作为一名安服仔，完成项目工作必然是本分所在，于是上周三老大扔了一个APK和API文档要进行测试，从这儿起，就注定我这不平凡的一周。。。

0x01 着手测试

拿到APK，首先自然是扔模拟器开搞，我一般习惯用夜神、MUMU和雷电进行测试，正寻思着一个破APP有啥难测的然后。

？？？WTF，然后想到自己这个测试模拟器是安卓5，会不会是安卓版本太低了，于是更新了一波雷电4，美滋滋的把APK扔进安卓7的模拟器。

？？？，直接给我人整晕了，这里其实是有个小技巧的， 有些时候打开应用会闪退，只要把模拟器从平板模式改成手机模式就不会闪退了 ，但是这个方法在这儿显然不是特别好用，后面又陆续更换了许多模拟器，依然是要么解析失败、要么启动闪退、要么登录的时候闪退，属实无奈，想到这里只好先测试API，毕竟是有API手册的，于是先抓个登录包。

0x02 进行抓包

这里简述下我之前抓包的姿势：直接挂代理、postern流量转发、proxifier抓模拟器流量、xposed+justtrustme。

二话不说，挂代理开搞，不出所料，抓不到包，尝试浏览器走个百度的流量，可以正常抓到。

后面也是陆续换了其他姿势，都是可抓到其他应用流量，但是无法抓到要出测试的APP流量，后面又想了下，会不会因为模拟器检测？然后我开心的拿出公司测试机继续进行测试，adb install 直接安装，结果提示SDK版本过低，看来只有换高版本安卓了，但是高版本的模拟器又有闪退问题，于是我萌生了一个念头---给测试机刷ROM。

0x03 刷机

虽然自己之前也搞过一些APP的测试，但也仅限于后端和客户端checklist这种，即使是root也只搞过ios的越狱，像安卓刷机这种东西接触还是比较少，话不多说百度开干。

去百度搜索了一些相关内容，简单介绍一下几种刷机的方式。

线刷：

通过fastboot进行刷机，ROM包一般以.tgz格式结尾，压缩包内有一些.bat文件

卡刷(推荐)：

通过fastboot刷入第三方recovery（小米有自己的recovery刷机工具miflashpro），当前用的比较多的是TWRP，链接https://twrp.me/ 可以根据个人设备选择对应的TWRP进行刷入 ，recovery刷入完成后进入recovery进行刷机，卡刷包一般以.zip结尾，可以扔到手机的内置空间，也可以在电脑上使用adb sideload进行刷入，这里选择第二种.

第三方ROM：

有些旧版的手机官方已经不再维护，通过刷官方包无法升级安卓版本，只能通过刷入第三方ROM的方式进行刷机，第三方ROM比较知名的有魔趣、LineageOS、Pixel Experience、DOT OS 等，本次测试我使用的设备是NEXUS6 刷入的ROM是LineageOS，大家在刷第三方ROM的时候一定要选择对应设备的ROM包进行刷入。小米的机子可以参考这个网站，有小米各个历史版本官方包https://xiaomirom.com/

首先我在TWRP下载了NEXUS6对应的recovery，NEXUS一般分类在谷歌或者摩托罗拉中。

有锁要对设备进行解锁，这个就不介绍了，网上有很多相关资料，小米设备有官方解锁工具。

http://www.miui.com/unlock/index.html

然后插电脑，在设备中开启USB调试（这里有个坑，有些电脑可能没有安卓驱动，然后网上搜可能有各种各样的说法，这里正确的解决方法是win+x打开设备管理器-找到有个感叹号的android-右击选择更新驱动程序-自动搜索驱动程序-在Windows更新上搜索，然后会跳到Windows更新页面，在Windows更新选择可选更新，在驱动程序更新就能找到android驱动，点击下载更新回到设备管理器，感叹号消失就说明驱动正常了）。

下载fastboot和adb相关链接：

https://androidfilehost.com/?fid=7161016148664822596

把上面下载好的recovery镜像放到同一个文件夹内，手机关机，长按电源键+音量减，几秒钟后就会出来fastboot页面，这个时候再在fastboot文件夹打开终端（个人推荐一波Windows Terminal），输入fastboot.exe flash recovery xxxx.img，即可刷入recovery，如果刷入失败，请检查设备是否解锁或者USB调试是否开启。

进入recovery模式（小米手机是长按电源键+音量加，我用的Nexus6是长按电源键+音量减，进入fastboot模式后按音量键选择模式，电源键确定）

双清，删除data和cache

进入高级，选择ADB Sideload

这时候电脑打开终端，输入adb.exe sideload 刷机包.zip，即可愉快的刷入新系统。

刷入完成后点击右下角reboot system 即可重启进入系统。

0x04 再次抓包

进入新系统，再次安装burp证书然后添加代理（tip：实机抓包可以用Win10的移动热点，IP比较固定，再次测试的时候不需要更换代理IP），进行抓包，依然是抓不到模拟器流量，但是有其他的手机APP的流量。

这次我怀疑是不是SSL-Pinning的原因，这个简单来说分单向认证和双向认证，单向认证就是客户端要对服务端的证书进行单向校验，使用xposed插件进行hook可绕过相关插件有justtrustme、justtrustme++、trustmealready等；双向认证是客户端和服务端要对相互的证书进行校验，遇到比较少，要突破双向认证只能反编译APK去查找客户端证书文件，有兴趣的大佬可以搜索下相关资料，这里不做讲解。

装xposed就需要root手机，这里我选择了另一种方式，刷入root管理工具Magisk。

刷入面具和相关插件

面具（Magisk）是一款安卓ROOT管理工具，可以管理安装软件的ROOT权限分配，也可以在面具插件市场下载riru和riru-lsposed（基于xposed框架，相比edxposed作用于全局，它能够使相关模块只作用于某个选择的APP）下载链接：

https://github.com/topjohnwu/Magisk/releases

下载Magisk.apk，修改名称为Magisk.zip，是的，Magisk.zip要通过recovery来进行刷入，由于是新刷入的系统，我们需要再次开启进入开发者模式，启动USB调试，然后关机，进入recovery模式， 这次不要双清 ，直接进入ADB Sideload，电脑端adb.exe sideload Magisk.zip刷入面具包，刷完继续reboot system。

开启后发现桌面已经有了Magisk应用，但是这时候还是打不开的，会提示缺少Magisk Manager，我们这时候把Magisk.apk扔到手机存储里面，然后在手机内通过文件找到apk，安装即可，这时候就能打开Magisk了。

刷入Riru和LSPosed，去面具下面那四个选项里选第四个，然后搜索Riru，先安装Riru在安装LSPosed，安装完后重启手机。

桌面上已经有LSPosed了，打开LSPosed，就可以启用各个模块了，LSPosed是对局部应用生效的，选择要生效的APP，然后重新打开这个APP，LSPosed插件就会生效。

下面模块可以hook SSL-Pinning和对指定APP隐藏root

0x06 再再次抓包

继续挂代理抓包，果不其然依旧没抓到，除了手机流量没有任何测试APP的流量产生。

这个时候我去网上找了一下相关资料发现了一些眉头，由于新刷入的是安卓11，高于安卓7默认不信任用户证书，只能重新打包或者root手机刷入系统证书。相关内容可以参考：

https://cloud.tencent.com/developer/news/17437

（这里又有一个坑，使用adb从电脑往手机里push证书的时候可能会提示Read-only file system，这时候只需要先adb shell进入手机shell，然后su获取root，再输入mount -o rw,remount /system，这样就可以向系统push证书了），完事儿后重启下系统，打开设置-安全-信任的凭据，出现burp证书。

再次抓包，依旧失败，这时候想到是不是有代理检测，于是使用postern对流量进行转发，成功抓包。

0x07 总结

到后来才发现本次测试APP只需要满足系统证书和流量转发工具即可抓到包，并没有使用SSL-Pinning，我当时在测试本地文件的时候发现了root检测提示信息“设备已被root”，所以一直以为是不是有root检测，走了很多弯路，不过最终还是成功抓到了流量进行了测试，后续测试过程可以直接上系统证书+root隐藏+SSL-Pinning hook+流量转发，基本上能够抓取绝大多数APP流量了。

APP不信任用户证书可能是高于安卓7也可能开发者在apk的/res/xml/network_security_config.xml文件进行了设置，例如下面就是只信任系统证书。

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
</network-security-config>

信任系统证书和用户证书

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>