Charles是一款很好用的抓包修改工具，但是如果你不是很熟悉这个工具的话，肯定会遇到各种感觉很莫名其妙的状况，这里就来帮你一一解答下面再说说charles的一些其他常用的功能。
　　选择请求后，右键可以看到一些常用的功能，这里说说Repeat 就是重复发包一次。 然后Advanced Repeat就是重复发包多次，这个功能用来测试短信轰炸漏洞很方便。
还有比如说修改referer测试CSRF漏洞，修改form内容测试XSS，修改关键的参数测试越权，修改url、form、cookie等信息测试注入等，都非常方便。
好了，这款工具的介绍就到这里了，相信这款方便好用的工具，以后肯定会被更多的人使用到的。
1 为什么下载了不能用啊？打不开啊。
因为charles是需要java环境才能运行的，需要先安装java环境才可以。
2 为什么我用着用着就自动关闭了？大概30分钟就会关闭一次。
因为charles如果没有注册的话，每次打开后就只能哟个30分钟，然后就会自动关闭，所以最好在使用前先按照说明去进行工具的注册操作。
3 为什么我在操作的时候有时候就直接工具就界面卡住死了，关都关不掉，只能用任务管理器才可以关掉？
这个的确是charles这个工具的一个bug，开始用的时候，我也很恶心，而且经常悲剧，但是现在也有相应的解决办法了，下面那样操作就可以了。
首先随便抓些包，要求有图片的请求。
然后选中一个图片的请求，然后分别点击 Response - Raw 然后那里会加载其中的内容，然后加载完毕后，再去随便操作就可以了，就不会在悲剧的直接工具卡死掉了。
4 为什么用了charles后，我就上不了网页了，但是qq可以。
因为如果charles是非正常状态下关闭的话，那么IE的代理就不会被自动取消，所以会导致这种情况。
解决办法：
第一种：直接打开charles，然后再正常关闭即可。 第二种：去将IE浏览器代理位置的勾选去掉。
5 为什么我用charles不能抓到socket和https的数据呢？
首先，charles是不支持抓去socket数据的。 然后，如果抓不到https的数据的话，请查看你是不是没有勾选ssl功能。 Proxy - Proxy Settings - SSL 设置
6 为什么我用charles抓取手机APP，什么都是配置正确的，但是却抓不到数据。
首先，请确保电脑的防火墙是关闭状态，这个很重要。
如果，防火墙关了还是不行，那么请把手机wifi断掉后重新连接，这样一般就可以解决问题了。 如果以上方法还是不行的话，那么请将手机wifi位置的ip地址设置成静态ip，然后重启charles工具。
7 抓包后发现form中有些数据显示是乱码怎么办？
请在Raw模式下查看，Raw模式显示的是原始数据包，一般不会因为编码问题导致显示为乱码。
8 我用charles抓手机app的数据，但是同时也会抓去到电脑端的数据，可以设置吗？
可以，设置位置在Proxy - Windows Proxy ，勾选表示接收电脑的数据抓包，如果只想抓去APP的数据请求，可以不勾选此功能。
9 为什么我用IE可以抓到数据，但是用360或者谷歌浏览器就不行？
请确保360或者谷歌的代码设置中是不是勾选设置的是 使用IE代理。
10 想要复制粘贴某些数据的话，怎么办，右键没有相应功能啊？
请直接使用Ctrl +C 和 Ctrl+V 即可。
以上就是charles在使用过程中常见的10中问题和相应的解决情况。
本文地址： Charles使用问题解答 Charles常见问题汇总由整理并发布，欢迎转载！
阅读(...) 评论()写本文的契机主要是前段时间有次用青花瓷抓包有一步忘了，在网上查了半天也没找到写的完整的教程，于是待问题解决后抽时间截了图，自己写一遍封存在博客园中以便以后随时查阅。
charles又名青花瓷，在iOS开发中的抓包中具有重要作用。最大的三点用处，一就是拦截别人软件的发送的请求和后端接口，练习开发。二是自己后端返回的response拦截修改后再接收以达到测试临界数据的作用。三写脚本重复拦截抓取别人的数据。（因为不太道德，本文不提第三点）
1.开始之前的准备工作
首先安装一下这个软件
这个相信很多人电脑里应该都安装了，没安装的搜charles破解版也能很容易搜到。如果没安装java环境，首次进入charles会提示让你安装java包得，直接给你链接是苹果官网的，去下一个一键安装就行了。
&安装完成后先打开，在进行下面操作。
然后去自己电脑的系统偏好设置-》网络-》选中现在连着的网（大部分人应该都是WiFi吧）可以查到自己这个电脑在现在这个wifi里的IP地址，比如我现在这个就是192.168.0.105（建议最好用私人网络，用公司网络的话可能会有限制会出现没反应的问题）
注意: 这里, 如果你用的是黑苹果, 没有无线可以连接, 你可以把你本机ip设置和手机所连接的无线网为一个内容频段, &比如: 路由器 ip : 192.168.15.1 &那么我的主机ip: 192.168.15.100 ,就可以把上面图中的ip换为本机ip &一样可以抓包. &&
然后找到自己手机也连着这个同名的wifi，然后选中右边的蓝色i。
然后进入到了这个无线局域网的高级设置页面。进去之后拉到最下方，找到HTTP代理字样。然后选中手动代理，并在服务器中填自己电脑查到的ip地址，然后把端口调8888，最后点击左上角返回。返回值后系统会自动设置代理重新连接。
这时候你的手机上网的过程中就要经过你的电脑了。刚用手机打开一个联网的程序，你的电脑上应该会显示一个弹窗问你【allow】还是【deny】肯定不能拒绝啊就点allow吧。这个只有第一次才弹窗，图没截上，你到时候看见肯定能看懂的。点了同意之后你手机发出的每一个请求都会被拦截出痕迹。
