Android 9.0 https 抓包

由于新安全机制，系统不再信任用户安装的证书，解决方案无非两种:

1. 修改apk包，增加 network_security_config.xml 配置文件
2. 把 charles 或 brupsuit 的证书塞入系统中

这里我选择第二种方法，更安全隐蔽，并且一劳永逸

---

一. 根证书安装

具体证书转换的方法网络上已经到处都是，这里简述一下，以crt格式为例(其他格式自行查找转换方法):

1. openssl x509 -inform PEM -subject_hash_old -in CA_Name.crt | head -1
   得到类似字符串：9a5ba575
2. cat CA_Name.crt(或者CA_Name.cer) > 9a5ba575.0
3. openssl x509 -inform PEM -text -in CA_Name.crt -out /dev/null >> 9a5ba575.0
4. 把生成好的文件放入 /system/etc/security/cacerts 目录下

注意，这里有个坑点，我的手机是Pixel 1刷的Lineage OS，第一步命令的参数 -subject_hash_old 在 Android 6.0时是有效的，然而在本测试机却无效。在使用 -subject_hash_old 参数生成第一个证书文件后，还需要再使用 -subject_hash 生成第二个证书文件。
最神奇的是这两个证书文件需要同时放入/cacerts 目录下，缺一不可，我之前测试的时候只放了第一个或第二个都没办法抓包。

5. 重启手机，如果生成的文件正确，可以在 信任的凭据 -> 系统 中找到如下 brupsuit 的证书
   
   certs.png

二. SSL Pinning绕过

如果做了客户端单向校验，还需要进行证书校验绕过。在Android 9.0版本，Xposed已经不再更新无法使用，也就没法直接通过Xposed使用JustTrustMe插件，但还是有2种替代思路。

1. 太极框架

借用官网介绍：简单来说，太极就是一个 类Xposed框架，它能够加载 Xposed 模块、修改系统和APP、拦截方法，执行 hook 逻辑等。
我们可以通过这个框架使用JustTrustMe插件绕过单向证书校验。

1. 首先需要配置太极框架环境，这里需要一部解锁、可刷入Magisk的测试机，然后按照官方文档完成框架安装
2. 安装 JustTrustMe模块

3. 打开太极框架管理器，点击右下角添加需要抓包的App

   
   
   add_app.png

4. 右下角模块管理中激活JustTrustMe，这样就可以进行愉快的抓包了

   
   
   active.png
   
   
   active.png

2. Frida 框架

也可以用 Frida Hook 框架绕过证书校验,Frida 安装和配置教程可以参考《Frida操作手册》这些文章，这里不多说了。环境配置完成之后，可以按以下操作:

1. 关闭selinux，启动Frida Server:
   adb.png
2. 注入以下脚本即可 ,https://codeshare.frida.re/@masbog/frida-android-unpinning-ssl/
3. 使用命令注入，或者用下面的python脚本注入也行

# -*- coding: UTF-8 -*-

import frida
import io

def inject_code():
    print("begin to inject")
    device = frida.get_usb_device()
    pid = device.spawn(["your.package.name"])
    # time.sleep(1)
    session = device.attach(pid)
    device.resume(pid)

    with io.open("unpinning.js", 'r', encoding='utf-8') as f:
        script = session.create_script(f.read())
    script.load()
    input()


if __name__ == '__main__':
    inject_code()