1. Android 14/15抓包的核心挑战最近在给公司做安全测试时遇到了一个头疼的问题新采购的一批Android 14/15设备死活抓不到HTTPS包。折腾了整整两天才发现原来是系统证书存储机制发生了重大变化。传统方法把证书放到/system/etc/security/cacerts完全失效了这让我这个老手也栽了跟头。Android 14开始Google引入了APEX模块化机制证书存储路径改到了/apex/com.android.conscrypt/cacerts。这个目录受到SELinux严格保护就算有root权限也很难直接修改。更麻烦的是很多厂商设备现在默认都锁了bootloader根本没法持久化修改系统分区。我测试过市面上主流的抓包方案直接导入用户证书Android 7以下有效修改系统证书目录Android 13以下有效各种抓包工具的VPN模式部分应用会检测结果发现在Android 14/15上这些方法全军覆没。特别是金融类App基本都启用了证书固定Certificate Pinning连Frida hook都变得异常困难。经过反复实验终于摸索出一套可行的组合拳方案。2. 临时注入系统证书的实战方案2.1 动态挂载证书目录的黑科技传统方案是直接修改系统分区但在新设备上这招已经行不通了。我的解决方案是利用tmpfs内存文件系统动态挂载#!/system/bin/sh # 创建临时证书目录 mkdir -p -m 700 /data/local/tmp/tmp-ca-copy # 复制原有证书 cp /apex/com.android.conscrypt/cacerts/* /data/local/tmp/tmp-ca-copy/ # 挂载tmpfs到系统证书目录 mount -t tmpfs tmpfs /system/etc/security/cacerts # 迁移证书并添加自定义CA mv /data/local/tmp/tmp-ca-copy/* /system/etc/security/cacerts/ cp /data/local/tmp/your_ca.0 /system/etc/security/cacerts/ # 设置权限和SELinux上下文 chmod 644 /system/etc/security/cacerts/* chcon u:object_r:system_file:s0 /system/etc/security/cacerts/*这个脚本的精妙之处在于完全在内存中操作不修改物理分区保持原有证书不丢失通过SELinux权限检查2.2 进程级证书注入技巧光挂载还不够必须让所有进程看到新证书。这里需要用到Linux的namespace技术# 获取zygote进程ID ZYGOTE_PID$(pidof zygote || true) ZYGOTE64_PID$(pidof zygote64 || true) # 注入到zygote的mount namespace for Z_PID in $ZYGOTE_PID $ZYGOTE64_PID; do if [ -n $Z_PID ]; then nsenter --mount/proc/$Z_PID/ns/mnt -- \ /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts fi done # 处理已启动的应用进程 APP_PIDS$(ps -o PID -P $ZYGOTE_PID $ZYGOTE64_PID | grep -v PID) for PID in $APP_PIDS; do nsenter --mount/proc/$PID/ns/mnt -- \ /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts done实测发现有些应用会自己重新挂载namespace所以最好每隔10秒重新执行一次注入。可以用while循环配合sleep实现自动化。3. 应用级流量精准捕获3.1 基于tcpdump的进程过滤证书问题解决后接下来就是精准抓包。我最推荐tcpdumpwireshark组合# 查找目标应用进程 ps -Ao PID,NAME,ARGS | grep com.target.app # 获取该进程使用的端口 netstat -anp | grep PID # 抓取特定端口流量 tcpdump -i wlan0 -s0 -w /sdcard/capture.pcap port 443 or port 8080这里有几个实用技巧用-s0参数确保抓完整数据包WiFi和移动网络要分别抓wlan0 vs rmnet_data0复杂过滤条件可以保存到文件用-F参数加载3.2 高级过滤技巧遇到这些特殊情况可以这样处理IPv6流量添加ip6过滤条件QUIC协议抓取UDP 443端口WebSocket过滤tcp[((tcp[12:1] 0xf0) 2):4] 0x47455420推荐保存常用过滤规则# HTTP请求头捕获 tcpdump -i any -A tcp[((tcp[12:1] 0xf0) 2):4] 0x47455420 # 抓取DNS查询 tcpdump -i any -s0 -A udp port 534. 疑难问题解决方案4.1 证书仍然不生效遇到过几次脚本执行成功但证书就是不生效的情况通常是因为应用使用了自定义TrustManager系统启用了hardened_mallocSELinux策略阻止了mount操作解决方案分三步走检查SELinux审计日志dmesg | grep avc临时放宽SELinuxsetenforce 0用strace跟踪SSL握手过程strace -f -e traceopenat -p APP_PID4.2 应对证书固定Pinning对于使用证书固定的应用可以尝试Xposed模块TrustMeAlreadyFrida脚本Java.perform(function() { var Certificate Java.use(java.security.cert.Certificate); Certificate.verify.implementation function() { console.log(Bypassing certificate verification); }; });内核模块手动修改内核中的证书校验函数5. 自动化脚本集我把常用操作封装成了几个实用脚本cert_inject.sh证书注入#!/system/bin/sh # 自动识别Android版本 if [ -d /apex/com.android.conscrypt ]; then # Android 14方案 ./inject_apex.sh else # 传统方案 mount -o rw,remount /system cp *.0 /system/etc/security/cacerts/ chmod 644 /system/etc/security/cacerts/* mount -o ro,remount /system ficapture.sh智能抓包#!/system/bin/sh # 自动选择网卡 INTERFACE$(ip route | awk /default/ {print $5}) # 智能识别HTTP/HTTPS端口 PORTS$(netstat -tuln | awk /LISTEN/ {print $4} | awk -F: {print $NF} | sort -u) # 开始抓包 tcpdump -i $INTERFACE -s0 -w /sdcard/$(date %s).pcap port ($(echo $PORTS | tr |))这些脚本我都放在Gist上持续更新建议保存到设备的/data/local/tmp目录下使用。