265391人阅读
$*********************************************************************************************$博主推荐：风萧兮兮易水寒，“天真”一去兮不复还。如何找到天真的那份快乐。小编倾力推荐app:&天真无谐下载方式：豌豆荚，应用宝，360手机助手，百度手机助手，安卓，91市场搜索：天真无谐关注我们：$*********************************************************************************************$今天就来看一下Mac上如何进行抓包，之前有一篇文章介绍了使用Fidder进行抓包不过可惜的是，Fidder使用C#开发的，所以就不能在Mac上使用了，不过还有另外一个抓包神器，就是Charles，它是Java开发的，所以跨平台，不仅可以在Mac上使用，Linux以及Window下都是可以使用的，当然需要安装JDK,才能运行，同时还有一个问题就是他是收费的。一、下载先到它的官网可下载到最新版本，这个下载有点慢，我已经将它放到网盘中了：这个是3.9.3版本的，下载下来，安装就不多说了，很easy....打开界面：二、破解不过这个收费的，那么接下来就开始破解吧，其实破解很简单就是替换一个文件就可以了，可以在网上搜:Charles3.9.3破解的jar文件这里我也是下载好了：下载下来之后我们就可以进行破解吧：打开应用程序，选择Charles,选择显示包内容：然后点击Contents-&Resources-&Java:然后将我们下载下来的charles.jar替换这里的charles.jar就可以了。然后再次打开Charles，就不会太提示30天使用期限了，破解搞定三、抓包下面来看一下如何进行抓包第一、HTTP抓包1、打开Charles程序<span data-mce-style="font-size: 14" style="line-height: 1.、查看Mac电脑的IP地址，系统偏好设置-&网络就可以查看到了，比如我的ip地址是：192.168.1.7<span data-mce-style="font-size: 14" style="line-height: 1.、打开iOS设置，进入当前wifi连接(Mac在一个局域网内)，设置HTTP代理Group，将服务器填为上一步中获得的IP，即192.168.1.7，端口填8888：4、iOS设备打开你要抓包的app进行网络操作5、Charles弹出确认框，点击Allow按钮即可第二、HTTPS抓包需要下载Charles证书，解压后导入到iOS设备中,这里我也是下载好了：，我们在iOS设备中使用safari打开这个链接：& &&点击打开：& &&点击安装：再次点击安装，证书就安装成功了然后在Charles的工具栏上点击Proxy按钮，选择Proxy Settings…切换到SSL选项卡，选中Enable SSL Proxying，别急，选完先别关掉，还有下一步这一步跟Fiddler不同，Fiddler安装证书后就可以抓HTTPS网址的包了，Charles则麻烦一些，需要在上一步的SSL选项卡的Locations表单填写要抓包的域名和端口，点击Add按钮，在弹出的表单中Host填写域名，比如填，Port填443这时候我们打开网易app：就可以看到数据了，至此抓包工作就搞定了。注意：当我们不抓包的时候，会将Charles关闭，这时候iOS是访问不到网络的，因为设置了代理(就是Charles)，这时候需要将iOS中的代理关闭，这个是抓包时经常犯的错。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
微信扫一扫加入安全逆向圈
扫一扫加小编微信
添加时请注明：编码美丽！
我的第一个App: 天真无谐
已经上线了，在各大市场都可以搜索到。希望大家多多支持!!
访问：4335540次
积分：28934
积分：28934
排名：第170名
原创：282篇
评论：1526条
文章：39篇
阅读：594351
文章：23篇
阅读：297807
文章：27篇
阅读：425426
文章：30篇
阅读：366247
文章：64篇
阅读：1052313
(2)(2)(3)(4)(4)(4)(5)(4)(8)(7)(8)(5)(5)(8)(1)(4)(4)(2)(1)(4)(3)(2)(4)(1)(1)(1)(30)(8)(4)(7)(12)(3)(12)(13)(6)(20)(6)(32)(32)写本文的契机主要是前段时间有次用青花瓷抓包有一步忘了，在网上查了半天也没找到写的完整的教程，于是待问题解决后抽时间截了图，自己写一遍封存在博客园中以便以后随时查阅。charles又名青花瓷，在iOS开发中的抓包中具有重要作用。最大的三点用处，一就是拦截别人软件的发送的请求和后端接口，练习开发。二是自己后端返回的response拦截修改后再接收以达到测试临界数据的作用。三写脚本重复拦截抓取别人的数据。（因为不太道德，本文不提第三点）如果你不是在董铂然博客园看到本文，请点击查看原文。1.开始之前的准备工作首先安装一下这个软件这个相信很多人电脑里应该都安装了，没安装的搜charles破解版也能很容易搜到。如果没安装java环境，首次进入charles会提示让你安装java包得，直接给你链接是苹果官网的，去下一个一键安装就行了。&安装完成后先打开，在进行下面操作。然后去自己电脑的系统偏好设置-》网络-》选中现在连着的网（大部分人应该都是WiFi吧）可以查到自己这个电脑在现在这个wifi里的IP地址，比如我现在这个就是192.168.0.105（建议最好用私人网络，用公司网络的话可能会有限制会出现没反应的问题）然后找到自己手机也连着这个同名的wifi，然后选中右边的蓝色i。&&然后进入到了这个无线局域网的高级设置页面。