首頁 > 關于效率源 > 新聞和事件 > 技術視界
【技術視界】巧用抓包工具,輕松捕獲智能手機應用云端數據(內含詳細步驟)
2019年07月12日

隨著網絡的飛速發展,為了保障數據隱私與安全,大部分應用軟件廠商不再將所有數據存儲在本地,而是采取從服務器上直接請求數據的方式。

而獲取云端數據,不僅可以獲取到賬戶的本地存儲數據,也可以獲取到用戶存儲在服務器供歷史查閱的數據,信息更加全面,便于完成犯罪取證溯源過程中手機APP數據分析工作,為非接觸類案件的調查取證工作帶來更多的思路和線索。    

應用數據獲取手段層出不窮,本文我們將以“獲取滴滴賬戶登錄服務器地址”為實際案例,介紹一種利用代理軟件捕獲數據包的方式和其間可能遇到的問題解決方案,以拋磚引玉,和大家學習交流。

抓包工具

工具:Charles
一款兼具實用性與易用性的抓包工具
支持MacOS、Linux、Windows三大系統
亚洲图揄拍自拍用于分析手機APP的數據包,從而輔助完成APP數據分析工作

Charles抓包原理

Charles本身是一個協議代理工具,如果只是普通的HTTP請求,由于數據本身沒經過再次加密,因此作為中間代理可以知道所有客戶端發送到服務端的請求內容以及服務端返回給客戶端的數據內容,這也是抓包工具能夠將數據傳輸內容直接展現出來的原因。

對于HTTPS請求,傳輸的數據都已經經過了加密,代理工具如果沒有任何操作將無法直接獲取到其中的內容。為了實現這個過程的數據獲取,Charles需要做的事情是對客戶端偽裝服務端,對服務端偽裝客戶端,具體為:

1)截獲真實客戶端的HTTPS請求,偽裝客戶端向真實服務端發送HTTPS請求;
亚洲图揄拍自拍2)接受真實服務器響應,用Charles自己的證書偽裝服務端向真實客戶端發送數據內容。

抓包操作準備

設備
一臺可正常連接無線WIF的電腦(注意由于疏忽操作步驟亦或是終端安全性過高偽裝失敗導致捕獲解析內容失敗)
一部Android手機
一根Android數據線

軟件
Charles

滴滴登錄信息獲取

下面我們就以捕捉滴滴APP登錄信息為例,詳細介紹利用Charles抓包工具在Windows電腦上捕獲手機應用流量數據的方法。

電腦端配置

1、安裝charles應用
亚洲图揄拍自拍搜索下載并安裝charles 抓包軟件(官網地址:)。連接至穩定WiFi,手機也需要連接至相同WiFi。

2、環境配置,需要關閉防火墻
控制面板—>系統和安全—>Windows 防火墻—>自定義設置(詳細步驟見如下組圖)

1.控制面板

1562896140798000873.jpg

2.系統和安全

1562896199205000783.jpg

亚洲图揄拍自拍3.Windows 防火墻

1562896373926054748.jpg

4.自定義設置

1562896406848012362.jpg

代理軟件Charles配置

如果勾選了Proxy - Windows Proxy 的話,那么就會將電腦上的抓包請求也抓取到;如果只抓手機的話,可以取消勾選該欄。

A5.jpg

亚洲图揄拍自拍1、http代理設置:端口自定義,默認8888

1562896554819086123.jpg

2、SSL代理

1562896587194000931.jpg

3、安裝證書:點擊下圖標記“1”所示位置,安裝證書至受信任的根證書頒發機構。

1562896613851000461.jpg

具體安裝步驟如下:
1

A9.jpg

2

1562896664101036922.jpg

3

A11.jpg

4、安裝完成后可以在證書管理中心確認安裝詳情。

1562896722493047150.jpg

5、點擊圖示標記“2”,彈框所示的IP、端口及網址都將應用于手機端的配置。

1562896751384065878.jpg

手機端配置

亚洲图揄拍自拍1、手機代理配置,連接至PC相同WiFi,選擇修改網絡,高級設置中的代理設置根據上一步驟彈框所示決定。

1562896822775030782.png

亚洲图揄拍自拍2、連接成功后,PC端會顯示下圖彈框,點擊Allow ,允許即可。(如果誤點Deny,請重啟Charles。)

A18.jpg

3、手機瀏覽器訪問Charles服務器,下載安裝信任證書。

亚洲图揄拍自拍手機瀏覽器訪問網址chls.pro/ssl ,會彈出證書安裝說明,輸入名稱并且保存即可。(部分手機可能會有網絡被監控的風險警告提示。)

1562896884557047304.png

1562896884745049912.png

4、手機開啟應用進行登錄操作,點擊charles頁面的小圓點開始進行捕獲查看分析。掃帚形狀是用來清除捕獲記錄的,這個可以用來清除我們需要捕獲的步驟數據之前產生的數據,將捕獲數據精確到操作步驟,也避免了更多的干擾項。

A20.jpg

*將操作精確到登錄點擊的那一步,使用小掃帚清除之前的捕獲數據,先點擊開始捕獲再手機點擊登錄,再登陸成功后點擊停止捕獲,該步驟可以有效減少干擾項。

我們可以看到該應用通過短信驗證碼的登錄請求信息,如下圖:

其請求網址為.馬賽克.com.cn/passport/login/v5/signInByCode

1562896934511052075.jpg

1)點擊Request:可查看其發送的請求的參數信息。

亚洲图揄拍自拍可以看到將電話號碼和短信驗證碼以及其他應用信息打包發送至服務器請求登錄。

1562896989762055186.jpg

2)點擊Response:可查看該請求返回的數據信息。

可以看到該請求返回了結果碼,電話號碼及token信息等數據。

A23.jpg

注意事項

1、電腦端必須關閉防火墻,否則配置完成后,手機極大可能無法聯網。因為代理軟件無法進行正常的代理轉發。

2、電腦端安裝證書路徑必須在“受信任的根目錄下”,否則捕獲異常。

3、手機與電腦必須在同一網段下(連接同一個wifi),如果在手機瀏覽器安裝證書時無法聯網的情況下,請檢查兩個終端的wifi連接情況,因為在網絡不穩定的情況下,可能會自動斷開當前連接并連接至新網絡(可以清空當前所有無線網絡連接信息以避免該現象發生)。

4、https協議由于其加密本質,在捕獲流量包時手機端也必須安裝信任證書,否則捕獲的包將以unknown的形式展示,無法正常查看內部信息。

5、捕獲手機流量包時,電腦端的charles必須處于開啟狀態,否則無法進行轉發,手機也不能正常聯網。

6、在不需要捕獲數據包時或是電腦端charles關閉的狀態下,正常使用手機需要關閉代理,可以選擇斷開當前wifi或是修改關閉wifi高級配置中的代理設置。

亚洲图揄拍自拍7、抓包結束后,為保障電腦和手機數據安全,建議重新開啟電腦防火墻和移除手機端的Charles信任證書。

亚洲图揄拍自拍本文介紹了一種利用charles抓包工具捕獲手機Android端的應用流量的方法,可以為非接觸類案件的調查取證工作帶來更多的思路和線索。

如對文中的操作、描述有任何疑問,或者有任何取證需求,歡迎撥打熱線電話028-85211099或直接在微信公眾號給我們留言,我們會盡快聯系您。

本期投稿:朱星海
本期編輯:源妹


【拓展閱讀】