证书固定(pinning)
很多 App 只认自己内置的证书,普通代理换上自己的证书当场就被识破,直接报错,一个包都解不了。
不在中间换证书,直接从应用内部把明文取出来,证书固定再严也影响不到它。
抓包最难的从来不是普通场景,而是绑了证书、不走代理、HTTP/3、私有协议等等,下面说说网络追踪鹰的强大之处。
很多 App 只认自己内置的证书,普通代理换上自己的证书当场就被识破,直接报错,一个包都解不了。
不在中间换证书,直接从应用内部把明文取出来,证书固定再严也影响不到它。
有些 App 压根不读系统代理设置,你设了代理它也不走,代理工具一个包都收不到。
在网卡层直抓,不管它走不走代理流量都跑不掉,再配合自动解密照样看明文。
越来越多服务改用 HTTP/3,走 UDP、加密方式也变了,老代理和只抓不解的抓包器都拿它没办法。
能降级抓、能高保真透传,也能真正解开 H3,QUIC 流量一样看到明文。
安卓 7 以后不再信任用户装的证书,安卓 14 又把系统证书库挪进了不可写的地方,装证书这条路越走越窄。
多种免装证书的抓法,iOS 免越狱、Android 免装证书就能开抓,不跟证书死磕。
这类程序自带一套信任库,不认你装进系统的证书,普通代理照样解不开。
从程序内部取明文,认不认系统证书都不影响,一样能解。
自研的二进制协议抓下来是一片乱码,看不出字段,普通工具只能干瞪眼。
写一小段脚本声明分帧,就能把它还原成结构化字段,逐帧对照着看。
系统自带 App、藏得很深的应用,代理进不去、从程序内部取也被挡,网卡上只剩密文。
系统级抓法从底层旁路读明文,别的工具够不着的它也能看。
抓包只是第一步,日常最常做的改、比、重放、压测、看服务器底细,都可以在工具内完成。
给网络请求打断点:请求飞在半路拦下来,改完再放行或直接丢弃,服务端的反应当场就看到。
不动代码就改请求和响应:转发、映射到本地、Mock 假数据、改头改体,联调和异常测试都靠它。
任意请求手拼或改了再发,签名、时间戳这些动态值现算,带签名的接口也能真正重放。
一串请求成批按序重放,单条请求右键就压测,QPS、并发、p99 尾延迟都是真实读数。
两条请求或响应并排逐行比,成功一次失败一次差在哪,高亮一眼看出。
私有、自研的二进制协议,写一小段脚本声明分帧,就还原成能读的结构化字段。
JSON、表单、gRPC 自动识别美化,gzip、brotli、分块编码即时解开,乱码变成能读的内容。
点一个主机就看归属、地理位置、证书 A–F 评级、技术栈,IP 加域名之外的信息一次补全。
一条请求转 cURL、Python、Go 等代码,整段会话反推出 OpenAPI 文档,还能导入导出 HAR。
网络诊断、连接表(带进程归属)、端口扫描、子域发现、DNS 泄漏检测、TLS 体检,随手可用。