进去之后拉到最下方，找到HTTP代理字样。然后选中手动代理，并在服务器中填自己电脑查到的ip地址，然后把端口调8888，最后点击左上角返回。返回值后系统会自动设置代理重新连接。这时候你的手机上网的过程中就要经过你的电脑了。刚用手机打开一个联网的程序，你的电脑上应该会显示一个弹窗问你【allow】还是【deny】肯定不能拒绝啊就点allow吧。这个只有第一次才弹窗，图没截上，你到时候看见肯定能看懂的。点了同意之后你手机发出的每一个请求都会被拦截出痕迹。2.拦截某个软件的接口数据拿网易新闻举例，以前就练习这写过网易新闻的项目，其中网易的接口全是用charles拦截的。拦截到了网易发请求时发的是什么，然后在练习项目中需要获取数据的地方也把这一串链接直接拿过来用即可。当然这上面拦到的比较多，如果有过开发经验的话应该能很快看出来右边哪个是真正返回json数据的接口。或者一个一个点看内容也行啊。比如选中一个url然后右键点击copy。放到浏览器地址栏里打一下。能看到这就说明这个接口是对的了。可以获取到数据。然后可以给他转化一下看的更清楚。虽然很多人都是用bash看，但我还是推荐一个网址http://www.w3cschool.cc/jsontool。转JSON之后看的非常清晰。大部分软件json整理后都是默认把大括号全都打开，而仅有这个网站是默认全给你把大括号关上。想点哪个再点开，而且能知道字典里有多少个键值对，所以看着非常清晰。到此就已经完成了一次完整的，拉取接口，和获得数据。这里有两点我想说下：①就是如果这个App发的请求加密了或是RSA什么的，这个就算拦截了你也弄不到数据。网易是没有做任何加密，所以可以抓取到数据。以前试了拦截百度医生的就不行。他设置的是一分钟内能获取到数据，超过了1分钟这个复制过来的接口就取不到数据了。怀疑可能是用的HMAC方法加密，并且在里面加入了时间判断。32分和33分发出的请求经过编码后是不一样的，后台可能做了容错，会把32分和31分都和你判断下，只要有一个对上就让你过，但是超过了整整一分钟后是肯定获取不到数据了。②就是很多比较大型的网站，一般会开放一个开发者平台，里面注册开发者账号后会向你公开一个接口文档，你不用再去费事的拦截了。像新浪微博和大众点评都有开发者平台。3.更改返回数据来测试临界情况。这个是重点了。因为这种做法可以让一个iOS前端的开发人员独立完成测试而不用拉过来一个后端一起联调。并且各种特殊维度，或是临界的账号也不用再去辛苦找了，仅仅自己在青花瓷上改来改去就可以达到效果了。比如这个地方如果返回了nil程序会不会崩，直接改response就行了。下面是具体操作方案。打开青花瓷切换成结构页面这里可以看到断点和调试信息& &&然后找一个我们公司的页面。这个页面本来应该返回是这样的：如上图右边你先正常的打开这个页面把玩几下，这个青花瓷就会抓取很多接口和域名分类了。在这里找到你这个页面所属的域名分类应该不难。然后打上断点。这里要注意是在域名上打断点而不是在下面的单个请求上打断点。再次用手机进入这个页面，就会通过你刚才打断点的那个域名来请求数据，就会被断点拦住，如下图所示。右边的信息也很清晰，一开始可以编辑请求。如果点击单步执行，等一下相应回来了也可以编辑响应。这里的有好几种查看的方式，但是推荐使用JSON Text看的比较清楚。 现在我们对拦截回来的数据进行修改，我把这些统计数据全改成999如下图然后再次点击下方的Execute单步执行，更改后的数据就会像正常返回回来的数据那样显示到，APP的页面上展示。能来到这一步就说明已经完整的掌握了用青花瓷篡改返回数据测试App的技术。如果你不是在董铂然博客园看到本文，请点击查看原文。这么做的意义：这里只是简单的更改了一些数字，在页面显示更加直观。实际的操作中，你可以经常用来把某些值改为临界情况以看到App在处理这些临界状况时的反应，这样比找那些临界数据的测试账号成本要低得多。也可以把一些可能不会反回数值的字段找到，直接将里面的值删成nil，看看会不会报异常等等。
延伸阅读：&&&&&&&&&&&&
以上就介绍了iOS使用Charles（青花瓷）抓包并篡改返回数据图文详解，包括了方面的内容，希望对IOS开发有兴趣的朋友有所帮助。
本文网址链接：/article/detail_147595.html
上一篇： 下一篇：12:03 提问
iOS请求https接口，为什么用charles或者fiddler等抓包工具截取的数据是明文的？
是客户端需要设置什么？还是说服务器那边的问题？
按赞数排序
fiddler用的是中间人攻击的方式截获的数据。你浏览器中还可以直接看到明文呢。https只要是保障传输过程安全
你的网站是你自己搭建的吗？你可以参考一下
加密不是简单的用了https就可以了，https只是提供一种协议。加密需要密钥，如果网站没有证书，那怎么去加密，并且保证客户端能够解密呢。
其他相似问题前言：下面介绍关于Charles中如何对https抓包
1、在默认没有相关设置HTTPS需要设置相关操作的时候，会出现下面的情况：
2、下面就是设置SSL Proxying，然后443是默可用的端口
然后就可以了。
前言：下面介绍关于Charles中如何对https抓包
1、在默认没有相关设置HTTPS需要设置相关操作的时候，会出现下面的情况：
2、下面就是设置SSL Proxying，然后443是默可用的端口
然后就可以了。
用云栖社区APP，舒服~
【云栖快讯】支撑千亿营收，阿里如何做研发？淘宝如何做敏捷实践？如何面对开发中的“黑天鹅”事件？6月29日首届阿里研发效能嘉年华，独家直播，赶紧预约吧！&&
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本...
RDS是一种稳定可靠、可弹性伸缩的在线数据库服务。支持MySQL、SQL Server、PostgreSQL、高...
2017云栖大会·上海峰会火热报名中
Loading...}