在 android 9 以上版本,很多 app 都使用certificate pinning技术来防止 https 中间人攻击,当 app 检测到证书不正确时,会自动断开网络请求,导致抓取不到 https 网络请求包。
要顺利抓到 https 请求包,需要借助VMOS来避开certificate pinning检测。
1、安装VMOS
在网盘中下载VMOS
,安装完后,打开VMOS,点击右上方的+
按钮添加虚拟机,选择最下方的安卓7.1极客版
,下载并安装完成。
回到首页,点击启动虚拟机,进入虚拟机
点击下方的常用工具
->应用
,找到需抓包的软件,点击后导入安装
VMOS下载地址:https://pan.baidu.com/s/1UBNon-dT37G3NuFMcO_szw 提取码: wis3
2、安装抓包软件httpcanary
自行下载安装:
蓝奏:https://www.lanzous.com/i6hw4ti
百度:https://pan.baidu.com/s/11fx67kcqQOwxCLdItAXIxA 提取码: ccbd
3、抓取 app 的 https 请求
先运行httpcanary
,再在VMOS
中访问需抓包的 app,就能看到所有 https 请求了,在VMOS
中运行的 app,是不会检测certificate pinning的