使用Frida绕过Android App SSL证书校验实现闲鱼抓包

1. 项目概述：为什么闲鱼App抓包这么难？

如果你尝试过用Charles、Fiddler或者Burpsuite去抓取闲鱼App的网络请求，大概率会碰一鼻子灰。你会发现，要么请求根本不到达你的抓包工具，要么就是一堆看不懂的乱码，或者干脆弹出一个“网络错误”的提示。这背后，是闲鱼这类大型、对安全要求极高的App，为了对抗中间人攻击和防止数据被恶意监听，部署了严格的SSL证书校验机制。简单来说，你的抓包工具（作为代理服务器）向App出示的“假证书”，被App识别出来并拒绝了，因为它只信任自己认可的、由特定证书颁发机构签发的证书。

这不仅仅是闲鱼的问题，如今越来越多的App，尤其是涉及交易、通讯、金融的应用，都采用了类似的技术来加固自身。传统的“在手机上安装抓包工具的根证书”方法已经失效。这时候，我们就需要更底层的工具——Frida。Frida是一个动态代码插桩框架，它允许我们将自己的JavaScript代码注入到目标App的进程中，实时地修改其运行逻辑。我们的核心目标，就是找到App里那个负责检查SSL证书的“安检员”，然后告诉它：“别查了，直接放行”。

这个教程将带你从零开始，完成整个环境搭建和绕过过程。你不需要是逆向工程专家，但需要对Android开发和命令行操作有基本的了解。整个过程分为几个核心环节：配置一个可Root的安卓模拟器、安装并配置Frida服务、定位并Hook掉闲鱼App的证书校验逻辑，最后成功在抓包工具中看到明文数据。我会把每一步的细节、可能遇到的坑以及我踩过的雷都讲清楚，让你不仅能“照做”，更能“理解为什么这么做”。

2. 环境准备：打造一个完美的“实验沙盒”

工欲善其事，必先利其器。在真实手机上操作Root和注入风险较高，且不便调试。因此，使用一个功能完整、可Root的安卓模拟器是我们的最佳选择，它能提供一个纯净、可任意重置的测试环境。

2.1 安卓模拟器选型与配置要点

市面上安卓模拟器很多，但并非所有都适合我们的需求。我们需要的是：系统版本适中（推荐Android 7.0-9.0）、能轻松获取Root权限、网络桥接模式稳定、且与Frida兼容性好的模拟器。

• MuMu模拟器（推荐）：网易出品的MuMu模拟器（不是MUMU Player国际版）在逆向社区口碑很好。它的Android 6.0和7.1版本镜像默认支持Root，且性能稳定。你可能会搜到“mumu模拟器只能启动一个虚机”的问题，这通常是因为你安装了多个版本（如手游版和普通版）导致冲突。解决方案是彻底卸载所有版本，从官网重新下载安装“MuMu模拟器”即可。
• 夜神模拟器：老牌选择，功能丰富，也支持Root。但有时其自带的系统文件或广告进程可能会与Frida冲突，需要一些额外的清理步骤。
• 雷电模拟器：性能不错，Root也方便。但部分版本对Frida的支持需要手动调整SELinux策略。

注意：避免使用“Win11自带安卓模拟器”（WSA）或“安卓模拟器电脑版哪个最好用”这类搜索结果中推荐的游戏向模拟器。WSA目前难以Root，而很多游戏模拟器为了性能做了深度定制，系统不完整，可能缺少Frida运行所需的依赖库。

我的选择与理由：本教程以**MuMu模拟器（Android 7.1版本）**为例。因为它开箱即用Root，网络配置简单，社区资源多，遇到问题容易找到解决方案。

安装后关键配置：

1. 在模拟器设置中，开启Root权限。
2. 网络设置选择桥接模式（Bridged）。这会让模拟器像一台独立设备一样，从你的路由器获取一个和电脑同网段的IP地址（如电脑是192.168.1.100，模拟器可能是192.168.1.101）。这是后续电脑与模拟器通信、以及抓包工具代理成功的基础。NAT模式通常无法让电脑直接访问模拟器。
3. 记下模拟器的IP地址。可以在模拟器内的“设置-关于手机-状态信息”里查看。

2.2 Frida环境搭建：客户端与服务器的协同

Frida分为两部分：Frida-Server（运行在目标设备，这里是安卓模拟器）和Frida（运行在你的电脑上，用于控制和分析）。我们的电脑既是抓包代理服务器，也是Frida的控制端。

