做笔记

软件下载地址: https://www.charlesproxy.com/

在线破解服务地址: https://www.zzzmode.com/mytools/charles/

破解破解工具源代码: https://github.com/8enet/Charles-Crack

在进行App测试或定位线上问题时，经常会遇到抓取HTTPS数据包的需求。一般在windows上会使用fiddler，Mac上使用Charles。对于https请求，抓到的数据因为经过了加密，只能看到乱码。

本文介绍如何使用Charles来抓取https网络报文。操作步骤已在MAC + iphone上亲测。

操作原理

关键的操作思想：
1. 构造一个中间人代理，它有能力完成TLS/SSL握手
2. 弄到一个根证书，并用它生成签名认证的代理服务器证书

Charles就是一个理想的中间人，它支持SSL握手，可以自动根据根证书生成一个签名的服务器证书，并且它的官网为我们提供了一个根证书。
　　我们要做的就是在客户端安装好这个根证书，然后让我们的操作系统信任它。对App来说，需要设法在IOS或Android上装上这个官网提供的根证书。
　　完成上述步骤后，App再指定Charles为它的代理服务器，这时，App请求的服务器证书就是Charles自动生成的代理服务器证书。如果Charles的根证书已被信任，这个自动生成的代理服务器证书是有效的，使用它App和Charles的TLS握手可以顺利完成。

以下是详细的操作步骤：

分步指南

第一步：配置HTTP代理，这步与抓取HTTP请求是一样的：

图1选择在8888端口上监听，然后确定。够选了SOCKS proxy，还能截获到浏览器的http访问请求。

安装mac证书

安装完成之后双击Charles proxy证书

会弹出

第二步：配置SSL代理：

首先在charles的 Proxy选项选择SSL Proxy Settings

第三步 为手机设置代理

在电脑上查看自己机器的ip

然后手机配置代理

在手机无线中配置手动代理，输入安装Charles的电脑的网络地址，端口填8888。点击应用后会提示

点击allow就行了。

第四步 安装根证书

在手机上安装Charles的根证书：

以IOS为例，在Safri上打开Charles的根证书下载网址： chls.pro/ssl 。
顺利的话会出现这样的画面，继续点安装，然后去设置里的描述文件管理中信任它就行了。

图4

如果不能下载，检查手机是否正确设置了代理，Charles是否已经打开并配置正确。关于手机安装证书信任ios高版本的操作系统需要在设置-》通用-》关于本机—》拉倒最后一项证书信任设置-》对charles proxy证书启用完全信任设置

电脑端的根证书安装

以MAC为例，直接在Charles的Help菜单中安装；安装完成后去系统的钥匙串访问中信任它。

几点说明：

1. 本文的操作指南是在MAC+iphone+Charles上实践的。文中开头已经讲述了HTTPS使用中间人代理抓包的简单原理和核心操作思想，其他环境下可以类比。
2. 有些人认为https可以完美防止中间人攻击，无法抓到https的明文包...... 其实是不对的，TLS的设计只能说是从技术上最大限度地保护网络报文的安全，它无法防止用户自己作死。
3. 网络安全和用户的安全意识是强相关的，技术的防范能力总是有限的。在实际生活中养成良好的上网习惯，千万不能随意信任不明来源的证书，轻视浏览器、操作系统或其他App给我们发出的安全警告。