抓包工具装好只是第一步,90%的人卡在证书安装和HTTPS解密上,今天手把手教你打通所有环节,让手机电脑的流量在你面前彻底裸奔。
证书安装必须走对路
打开安装好的抓包工具,菜单栏找到Help进入,弹出的注册窗口填入Name和生成的key点击确定。先别急着抓包,证书没装对后面全是乱码。找到之前下载好的证书文件,直接双击开始安装,系统会弹出钥匙串访问界面。
安装时有个关键选项必须选对,把证书放到【系统】的【受信任】目录下。点击后系统会再次确认信任级别,选择【始终信任】才行。2025年最新版macOS Sequoia对此审核更严,输密码确认后显示导入成功才算过关。
验证证书是否生效
证书装完需要重启抓包工具,再次进入Help菜单找到SSL选项,点击Root证书查看状态。成功的话界面会明确提示“该证书没有问题”,同时显示证书的有效期和签发机构信息。我在M3芯片的MacBook Pro上测试,全程不到两分钟。
如果提示证书无效或未安装,八成是第一步信任级别没选对。返回钥匙串找到刚装的证书,双击打开信任选项,把SSL那一项改成【始终信任】。证书生效后,工具栏的SSL图标会从灰色变成彩色。
解密HTTPS的核心原理
很多人不理解为什么要装证书,其实HTTP协议早期完全裸奔,你在咖啡厅连公共WiFi,密码账号直接明文飘在空中。后来用对称加密传输数据,但密钥怎么安全交给对方又成新问题,就像把保险箱钥匙和箱子一起快递。
非对称加密解决了密钥传输问题,服务器把公钥发给你加密数据,自己留私钥解密。但这套完美流程有个致命漏洞,黑客可以在中间劫持,把自己的公钥发给你。你加密的数据他轻松解密,全程神不知鬼不觉,这就是中间人攻击。
CA证书如何防劫持
CA证书相当于官方发的身份证,服务器把公钥和身份信息打包给CA机构盖章。你收到证书先用系统内置的CA公钥验签,确认是正规军再开始通信。2026年全球已经有143家根证书机构,苹果系统预置了其中96家可信根证书。
即使黑客伪造证书,只要不是CA机构签发,系统立刻弹警告。就像有人拿打印的身份证去银行办业务,柜员一眼就能识破。HTTPS虽安全,但每次握手都要加密解密,访问速度会比HTTP慢15%到30%,这是为了安全必须付出的代价。
常见乱码和手机配置
请求sogou关键字搜索,然后在数据包内容搜索框中,搜索显示页面中的文字内容,定位到指定数据包,然后,选中该数据包,按下Compose键,进行请求参数修改,然后重新发送请求,查看删除参数后,响应数据是否依然正常。
刚接触抓包常遇到三个坑,响应内容乱码、手机端无法抓包、请求显示看不懂的符号。打开安装目录找到.ini配置文件,追加一行“设置编码=UTF-8”能解决大部分乱码。2025年Q4发布的Windows 11 24H2需要额外关闭系统自带的加密扫描功能。
手机抓包比电脑多一步,点击Help选择SSL,找到Root证书的下载地址。手机浏览器打开chls.pro/ssl自动下载配置。小米HyperOS 2.0需要把后缀.pem改成.cer,从SD卡安装选项里导入。华为鸿蒙NEXT需要在设置里搜索“加密与凭据”,从存储设备安装。
# 1、Charles上抓的包出现了乱码;
# 2、Charles开启SSL Proxying代理后出现了手机无法上网或手机和电脑浏览器都无法上网的情况。浏览器提示证书不可用或过期。
尝试了很久终于解决了这两个问题,下面记录一下处理历程。
实战抓取微信小程序
# 添加内容: vmarg.3=-Dfile.encoding=UTF-8 Charles.ini 文件全部内容 working.directory=. classpath.1=lib/charles.jar main.class=com.xk72.charles.gui.MainWithClassLoader vm.version.min=11 vm.location=jdkbinserverjvm.dll vmarg.1=-Dsun.java2d.d3d=false vmarg.2=-Djava.net.preferIPv4Stack=false vmarg.3=-Djava.net.preferIPv6Addresses=true vmarg.4=-Djava.library.path=lib vmarg.5=-Dfile.encoding=UTF-8 dde.enabled=true dde.class=com.xk72.charles.win32.Win32DDEManager dde.server.name=Charles dde.topic=System single.instance=dde log.level=warning [ErrorMessages] java.not.found=The bundled Java installation was not found. Please uninstall and reinstall Charles. java.failed=The bundled Java installation is broken. Please uninstall and reinstall Charles.
打开美女轩公众号进入【美女精选】小程序,抓包工具里按域名筛选找到图片和视频的真实地址。2026年小程序保护升级,部分接口用了二次加密,需要配合Xposed模块脱壳。正常情况能看到每条数据的详细字段,包括用户ID、点击时间、加载时长。
分析请求参数时用Ctrl+F快速搜索关键字,对比两次请求找出变化的参数。比如翻页时发现pageNum从1变成2,token值不变,这就是分页接口。修改请求重放可以测试接口安全性,我在某电商小程序就发现过越权漏洞。
你遇到过最诡异的抓包现象是什么?是返回数据突然加密,还是明明装了证书却死活抓不到包?评论区分享你的踩坑经历,点赞过千下期详解安卓14和iOS17的证书信任黑科技。