电脑端（Windows/macOS/Linux）安装： 打开命令行（CMD、PowerShell或Terminal），使用Python的包管理器pip安装即可。强烈建议使用虚拟环境。

pip install frida-tools

安装完成后，在命令行输入frida --version，能显示版本号即表示成功。

模拟器端（Frida-Server）安装： 这是最容易出错的一步。关键在于版本匹配和正确推送执行。

1. 确定架构：在模拟器的终端（需要先安装一个终端App，如Termux，或在ADB Shell里操作）输入getprop ro.product.cpu.abi。对于大多数x86电脑上的模拟器，返回的通常是x86。对于ARM翻译的模拟器，可能是x86_64或arm64-v8a。MuMu 7.1通常是x86。
2. 下载对应版本：前往Frida的GitHub Releases页面，下载与你的frida-tools版本相近的frida-server。例如，你电脑的frida版本是16.1.0，就下载frida-server-16.1.0-android-x86.xz。
3. 推送与启动：

   # 解压下载的.xz文件，得到`frida-server`文件 # 将文件推送到模拟器的临时目录 adb push frida-server /data/local/tmp/ # 进入模拟器shell adb shell # 切换到root权限 su # 进入文件所在目录 cd /data/local/tmp # 赋予可执行权限 chmod 755 frida-server # 在后台启动frida-server ./frida-server &

   实操心得：如果启动后frida-ps -U命令看不到模拟器上的进程列表，大概率是frida-server的架构版本下错了。另一个常见问题是权限不足，务必确保通过su命令进入了#的root提示符再执行chmod和./frida-server &。

2.3 抓包工具配置：Charles的准备工作

我们以Charles为例，Fiddler和Burpsuite原理类似。

1. 启动Charles，设置代理端口为8888（默认）。
2. 配置SSL代理设置：在Proxy -> SSL Proxying Settings中，添加一个*:*的条目，即对所有域名进行SSL代理。
3. 获取Charles根证书：在电脑上，访问chls.pro/ssl下载Charles的根证书（.pem或.crt文件）。这个证书后续需要安装到模拟器的系统证书目录，但在绕过校验的场景下，这一步有时并非必需，因为我们的目标是让App不校验。但为了流程完整，我们先按传统步骤走。

模拟器网络代理配置： 在模拟器的Wi-Fi设置中，长按当前连接的网络，选择“修改网络” -> “高级选项” -> “代理”选择“手动”。将代理主机名设置为你的电脑的IP地址（不是模拟器的！），端口设置为8888。保存后，模拟器的所有HTTP/HTTPS流量就会先经过Charles。

此时，如果你打开浏览器访问一个HTTP网站，Charles应该能抓到包。但访问HTTPS网站或打开闲鱼App，会看到证书错误或没有流量。别急，关键的战斗即将开始。

3. 核心原理与Frida脚本编写

在直接动手前，理解我们要攻击的目标是什么，至关重要。这能帮助你在脚本不生效时，知道该去哪里排查。

3.1 证书校验的常见“关卡”

Android App的证书校验通常发生在两个层面：

1. 网络框架层：如OkHttp、HttpURLConnection等库提供的证书校验。OkHttp可以通过自定义TrustManager或SSLSocketFactory来严格校验。
2. 系统SSL验证层：更底层的，是X509TrustManager接口的实现。App可以自己实现一个TrustManager，在其中对证书链进行严格的检查（比如检查是否由特定CA签发、证书域名是否匹配等）。

闲鱼这类App，往往会在应用初始化时，就设置好一个自定义的、非常严格的TrustManager。我们的Frida脚本，就是要找到这个TrustManager的实现类，并将其核心的checkClientTrusted、checkServerTrusted和getAcceptedIssuers方法“钩住”（Hook），让它们不做任何检查直接通过，或者返回一个空的证书列表。

3.2 定位关键类与方法

如何找到这个类？有几种思路：

• 静态分析：使用Jadx、GDA等反编译工具打开闲鱼App的APK，搜索X509TrustManager、checkServerTrusted、SSLContext、TrustManager等关键词。这需要一定的逆向经验。
• 动态追踪：对于新手，更实用的方法是使用Frida的枚举和模糊搜索功能。我们可以写一个脚本，打印出App中所有已加载的类，然后从中寻找可疑目标。

