iOS移动端HTTPS抓包

关于iOS移动端HTTPS抓包的教程，网上有很多，很多是针对过时的平台或工具，步骤复杂，而且存在安全问题。本文介绍截止到2017年末笔者认为的最佳实践。方法可迁移到其它工具和平台。

原料

1. Mac。本文以MacBook Pro Early 2013，当前最新版本macOS High Sierra 10.13.1为例。
2. WiFi或手机热点。
3. iOS设备。本文以iPhone 6，当前最新版本iOS 11.1.2为例。
4. Charles for macOS。本文以当前最新版 v4.2.1为例。官方下载地址： https://www.charlesproxy.com/latest-release/download.do# 。

原理

Mac上的Charles通过8888端口提供网络代理服务。iPhone通过该代理访问网络，其网络请求会被Charles截获。对于未加密的http请求，可以直接看到请求和响应的内容；对于https，需要借用“中间人攻击”的原理（ https://en.wikipedia.org/wiki/Man-in-the-middle_attack ）实现请求和响应内容的查看。

iOS的安全策略能有效阻止中间人攻击，因此让https抓包变得困难。为有意放行Charles进行的该“攻击”，需要给iOS系统安装一个根证书，让它告诉系统：“相信我，这个响应是合法的，你尽管拿去用。”

Charles提供了这样一个根证书。在iOS设备上添加和信任它即可。

过程

1. Mac和iPhone连接上同一WiFi。如果WiFi有限制，可以简单地用另一部手机建立热点。连上该WiFi后，Mac和iPhone的IP应该在同一网段，形如192.169.43.*；它们都应该可以访问互联网或要抓包的目标网络。

2. 在iPhone上设置所连的WiFi，在“HTTP代理”处选择“手动”配置代理，服务器设为Mac的IP地址，端口设为8888。

3. 在Mac上打开Charles，它会在8888端口开启代理服务，并在iPhone首次连接时检测到iPhone有请求要经过它（如果有弹出是否允许，选“允许”）。

4. 此时在iPhone上访问网页，Charles会顺序列出所有请求和响应。对于未加密的http请求，可以直接看到请求和响应的内容；对于https，走下一步。

5. 在Mac上的Charles中选择菜单项"Help > SSL Proxying > Install Charles Root Certificate on a Mobile Device or Remote Browser" ，弹出提示如：

Configure your device to use Charles as its HTTP proxy on 192.168.43.65:8888, then browse to chls.pro/ssl to download and install the certificate.

Install Charles Root Certificate on a Mobile Device or Remote Browser

6. 按上述指示，在iPhone的Safari中访问 https://chls.pro/ssl ，如下选择“允许”，按提示一步步安装Charles根证书。
   

   允许安装Charles根证书
   
   
   安装Charles根证书

7. 在iPhone的 ”设置 > 通用 > 关于本机 >（最底下）证书信息设置“ 中启用刚安装的根证书。

   
   
   启用Charles根证书

8. 之后，回到Mac上的Charles，对以锁标志的https请求，右键选择“Enable SSL Proxying”，启用对它的“中间人攻击”，即对流量进行SSL“解密-展示-加密”操作，然后就可以看到和操作https流量了。下图展示了对微信公众号数据进行抓包的结果。

   
   
   微信公众号
   
   
   对微信公众号数据进行抓包

总结

所述方法使用的是最新版本的iOS和Charles，相对网上大量总结的旧方法有两点变化。一是iOS的安全性进一步提升，证书安装好后还要在第7步进行启用，这点是以前没有的。二是Charles变得更加好用和安全了，安装根证书不再是下载一个通用版本的根证书，而是每个Charles安装副本一个根证书，这就避免了安装通用的根证书的设备被其它人进行真正的中间人攻击的可能，毕竟我们穷，我们的设备可能无法做到只专用于开发。

所述方法使用的是Mac+Charles+iOS，但思想和过程可迁移到Win+Fiddler+Android以及类似平台和工具。

在研究过程中我们发现，进行了证书固定的应用，上述方法无能为力，因为应用根本不相信我们添加的证书，即使我们让系统信任了它。可以安全是可以去不断增强的，关键看成本收益了。