2023年7月3日发(作者：)

Android中利⽤⼿机抓包的⽅法，经典篇 在移动逆向分析以及 App 开发的时候，总会需要对其⽹络⾏为进⾏监控测试，本⽂总结⼀些抓包思路，并对其使⽤⽅法进⾏实践笔者认为在抓包界，Wireshark 应该算是综合排名第⼀的⼯具（其实 Wireshark ⾃带的命令⾏⼯具 tshark 更⽜逼）本⽂总结记录了 5 种抓包⽅式，掌握其⼀即可进⾏实践，欢迎⼤家⼀起交流分享0x01 基于 Wireshark实验步骤：1.1 在电脑主机上使⽤猎豹 Wifi之类的⼯具，开启热点，将所要测试的⼿机连接该热点，记录其IP地址1.2 使⽤ Wireshark 对以上 IP 地址进⾏捕获Capture——Options1.3 总结该⽅法简单粗暴⾼效，可以将捕获的数据包随时保存下来，便于后续分析或者进⾏ PCAP 可视化分析。关于命令⾏⼯具 tshark 在此不做赘述，感兴趣的读者⾃⾏研究。0x02 基于 tcpdump实验环境：下载安装 Genymotion 安卓虚拟机，在该模拟器环境种进⾏实践操作（基于实体⼿机亦然，前提是⼿机必须得⼿机必须得 ROOT）笔者仅在 Android 系统下测试，未在 iOS 系统下实验实验步骤：2.1 说明模拟器中⾃带的 tcpdump ⼯具，位于： /system/xbin/ ⽬录下2.2 数据包捕获可以通过

adb shell 命令在 CMD 模式下连接模拟器，su 到 root 模式进⾏抓包1tcpdump -vv -s 0 -i eth1 -w /sdcard/参数说明：-vv：获取详细的包信息（注意是两个 v 不是 w）-s 0：不限数据包的长度，如果不加则只获取包头-w ：捕获数据包名称以及存储位置（本例中保存在 sdcard 路径下，数据包名为）-i eth1：捕获制定的⽹卡（在 genymotion 虚拟机中，使⽤ busybox ifconfig 命令可以查看相关信息，⼀般 genymotion 的 ip 地址都为 .x）如果你想指定捕获的数据包长度，可以使⽤ -c 参数（例如 -c 128）捕获结束，直接按 Ctrl + C 即可2.3 数据分析将捕获到的数据包拖到本地使⽤ Wireshark 进⾏查看：1adb pull /sdcard/ C:tmpTIPS：将数据包⽂件 push 到⼿机上命令为1adb push C: /sdcard/0x03 基于 Fiddler 4实验步骤：3.1 下载 FIddler 4点击下载 Fiddler 43.2 设置 Fiddler 4打开Fiddler，Tools-> Fiddler Options （配置完成记得重启 Fiddler）3.3 设置⼿机代理⾸先，获取安装 Fiddler 4 的 PC 对应的 IP 地址（ipconfig）：确保⼿机和 PC 是连接在同⼀个局域⽹中！！！下⾯对⼿机进⾏设置（笔者使⽤⼩⽶测试机）：点击⼿机中“设置”——Wi-Fi——选择已经连接的wifi——代理设置改为⼿动下载 Fiddler 的安全证书使⽤⼿机浏览器访问：10.2.145.187:8888，点击"FiddlerRoot certificate"，然后安装证书即可。⾄此，已经全部设置完毕。3.4 数据包捕获重新打开 Fiddler 4，然后打开⼿机中的浏览器，访问任意⽹址，Fiddler 抓包信息如下：Enjoy！0x04 基于 Charles实验环境：win7 + Charles v3.11⼀般使⽤ Charles 都是基于 MAC OS ，笔者在 mac 平台以及 windows 平台均试验过，操作过程和思路基本⼀致，因此，本⽂以 win7 为测试环境实验步骤：4.1 捕获 http 数据包⼿机设置代理：打开 Charles 即可捕获数据包（Proxy —— Proxy Settings）：4.2 捕获 https 数据包⼿机端安装证书：android ⼿机或者 iPhone 均可直接访问 / ，然后根据图⽰点击证书安装设置 Charles：选择 Proxy —— SSL Proxying Settings —— Locations —— Add在弹出的表单中填写 Host 域名（也就是你想要抓包链接的主机名），以及对应的 Port 端⼝（此处相当于过滤作⽤）当然，你可以采⽤更加粗暴的⽅式：使⽤通配符，例如你想要捕获所有的 https 包，这⾥也可以直接都为空，表⽰捕获所有的主机和端⼝；或者都分别填“*”星号，匹配所有的字符，捕获所有的 https。0x05 基于 Burpsuite实验步骤：5.1 捕获 http 数据包PC 端 Burpsuite 设置：⼿机端代理设置⽅法同以上 3.3 4.1打开 Burpsuite 即可捕获 http 数据包：5.2 捕获 https 数据包⼿机端设置好代理之后，使⽤浏览器访问：burp/此处存在⼀个问题：下载的证书是 der 格式的，我们⼿机端安装的是 crt 格式的，需要使⽤firefox 浏览器转⼀下格式：可以⾸先在 Brupsuite 中导出 der 格式证书，然后导⼊⽕狐浏览器，然后从⽕狐浏览器导出证书格式为 crt打开⽕狐浏览器：⼯具——选项——⾼级——证书——查看证书成功捕获 https 数据包0x06 总结当我们停⽌捕获数据包时，将Fiddler 或 Charles 关闭，此时⼿机端是⽆法正常访问⽹络的，因为设置了代理，这时候需要将代理关闭，即可正常浏览⽹页对于⼤多数⾛代理的应⽤可以选择 Fiddler 或 Charles，⽆需 root，⼀次配置，终⾝使⽤；对于不⾛代理的 App 可以利⽤ tcpdump 捕包，然后使⽤ Wireshark 查看；最简单便捷的便是第⼀种⽅法「「0x01. 基于 Wireshark」以上所有⼯具各有优劣，读者可以根据⼯作环境，按需使⽤，个⼈觉得⼀般情况下使⽤Wireshark + Fiddler 或者 Wireshark + Charles 即可完成各平台的抓包分析任务以上⼯具中只有BurpSuite可以对抓包过程进⾏交互式操作；Wireshark⽀持的协议最多，也更底层，功能强⼤，但过于沉重