都可以。出了事情，我不负责。

微步的报告放这个了：https://s.threatbook.com/report/file/49e16999db7bb33a58f949ef605020c52de4722582e83871481e7ad80ee19b86

如果你的wireshark能直接抓包apk的包，完全不需要这一步nc。

# adb 端口转发adb forward tcp:11111 tcp:11111# wireshark的本地路径nc localhost 11111 | "C:Program FilesWiresharkWireshark.exe" -k -S -i -

wireshark结果