下面是一个强大的“自吐”脚本框架，它能在App运行时，自动寻找并Hook常见的证书校验相关类：

// frida_cert_bypass.js Java.perform(function () { console.log("[*] 开始扫描并绕过证书校验..."); // 1. 尝试Hook系统默认的TrustManager实现（通常无效，但可尝试） var TrustManagerImpl = Java.use("com.android.org.conscrypt.TrustManagerImpl"); if (TrustManagerImpl) { console.log("[+] 找到 TrustManagerImpl"); TrustManagerImpl.checkServerTrusted.implementation = function(chain, authType, host) { console.log("[!] TrustManagerImpl.checkServerTrusted 被调用，已绕过。链长度: " + chain.length); // 什么都不做，即表示信任所有证书 // 如果需要，可以在这里打印证书信息用于调试 // for (var i = 0; i < chain.length; i++) { // console.log(" Cert[" + i + "]: " + chain[i].getSubjectDN()); // } }; } // 2. 更通用的方法：枚举所有已加载的类，寻找自定义的TrustManager Java.enumerateLoadedClasses({ onMatch: function(className) { // 过滤出可能包含证书校验逻辑的类名 if (className.toLowerCase().indexOf("trust") !== -1 || className.toLowerCase().indexOf("ssl") !== -1 || className.toLowerCase().indexOf("cert") !== -1 || className.indexOf("okhttp3") !== -1 || // OkHttp 相关 className.indexOf("com.taobao") !== -1 || // 闲鱼包名相关 className.indexOf("com.alibaba") !== -1) { // 阿里系包名 console.log("[?] 发现可疑类: " + className); // 尝试获取该类并Hook其所有方法（激进但有效） try { var TargetClass = Java.use(className); var methods = TargetClass.class.getDeclaredMethods(); for (var i = 0; i < methods.length; i++) { var methodName = methods[i].getName(); // 寻找关键方法 if (methodName.indexOf("checkServerTrusted") !== -1 || methodName.indexOf("checkClientTrusted") !== -1 || methodName.indexOf("verify") !== -1) { console.log("[!] 尝试Hook: " + className + "." + methodName); // 动态Hook该方法，参数数量未知，使用.overload进行尝试 // 这里是一个简化示例，实际需要根据方法签名精确overload // 更稳健的做法是记录下完整签名后再针对性Hook TargetClass[methodName].overload('[Ljava.security.cert.X509Certificate;', 'java.lang.String').implementation = function(certs, authType) { console.log("[+] 成功绕过 " + className + "." + methodName + " for host?"); // 空实现，绕过校验 }; } } } catch (e) { // 忽略无法使用的类（如接口、抽象类） // console.log("[-] 处理 " + className + " 时出错: " + e.message); } } }, onComplete: function() { console.log("[*] 类枚举完成。"); } }); // 3. 针对OkHttp的特定Hook（非常常见） var OkHttpClientBuilder = Java.use("okhttp3.OkHttpClient$Builder"); if (OkHttpClientBuilder) { console.log("[+] 找到 OkHttpClient.Builder"); OkHttpClientBuilder.sslSocketFactory.implementation = function(sslSocketFactory, trustManager) { console.log("[!] App试图设置自定义sslSocketFactory，已拦截。"); // 这里可以返回一个我们自定义的、信任所有证书的Factory // 但更简单的方法是，不让它设置成功，或者之后再用一个全局Hook覆盖掉它的TrustManager // 先调用原方法，但记录下参数 var result = this.sslSocketFactory(sslSocketFactory, trustManager); console.log(" 原TrustManager: " + trustManager); // 后续可以尝试Hook这个具体的trustManager return result; }; } console.log("[*] 脚本注入完成。尝试访问网络，查看Charles是否抓到明文包。"); });

这个脚本是一个“广撒网”的策略。它的工作原理是：当脚本被注入到闲鱼进程后，它会枚举所有已加载的类，筛选出类名中包含trust、ssl、cert等关键词，或者属于okhttp3、com.taobao、com.alibaba包下的类。对于这些可疑类，它尝试去Hook其中名为checkServerTrusted等的方法，并将其实现替换为一个空函数，从而达到绕过校验的目的。

