V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
locoz
V2EX  ›  分享创造

抓 APP 的包时用了 JustTrustMe 依然被 SSL Pinning 该怎么办呢?(知乎直链)

  •  2
     
  •   locoz · 2019-04-22 10:27:40 +08:00 · 8616 次点击
    这是一个创建于 2045 天前的主题,其中的信息可能已经有所发展或是发生改变。
    传送门: https://zhuanlan.zhihu.com/p/63028507

    历史文章:
    当你写爬虫时遇上 Flash+加密的解决方式 https://zhuanlan.zhihu.com/p/45508079
    当你写爬虫抓不到 APP 请求包的时候该怎么办? [初级篇] https://zhuanlan.zhihu.com/p/46433599
    当你写爬虫抓不到 APP 请求包的时候该怎么办? [中级篇] https://zhuanlan.zhihu.com/p/56397466
    听说这个爬虫面试题很难?看完你就知道怎么做了 https://zhuanlan.zhihu.com/p/59005948
    22 条回复    2019-07-19 09:54:10 +08:00
    cooljs
        1
    cooljs  
       2019-04-22 11:19:21 +08:00
    小蜜单车 APP,破解试试
    est
        2
    est  
       2019-04-22 11:31:34 +08:00
    就佩服你们这些不嫌麻烦的。。

    据我所知有的公司还会 static link openssl。遇到这种如何 hook ?
    napsterwu
        3
    napsterwu  
       2019-04-22 12:46:11 +08:00 via iPhone
    @est 那换 iOS 设备?
    xenme
        4
    xenme  
       2019-04-22 12:47:44 +08:00 via iPhone
    @napsterwu iOS 碰到 cert pinning 就挂了
    niuxinghua
        5
    niuxinghua  
       2019-04-22 13:36:50 +08:00
    iOS 的话 直接 hook 经常使用的 afnetworking 框架使 ssl pinning 设置为 no 抓包继续即可
    napsterwu
        6
    napsterwu  
       2019-04-22 14:09:59 +08:00 via iPhone
    @xenme 各种 hook,再不行把包里的 p12 换掉
    Jaho
        7
    Jaho  
       2019-04-23 10:41:17 +08:00
    然鹅 给你抓到包又如何 一堆参数等你来解衣
    locoz
        8
    locoz  
    OP
       2019-04-23 11:34:51 +08:00
    @est #2 举个例子看看
    locoz
        9
    locoz  
    OP
       2019-04-23 11:35:37 +08:00
    @Jaho #7 哈哈哈哈哈哈哈哈哈解就完事了
    locoz
        10
    locoz  
    OP
       2019-04-23 11:41:05 +08:00
    @cooljs #1 看了一下,随便抓包啊
    cooljs
        11
    cooljs  
       2019-04-23 13:33:27 +08:00
    @locoz 😢我用 fiddler 抓包,一连上 app 就不能用了
    Jaho
        12
    Jaho  
       2019-04-23 14:00:34 +08:00
    @locoz naive 小红书你解解看?
    locoz
        13
    locoz  
    OP
       2019-04-23 15:20:23 +08:00
    @Jaho #12 小红书还真不难
    locoz
        14
    locoz  
    OP
       2019-04-23 15:22:34 +08:00
    @cooljs #11 你开了 JustTrustMe 了吗?没开的话开一下看看,再不行换真机试试,因为昨天有人跟我说虚拟机下怎么弄都抓不到只有简单 SSL Pinning 的 APP 的包
    cooljs
        15
    cooljs  
       2019-04-23 15:43:01 +08:00
    @locoz 我是用的真机,JustTrustMe 是 fiddler 的设置吧?应该也开了
    cooljs
        16
    cooljs  
       2019-04-23 15:43:39 +08:00
    @locoz 你是怎么抓到的?可以看到他们的预约车的 api 吗
    locoz
        17
    locoz  
    OP
       2019-04-23 16:17:30 +08:00
    @cooljs #15 从这句话能看出你不知道 JustTrustMe 是什么。。建议看一下 [当你写爬虫抓不到 APP 请求包的时候该怎么办? [中级篇] https://zhuanlan.zhihu.com/p/56397466] 我的这篇文章。
    预约车的 API 不清楚,但是查剩余车数量和位置的能看到
    Jaho
        18
    Jaho  
       2019-04-23 17:47:22 +08:00
    小红书笔记
    cooljs
        19
    cooljs  
       2019-04-24 10:15:32 +08:00
    @locoz 看了,你是开的 JustTrustMe 还是用到低版本安卓
    locoz
        20
    locoz  
    OP
       2019-04-24 10:19:22 +08:00
    @cooljs #19 你可以都用,一般一个 JustTrustMe 就够了
    cooljs
        21
    cooljs  
       2019-04-24 10:26:33 +08:00
    @locoz 好的,我试试先🙏
    kppwp
        22
    kppwp  
       2019-07-19 09:54:10 +08:00
    @locoz 又看到楼主了 关注有一段时间了
    @Jaho 前几天刚爬了小红书 web 端剩余 api 和微信小程序就够我用了 逆向属实下下策,不过加密跟头条系比起来还是简单多了....
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1112 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 558ms · UTC 19:03 · PVG 03:03 · LAX 11:03 · JFK 14:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.