JustTrustMe(Xposed框架)是一款破解APP抓包限制绕过安卓SSL证书工具,在对安卓手机APP抓包时,出现的HTTPS报文通过MITM代理后证书不被信任的问题。通常要抓取HTTPS加密的数据包,一般使用Charles或者Fiddler4代理HTTP请求,配置证书信任后,便可拿到明文报文。
解决方案
要解决这个问题要使用的工具是:Xposed+JustTrustMe(安卓手机需要Root,该方法有手机变砖风险,建议在模拟器下操作)
XposedInstaller(xposed框架)是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。
JustTrustMe是Github上的一个开源工程,他是一个Xposed模块,用来禁止SSL证书验证。以下是其简介。
JustTrustMe:An xposed module that disables SSL certificate checking. This is useful for auditing an appplication which does certificate pinning.
Xposed安装器下载地址
安卓5.0版本以下下载地址:https://pan.baidu.com/s/1dEToAvJ密码:uiu8
安卓5.0版本以上下载地址:https://files.cnblogs.com/files/pingming/xposedinstaller.apk
安装步骤
1 安装Xposed安装器
2 安装Xposed框架
安装过程需要Root权限,完成后重启。
3 安装JustTrustMe
4 安装完成后打开模块选项
勾选JustTrustMe,重启即可。
至此,完成配置,再加上之前的Charles或者Fiddler4的HTTPS配置,就能抓取HTTPS请求了。
包名:just.trust.me
MD5值:aca4d1eae9bb2a98efd3ca031559b750