注意事项：这种暴力枚举和Hook的方式有一定概率导致App崩溃，特别是Hook了不恰当的方法时。在实际操作中，更推荐先用这个脚本进行“侦查”，在控制台日志中看到哪个类和方法被触发后，再编写一个针对性更强的、只Hook那个特定方法的精简脚本，以提高稳定性和隐蔽性。

4. 实战操作：注入脚本与抓包验证

环境与武器都已就绪，现在进入实战环节。

4.1 启动与附加进程

1. 确保模拟器已启动，frida-server已在后台运行。
2. 在电脑命令行中，输入frida-ps -U，查看连接的USB设备（模拟器）上的进程列表。找到闲鱼App的进程名，通常是com.taobao.idlefish或类似。
3. 使用Frida将我们的脚本注入到闲鱼进程：

   frida -U -f com.taobao.idlefish -l frida_cert_bypass.js --no-pause

   • -U: 连接到USB设备。
   • -f: 启动一个新的进程（如果App未运行）并附加。
   • -l: 加载指定的JavaScript脚本。
   • --no-pause: 启动后立即恢复进程运行（否则进程会暂停）。

如果一切顺利，你将看到Frida的交互界面，并打印出脚本中console.log的内容。如果看到类似[+] 成功绕过 XXX.checkServerTrusted的日志，就是成功的信号！

4.2 触发网络请求并抓包

保持Frida连接和Charles开启。在模拟器中操作闲鱼App：浏览商品、搜索关键词、刷新首页等。此时，观察Charles的界面。

成功迹象：

• Charles的Sequence视图开始出现大量主机名为*.taobao.com、*.alicdn.com、*.alipayobjects.com等域名的HTTPS请求。
• 点开这些请求，在Contents标签页下，可以看到明文的请求参数和JSON/ProtoBuf格式的响应体，而不是之前的<unknown>或乱码。

失败排查： 如果Charles仍然抓不到包，或者还是证书错误，请按以下步骤排查：

1. 检查代理配置：确认模拟器的Wi-Fi代理设置正确指向了电脑IP和Charles端口(8888)。可以尝试在模拟器浏览器访问http://charlesproxy.com/getssl，这个页面会返回Charles的欢迎信息，用于测试代理连通性。
2. 检查Frida注入状态：在Frida交互界面，输入%resume确保进程已恢复。检查脚本日志是否有输出，特别是是否有找到并Hook关键类的提示。
3. 尝试更彻底的Hook：上述脚本可能没有Hook到最核心的校验点。闲鱼可能使用了更高级的加固或自定义的SSL库。此时，可以尝试使用更强大的、社区验证过的现成脚本。例如，搜索“justTrustMe”或“SSLUnpinning”的Frida脚本。这些脚本汇集了针对各种网络框架（OkHttp, Retrofit, Android原生等）的通用绕过方法，成功率更高。
   • 使用方法：下载justTrustMe.js，用-l参数加载它即可。

   frida -U -f com.taobao.idlefish -l justTrustMe.js --no-pause

4. 检查App的其它防护：有些App除了证书绑定，还可能检测设备是否Root、是否安装了Frida、是否处于调试状态（反调试）。如果怀疑有此情况，需要额外的Frida脚本来对抗这些检测，这属于更进阶的范畴。

4.3 数据解析与技巧

成功抓到包后，你会发现闲鱼的API返回的数据可能不是标准的JSON，而是一种更紧凑的二进制格式（如Protocol Buffers）。Charles可能无法直接解析为可读格式。

• 识别数据格式：查看Response的Content-TypeHeader，可能是application/x-protobuf或application/x-www-form-urlencoded等。对于乱码的响应体，可以尝试右键点击请求，选择Save Response...保存为文件，然后用十六进制编辑器查看，或者寻找对应的Proto定义文件进行解码（这需要逆向分析App的源码结构）。
• 关注关键接口：通过操作App的不同功能，对比Charles中请求的URL路径，可以分析出哪些是商品列表接口、商品详情接口、搜索接口、用户信息接口等。接口URL通常具有一定的可读性。

5. 常见问题与深度排查指南

即使按照教程一步步来，你也可能会遇到各种奇怪的问题。这里我汇总了一些高频问题和解决方案。

5.1 Frida相关问题

问题1：frida-ps -U报错Failed to enumerate processes: unable to connect to remote frida-server

