求助:有没有人抓包过掌上电力这个 APP?

2019-04-18 14:45:53 +08:00
 EricInBj

想着获取自家每天电表余额情况,记录每日电费的。 主要有两处可以下手:

  1. 95588 的网站,搜到一哥们写过脚本可以抓取。得手动输验证码,最大的问题是网站似乎不太稳定,今天一上午都无法查询余额信息。
  2. 掌上电力 这个官方 APP 里也有余额数据。

不过尝试了一下,不管 Android 还是 iOS 端,都无法抓取到 API 请求包(Fiddler),Android App 应该是使用了爱加密做了加固。猜测使用了 SSL PINNING,还有类似给 httpclient 设置代理的方式来绕过 WIFI 上设置的代理。

可能是由于加固过,使用 xposed 上的 trustmealready 也无法绕过 ssl pinning,per app hacking 也无法强制应用代理设置。

有没有高手有什么别的建议啊?

5539 次点击
所在节点    程序员
36 条回复
nanaw
2019-04-18 17:58:40 +08:00
@EricInBj 所以我才问怎么装的。直接打开 cer 文件安装为用户证书不行,用 OpenSSL 转换成 xxxxxx.0 文件拷到系统证书目录也不行
seeusoon
2019-04-18 18:03:16 +08:00
对 app 的抓包,万一人家走的是单纯的 tcp 而不是 https/http,fiddle 是根本看不到的
ARhen
2019-04-18 18:13:41 +08:00
@nanaw 装到手机上吗? 我手机需要下载完证书,然后在 wifi 设置里面,添加证书,然后选择刚打开的那个。
如果直接从下载点安装,是没反应的
lululau
2019-04-18 18:30:33 +08:00
试了一下 mitmproxy 透明代理模式可以
dosmlp
2019-04-18 18:49:05 +08:00
Fiddler 只能抓 http(s)协议,抓不了 tcp 协议吧
rocketman13
2019-04-18 19:57:53 +08:00
@EricInBj fdex2 脱壳打不开 app,是版本问题吗
alvin666
2019-04-18 20:07:09 +08:00
低版本安卓没 ssl pinning,直接抓
linhua
2019-04-18 20:22:53 +08:00
有的 不是用的 http/https 协议, 而是用的 SPDY 之类的协议。像以前看 twitter 的 smali 代码,就是优先走 SPDY 协议,不可用时,才走 http/https 协议
unclemcz
2019-04-19 09:50:18 +08:00
xposed + justtrustme 对付 SSL PINNING 应该不成问题。
unclemcz
2019-04-19 09:51:47 +08:00
还有和 android 版本号也有关系,抓包来说 4 以上 7 以下比较完美。
EricInBj
2019-04-19 13:17:40 +08:00
@seeusoon 看到了他代码,用的是 httpclient,不过用的 EasySSLProtocolSocketFactory,不知道抓不到包跟这有没有关系?

@nanaw 我就是在手机上浏览器访问代理地址,然后点连接下载安装就没问题的啊。苹果手机好像是要额外信任还是怎么着的。PC 的话,直接双击 CER,安装时选择安装到受信任的根证书颁发机构。


@lululau 是吗?我看一下。


@unclemcz justtrustme 不行。加固过的应用不行,我改代码把 classLoader 换成壳子的还是不行。。。
EricInBj
2019-04-19 13:47:06 +08:00
@lululau windows 下用透明模式似乎报错啊 Transparent mode failure: AttributeError("'Resolver' object has no attribute 'wfile'",)

我 MAC 上装个试试
nonprocoder
2019-04-19 16:49:13 +08:00
这 APP 抓包干嘛
EricInBj
2019-04-20 12:59:07 +08:00
@lululau 我试了没成功啊,使用了透明代理模式,浏览器里的请求可以抓到,但这 APP 还是不行呀?

@nonprocoder 想自动获取每天电费余额。
hilon
2020-10-24 14:52:33 +08:00
楼主解决了吗
EricInBj
2020-10-26 09:19:17 +08:00
@hilon
早放弃了,APP 没搞定,WEB 站点他们用了加密,破解太费劲。
我现在在入户电线上套了个互感线圈接 PZEM-004T,等于是个智能电表的意思,实时统计用电情况(每日电量、实时电流、功率之类的)
数据 MQTT 扔到 homeassistant,不要太爽。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/556405

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX