突破安卓高版本限制:模拟器+Charles系统级证书抓包实战
1. 为什么安卓高版本抓包这么难?
记得我第一次用Charles抓安卓App的包时,用的是安卓5.0的模拟器,整个过程顺利得让人怀疑人生。但当我切换到安卓7.0的模拟器时,突然发现所有HTTPS流量都变成了乱码,那种感觉就像突然失明了一样。后来才知道,从安卓7.0开始,Google引入了一个重要的安全机制变化:系统不再信任用户安装的CA证书,只信任系统级别的证书。
这个改动对普通用户来说是好事,安全性提高了。但对于我们这些需要做安全测试、逆向分析或者调试网络请求的开发者来说,简直就是噩梦。想象一下,你明明已经按照传统方法安装了Charles证书,App也能正常联网,但Charles里就是看不到HTTPS请求内容,只能看到一堆TLS握手失败的记录。
更麻烦的是,很多新开发的App还会额外启用证书固定(Certificate Pinning)机制,这就让抓包变得难上加难。不过别担心,今天我要分享的这套方法,就是专门攻克这个难题的。实测在安卓9.0、10.0甚至11.0上都能稳定工作。
2. 准备工作:搭建测试环境
2.1 选择合适的安卓模拟器
我试过市面上几乎所有主流模拟器,最终发现雷电模拟器9.0是最稳定的选择。它基于安卓7.1内核,完美支持我们需要修改系统证书的操作。安装过程很简单:
- 去雷电模拟器官网下载最新版
- 安装时建议选择自定义路径,不要装在C盘
- 首次启动时,在设置里把内存调到4096MB,CPU核心数设为4(根据你电脑配置调整)
注意:一定要确认模拟器的安卓版本是7.0以上,可以在设置-关于平板电脑里查看。
2.2 配置Charles抓包工具
Charles的配置有几个关键点容易踩坑:
- 版本选择:建议用Charles 4.6.1以上版本,太老的版本可能不支持新版TLS
- 代理设置:记住默认端口是8888,如果冲突可以改成其他端口
- SSL代理设置:要勾选"Enable SSL Proxying",并在SSL Proxying Settings里添加需要抓取的域名(或者直接填*.*抓所有)
安装好Charles后,先别急着连接模拟器,我们需要先导出Charles的根证书。在Charles菜单栏选择Help -> SSL Proxying -> Save Charles Root Certificate...,保存为charles.pem文件。
3. 突破限制的关键:系统级证书安装
3.1 获取证书哈希值
这是整个过程中最容易被忽视但最关键的一步。安卓系统要求所有系统证书必须按照特定格式命名。打开终端(Mac/Linux)或命令提示符(Windows),执行:
openssl x509 -subject_hash_old -in charles.pem你会看到一个类似"c4db6958"的8位哈希值输出。记下这个值,接下来我们要用。
3.2 证书文件处理
把刚才导出的charles.pem文件重命名为"哈希值.0"的格式。比如我的例子中就是:
c4db6958.0这个".0"后缀不能省略,如果有多个证书哈希冲突,后续证书会使用.1、.2递增。
3.3 推送到模拟器系统目录
现在启动雷电模拟器,确保在设置里开启了root权限。然后按以下步骤操作:
- 把重命名后的证书文件拖到模拟器的共享文件夹(通常是/mnt/shared/Pictures/)
- 打开终端,连接模拟器:
adb connect 127.0.0.1:5555 adb shell - 获取root权限:
su - 重新挂载系统分区为可写:
mount -o rw,remount / - 复制证书到系统证书目录:
cp /mnt/shared/Pictures/c4db6958.0 /system/etc/security/cacerts/ - 设置正确的文件权限:
chmod 644 /system/etc/security/cacerts/c4db6958.0
完成这些步骤后,建议重启模拟器让系统重新加载证书。
4. 配置网络代理与验证
4.1 设置模拟器网络代理
现在进入模拟器的WiFi设置:
- 长按当前连接的WiFi网络,选择"修改网络"
- 显示高级选项
- 代理选择"手动"
- 代理主机名填写你电脑的局域网IP(不是127.0.0.1!)
- 代理端口填写Charles的监听端口(默认8888)
4.2 验证抓包效果
打开模拟器中的浏览器,访问https://www.google.com。如果一切正常,你应该能在Charles里看到完整的HTTPS请求内容,而不是之前的乱码或握手失败。
如果某些App还是抓不到包,可能是它们使用了证书固定。这时候可以尝试以下方法:
- 使用objection框架注入绕过证书固定
- 配合Postern设置全局代理
- 对App进行逆向修改去掉证书固定检查
5. 常见问题排查指南
在实际操作中,我遇到过各种稀奇古怪的问题,这里分享几个典型case的解决方法:
问题1:adb devices找不到模拟器
解决方法:
- 确认模拟器已经开启开发者模式(设置-关于平板电脑-连续点击版本号7次)
- 在模拟器设置中开启USB调试
- 重启adb服务:
adb kill-server && adb start-server
问题2:mount命令提示Read-only file system
解决方法:
- 确认已经执行了
su获取root权限 - 尝试完整的remount命令:
mount -o rw,remount -t ext4 /system - 有些模拟器需要先执行
adb remount
问题3:Charles看不到任何网络请求
解决方法:
- 确认电脑防火墙没有拦截Charles
- 检查模拟器代理设置是否正确指向了电脑IP
- 在Charles中确认SSL代理已经启用
- 尝试在模拟器中安装用户证书(虽然不能用于HTTPS解密,但可以帮助诊断连接问题)
问题4:某些App显示网络错误
这通常是因为App启用了证书固定。除了之前提到的方法,还可以尝试:
- 使用Frida脚本hook证书验证逻辑
- 修改APK的network_security_config.xml文件
- 使用虚拟Xposed环境配合JustTrustMe模块
6. 进阶技巧:应对更复杂场景
当你能稳定抓取普通HTTPS流量后,可能会遇到更复杂的情况。这里分享几个实战中总结的技巧:
6.1 处理HTTP/2和QUIC协议
新版安卓开始默认启用这些新协议,可能导致Charles抓包不完整。解决方法:
- 在Charles的Proxy设置里禁用"Enable HTTP/2"
- 在模拟器的开发者选项中找到"实验性WebView功能",关闭QUIC协议支持
6.2 绕过证书透明度检查
安卓8.0+引入了证书透明度要求,可以通过修改系统时间到证书有效期之前临时解决,或者:
settings put global ntp_server time.google.com6.3 持久化系统修改
模拟器重启后,系统证书可能会被还原。要持久化修改,需要:
- 将证书复制到/system分区后,执行:
sync reboot - 或者考虑使用Magisk模块来管理系统证书
经过这些年的实战,我发现移动安全测试就像一场猫鼠游戏。每当Google推出新的安全机制,安全研究人员就会找到新的突破方法。掌握系统级证书安装只是第一步,真正的挑战在于理解背后的原理,这样才能随机应变。最近我在研究如何结合Frida动态插桩来绕过更复杂的保护机制,也许下次可以分享这方面的经验。