• 原因：电脑无法连接到模拟器上的frida-server。
• 排查：
  1. 确认ADB连接：adb devices列表里是否有你的模拟器？如果没有，重启ADB服务或模拟器。
  2. 确认frida-server在运行：adb shell进入后，执行ps | grep frida-server，看是否有进程。如果没有，按2.2节重新启动。
  3. 确认端口转发：Frida默认使用TCP端口27042通信。可以尝试手动转发：adb forward tcp:27042 tcp:27042。
  4. 关闭模拟器/电脑防火墙：有时防火墙会阻止连接。

问题2：注入脚本后App立刻闪退

• 原因：脚本Hook了不稳定的方法，或者目标App有强大的反Frida机制。
• 解决：
  1. 使用更温和、针对性更强的脚本，避免使用“广撒网”式枚举Hook。
  2. 尝试在App启动完成后再注入脚本，而不是用-f在启动时注入。可以先启动App，然后用frida -U -n “闲鱼” -l script.js附加。
  3. 使用反反调试脚本。社区有一些脚本可以隐藏Frida的特征，如重命名Frida Server的进程名、端口等。

问题3：脚本日志显示Hook成功，但Charles仍无流量或证书错误

• 原因：可能Hook的类或方法不是流量流经的那一个；或者App使用了非标准的HTTP客户端（如Cronet，Chromium的网络库）；亦或是证书校验发生在Native层（C/C++代码）。
• 解决：
  1. 尝试通用脚本：使用justTrustMe或r0capture这类成熟脚本。
  2. 检查网络库：如果App嵌入了Chromium内核，可能需要Hook Native层的SSL函数，这需要使用Frida的Interceptor模块来Hooklibssl.so或libcrypto.so中的函数（如SSL_CTX_set_custom_verify），难度较大。
  3. 使用系统级Hook：对于非常顽固的App，可以考虑使用Xposed框架（需要系统级安装）或VirtualXposed（免Root沙盒）配合JustTrustMe模块，这是比Frida更底层的方案。

5.2 抓包工具相关问题

问题：Charles显示有HTTPS请求，但内容是<unknown>或乱码

• 原因：SSL代理成功，但Charles没有正确解密。这可能是因为：
  1. 证书没有正确安装到系统信任区。在我们的绕过方案中，这个原因已通过Hook解决。
  2. App使用了证书绑定（SSL Pinning）。它不仅在代码里校验CA，还预置了服务器公钥或证书哈希，只接受特定的证书。我们的Frida脚本（如justTrustMe）主要就是用来对付这种情况的。如果用了还不行，说明绑定方式比较特殊。
  3. 数据本身被加密（应用层加密）。即使HTTPS被解密，Payload本身仍是App自定义加密的。这需要逆向分析其加密算法，用Frida Hook加密/解密函数来获取密钥或明文，这超出了基础抓包的范畴。

5.3 模拟器相关问题

问题：MuMu模拟器启动第二个实例时“安卓启动失败”

• 原因：MuMu模拟器的多个实例需要占用不同的ADB端口和资源，冲突导致。
• 解决：通常不需要开多个实例。如果确实需要，在MuMu多开器中创建全新的模拟器实例，而不是直接复制启动。确保每个实例的ADB端口不同（可以在模拟器设置中查看和修改）。

6. 进阶思路与安全提醒

成功绕过证书校验并抓到包，只是第一步。这些数据如何分析、利用，才是更有价值的。

• 接口分析与自动化：通过分析抓到的API请求参数和响应结构，你可以用Python的requests库模拟这些请求，编写一些自动化脚本，比如监控特定商品价格、自动发布特定文案等。但请注意，这必须严格遵守闲鱼平台规则，任何刷量、爬取用户隐私、干扰平台正常秩序的行为都是违规且违法的。
• 协议研究与学习：分析闲鱼这样的顶级App的网络协议设计，对于学习移动端架构、API安全设计非常有帮助。你可以学习它如何加密参数、如何管理会话、如何实现高效的数据序列化（如Protobuf）。
• 安全加固启示：从攻击者的视角，你也能更深刻地理解App安全的重要性。证书绑定、代码混淆、反调试、动态加载、服务器端风控等都是有效的防御手段。

最后，也是最重要的提醒：本教程所有技术仅限用于安全研究、学习交流和在合法授权范围内测试自己拥有的App。未经授权对他人软件进行逆向、攻击或干扰其正常运行，是违法行为。技术是一把双刃剑，请务必用在正途，尊重他人的劳动成果和网络安全边界。