这是一个创建于 2384 天前的主题,其中的信息可能已经有所发展或是发生改变。
想着获取自家每天电表余额情况,记录每日电费的。 主要有两处可以下手:
- 95588 的网站,搜到一哥们写过脚本可以抓取。得手动输验证码,最大的问题是网站似乎不太稳定,今天一上午都无法查询余额信息。
- 掌上电力 这个官方 APP 里也有余额数据。
不过尝试了一下,不管 Android 还是 iOS 端,都无法抓取到 API 请求包(Fiddler),Android App 应该是使用了爱加密做了加固。猜测使用了 SSL PINNING,还有类似给 httpclient 设置代理的方式来绕过 WIFI 上设置的代理。
可能是由于加固过,使用 xposed 上的 trustmealready 也无法绕过 ssl pinning,per app hacking 也无法强制应用代理设置。
有没有高手有什么别的建议啊?
 | 1 hongch 2019-04-18 14:51:00 +08:00 抓 TCP 的包 |
 | 3 ihciah 2019-04-18 14:59:31 +08:00 拆加固咯 |
 | 4 yingfengi 2019-04-18 15:01:14 +08:00 via Android 支付宝里面也看,好像微信公众号我可以。 |
 | 8 deepdark 2019-04-18 15:09:43 +08:00 via Android tcpdump 啊,你手机 root 了抓包不是什么难事,实在不行你就找个笔记本拿 wireshark 抓 |
| 9 yingfengi 2019-04-18 15:40:05 +08:00 via Android @EricInBj 生活缴费里面电费那边绑定户号,然后会关注一个公众号(支付宝上是叫公众号吗?反正就是一个类似的东西)然后就可以查了。 |
 | 10 EricInBj OP @yingfengi 是这个里面说的这种么? https://jingyan.baidu.com/article/e2284b2b9272dce2e7118d69.html 我看了,并没有余额信息,不知道是因为地区不同还是支付宝功能有变化了。 |
 | 11 nanaw 2019-04-18 15:54:51 +08:00 via Android 你怎么抓的 HTTPS 包,我抓 Google 的时候怎么配都弄不好证书 |
| 12 EricInBj OP @nanaw 装 Fiddler 的证书, 在手机上访问 http://fiddler_pc_ip:proxyport 页面上有证书下载连接的。 |
 | 13 boom7 2019-04-18 16:03:54 +08:00 试下 fdex2,刚试了下顺利脱壳 |
 | 15 yukiww233 2019-04-18 16:15:03 +08:00 放在谷歌空间或者太极等虚拟空间里跑,抓上级 app 的包 |
| 16 nanaw 2019-04-18 16:16:14 +08:00 via Android @EricInBj 应用不信任。装了之后一般应用断网,chrome 开网页提示证书错误。 用网上的方法装成系统证书之后也不行。应用就是不信任 |
| 21 nanaw 2019-04-18 17:58:40 +08:00 via Android @EricInBj 所以我才问怎么装的。直接打开 cer 文件安装为用户证书不行,用 OpenSSL 转换成 xxxxxx.0 文件拷到系统证书目录也不行 |
 | 22 seeusoon 2019-04-18 18:03:16 +08:00 对 app 的抓包,万一人家走的是单纯的 tcp 而不是 https/http,fiddle 是根本看不到的 |
 | 23 ARhen 2019-04-18 18:13:41 +08:00 @nanaw 装到手机上吗? 我手机需要下载完证书,然后在 wifi 设置里面,添加证书,然后选择刚打开的那个。 如果直接从下载点安装,是没反应的 |
 | 24 lululau 2019-04-18 18:30:33 +08:00 试了一下 mitmproxy 透明代理模式可以 |
 | 25 dosmlp 2019-04-18 18:49:05 +08:00 Fiddler 只能抓 http(s)协议,抓不了 tcp 协议吧 |
 | 26 rocketman13 2019-04-18 19:57:53 +08:00 @EricInBj fdex2 脱壳打不开 app,是版本问题吗 |
 | 27 alvin666 2019-04-18 20:07:09 +08:00 via Android 低版本安卓没 ssl pinning,直接抓 |
 | 28 linhua 2019-04-18 20:22:53 +08:00 有的 不是用的 http/https 协议, 而是用的 SPDY 之类的协议。像以前看 twitter 的 smali 代码,就是优先走 SPDY 协议,不可用时,才走 http/https 协议 |
 | 29 unclemcz 2019-04-19 09:50:18 +08:00 xposed + justtrustme 对付 SSL PINNING 应该不成问题。 |
| 30 unclemcz 2019-04-19 09:51:47 +08:00 还有和 android 版本号也有关系,抓包来说 4 以上 7 以下比较完美。 |
| 31 EricInBj OP |
| 32 EricInBj OP @lululau windows 下用透明模式似乎报错啊 Transparent mode failure: AttributeError("'Resolver' object has no attribute 'wfile'",) 我 MAC 上装个试试 |
 | 33 nonprocoder 2019-04-19 16:49:13 +08:00 这 APP 抓包干嘛 |
| 34 EricInBj OP |
 | 35 hilon 2020-10-24 14:52:33 +08:00 楼主解决了吗 |
Select Language