使用Caido和Frida拦截移动端应用程序流量 - 详细教学文档<\/h1>

1. 工具与设备准备<\/h2>

1.1 所需工具<\/h3>

Caido<\/strong>: 基于Rust编写的轻量级HTTP代理工具，用于拦截和分析HTTP流量<\/li>
Frida<\/strong>: 动态插桩工具包，用于绕过证书绑定(Certificate Pinning)<\/li>
adb (Android Debug Bridge)<\/strong>: Android调试工具<\/li>
apktool<\/strong>: APK反编译和重新打包工具<\/li>
zipalign<\/strong>: APK对齐工具<\/li>
apksigner<\/strong>: APK签名工具<\/li>

keytool<\/strong>: Java密钥库生成工具<\/li> <\/ul>
1.2 设备准备<\/h3>

一台未Root的安卓设备<\/li>
启用开发者模式和USB调试(ADB)<\/li>
在开发者选项中开启"USB连接时保持屏幕常亮"<\/li>
通过USB数据线连接安卓设备到Linux电脑<\/li> <\/ul>
验证ADB连接:<\/p>
adb devices <\/span><\/span><\/code><\/pre>2. Caido设置<\/h2> 下载并安装Caido<\/li> 创建实例配置为监听localhost和TCP端口8080<\/li> 启动实例并创建新项目<\/li> 点击"HTTP History"选项卡准备查看流量<\/li> <\/ol> 3. 代理安卓移动应用程序<\/h2> 3.1 安装目标应用<\/h3> 从apkpure等第三方网站下载目标APK(如iHealth MyVitals 4.8.0)，然后安装:<\/p> adb install ihealth-myvitals-4.8.0.apk <\/span><\/span><\/code><\/pre>3.2 配置代理<\/h3> 在Wi-Fi网络设置中选择"手动"代理<\/li> 代理主机名填写127.0.0.1<\/code>，端口填写8080<\/code><\/li> 使用ADB反向代理将手机流量转发到电脑:<\/li> <\/ol> adb reverse tcp:8080 tcp:8080 <\/span><\/span><\/code><\/pre>3.3 安装CA证书<\/h3> 在手机浏览器访问http:\/\/localhost:8080\/ca.crt<\/code>下载CA证书<\/li> 进入"加密与凭据"设置手动安装并信任Caido的CA证书<\/li> <\/ol> 4. 绕过证书绑定(Certificate Pinning)<\/h2> 4.1 问题识别<\/h3> 检查日志发现证书验证错误:<\/p> adb logcat <\/span><\/span><\/code><\/pre>错误信息:<\/p> javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. <\/code><\/pre> 4.2 使用Frida Gadget修改APK<\/h3> 4.2.1 解包APK<\/h4> apktool d -o unpack ihealth-myvitals-4.8.0.apk <\/span><\/span><\/code><\/pre>4.2.2 修改AndroidManifest.xml<\/h4> 找到并修改:<\/p> android:extractNativeLibs="false" <\/span><\/span><\/code><\/pre>改为:<\/p> android:extractNativeLibs="true" <\/span><\/span><\/code><\/pre>4.2.3 确定入口Activity<\/h4> 查找LAUNCHER分类的Activity:<\/p> <activity<\/span> android:exported=<\/span>"true"<\/span> android:launchMode=<\/span>"standard"<\/span> <\/span><\/span> android:name=<\/span>"com.ihealth.business.common.welcome.WelcomeActivity"<\/span> <\/span><\/span><\/code><\/pre>4.2.4 修改WelcomeActivity.smali<\/h4> 找到.method public constructor <init>()V<\/code>方法，修改为:<\/p> .method public constructor <init>()V .locals 1 const-string v0, "frida-gadget" invoke-static {v0}, Ljava\/lang\/System;->loadLibrary(Ljava\/lang\/String;)V .line 1 invoke-direct {p0}, Lcom\/trello\/rxlifecycle3\/components\/support\/RxAppCompatActivity;-><init>()V .line 2 .line 3 .line 4 return-void .end method <\/code><\/pre> 4.2.5 重新打包APK<\/h4> apktool b --use-aapt2 -o mod-app.apk unpack\/ <\/span><\/span>zipalign 4<\/span> mod-app.apk final-mod-app.apk <\/span><\/span><\/code><\/pre>4.2.6 签名APK<\/h4> 生成密钥库:<\/p> keytool -genkey -v -keystore custom.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048<\/span> -validity 10000<\/span> <\/span><\/span><\/code><\/pre>签名APK:<\/p> apksigner sign -ks custom.keystore final-mod-app.apk <\/span><\/span><\/code><\/pre>4.2.7 安装修改版APK<\/h4> adb install final-mod-app.apk <\/span><\/span><\/code><\/pre>5. 使用Frida绕过证书绑定<\/h2> 启动修改后的应用，它会暂停等待Frida连接<\/li> 运行Frida脚本绕过SSL证书绑定:<\/li> <\/ol> frida -U gadget --codeshare sowdust\/universal-android-ssl-pinning-bypass-2 <\/span><\/span><\/code><\/pre>6. 使用Caido分析流量<\/h2> 在Caido中创建范围(Scope)过滤无关流量(如*.ihealthlabs.com<\/code>)<\/li> 在HTTP History窗口中选择创建的范围，只显示目标流量<\/li> 分析API端点，寻找潜在漏洞<\/li> <\/ol> 7. 关键注意事项<\/h2> 确保设备已正确连接并通过ADB识别<\/li> 必须修改android:extractNativeLibs<\/code>为true<\/li> 正确修改smali代码并调整locals数量<\/li> 重新打包后必须进行签名才能安装<\/li> 使用Frida时确保应用暂停等待连接<\/li> 在Caido中设置适当的范围过滤无关流量<\/li> <\/ol> 8. 故障排除<\/h2> 如果看不到流量:<\/p> 检查ADB反向代理是否设置正确<\/li> 验证CA证书是否已正确安装并信任<\/li> 确认Frida脚本是否成功执行<\/li> <\/ul> <\/li> 如果应用崩溃:<\/p> 检查smali代码修改是否正确<\/li> 验证locals数量是否与使用的寄存器匹配<\/li> 确保Frida Gadget库已正确集成<\/li> <\/ul> <\/li> 如果证书绑定未被绕过:<\/p> 尝试其他Frida脚本<\/li> 检查应用是否使用了自定义证书验证逻辑<\/li> <\/ul> <\/li> <\/ol>