2.拦截某个软件的接口数据
拿网易新闻举例，以前就练习这写过网易新闻的项目，其中网易的接口全是用charles拦截的。拦截到了网易发请求时发的是什么，然后在练习项目中需要获取数据的地方也把这一串链接直接拿过来用即可。
当然这上面拦到的比较多，如果有过开发经验的话应该能很快看出来右边哪个是真正返回json数据的接口。或者一个一个点看内容也行啊。
比如选中一个url然后右键点击copy。
放到浏览器地址栏里打一下。能看到
这就说明这个接口是对的了。可以获取到数据。然后可以给他转化一下看的更清楚。虽然很多人都是用bash看，但我还是推荐一个网址http://www.w3cschool.cc/jsontool。转JSON之后看的非常清晰。大部分软件json整理后都是默认把大括号全都打开，而仅有这个网站是默认全给你把大括号关上。想点哪个再点开，而且能知道字典里有多少个键值对，所以看着非常清晰。
到此就已经完成了一次完整的，拉取接口，和获得数据。
这里有两点我想说下：
①就是如果这个App发的请求加密了或是RSA什么的，这个就算拦截了你也弄不到数据。网易是没有做任何加密，所以可以抓取到数据。以前试了拦截百度医生的就不行。他设置的是一分钟内能获取到数据，超过了1分钟这个复制过来的接口就取不到数据了。怀疑可能是用的HMAC方法加密，并且在里面加入了时间判断。32分和33分发出的请求经过编码后是不一样的，后台可能做了容错，会把32分和31分都和你判断下，只要有一个对上就让你过，但是超过了整整一分钟后是肯定获取不到数据了。
②就是很多比较大型的网站，一般会开放一个开发者平台，里面注册开发者账号后会向你公开一个接口文档，你不用再去费事的拦截了。像新浪微博和大众点评都有开发者平台。
3.更改返回数据来测试临界情况。
这个是重点了。因为这种做法可以让一个iOS前端的开发人员独立完成测试而不用拉过来一个后端一起联调。并且各种特殊维度，或是临界的账号也不用再去辛苦找了，仅仅自己在青花瓷上改来改去就可以达到效果了。比如这个地方如果返回了nil程序会不会崩，直接改response就行了。下面是具体操作方案。
打开青花瓷切换成结构页面
这里可以看到断点和调试信息
然后找一个我们公司的页面。这个页面本来应该返回是这样的：如上图右边
你先正常的打开这个页面把玩几下，这个青花瓷就会抓取很多接口和域名分类了。在这里找到你这个页面所属的域名分类应该不难。然后打上断点。这里要注意是在域名上打断点而不是在下面的单个请求上打断点。
再次用手机进入这个页面，就会通过你刚才打断点的那个域名来请求数据，就会被断点拦住，如下图所示。
右边的信息也很清晰，一开始可以编辑请求。如果点击单步执行，等一下相应回来了也可以编辑响应。
这里的有好几种查看的方式，但是推荐使用JSON Text看的比较清楚。 现在我们对拦截回来的数据进行修改，我把这些统计数据全改成999如下图
然后再次点击下方的Execute单步执行，更改后的数据就会像正常返回回来的数据那样显示到，APP的页面上展示。
能来到这一步就说明已经完整的掌握了用青花瓷篡改返回数据测试App的技术。
这么做的意义：
这里只是简单的更改了一些数字，在页面显示更加直观。实际的操作中，你可以经常用来把某些值改为临界情况以看到App在处理这些临界状况时的反应，这样比找那些临界数据的测试账号成本要低得多。也可以把一些可能不会反回数值的字段找到，直接将里面的值删成nil，看看会不会报异常等等。
阅读(...) 评论()charles使用说明_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
charles使用说明
上传于||文档简介
&&c​h​a​r​l​e​s​百​度​云​分​享​ ​下​载​地​址​
​
​c​h​a​r​l​e​s​常​用​技​能​使​用​
​
​c​h​a​r​l​e​s​代​理​抓​包​断​点
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩7页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢如何用charles进行https抓包 - 简书
<div class="fixed-btn note-fixed-download" data-toggle="popover" data-placement="left" data-html="true" data-trigger="hover" data-content=''>
写了2079字，被2人关注，获得了5个喜欢
如何用charles进行https抓包
项目由http转成了https，遇到个问题是用charles不能抓包的问题。按照抓取http包的方式搭好了环境后，在浏览器里出现了这样的提示。
Paste_Image.png
charles截包的信息如下
Paste_Image.png
为什么会出现这样的情况呢？原因是charles相当于一个中间人代理，用户的浏览器如果直接访问目标服务器，验证CA证书有效，所以不会出这种提示，但是在中间加入charles代理后，实际上用户浏览器就会验证Charles提供的证书，这里显然是验证不过的，所以就会出现这种提示。我们必须手动在客户端导入charles的证书，才能不出现这个信任提示，下边介绍下如何去除这种提示的方法。
1.以小米note MIUI 7，mac版本Charles 3.11.1为例，首先在mac上生成charles的root certification
Paste_Image.png
2.将导出的crt文件上传到手机上，并且进行安装。小米note不能通过文件管理器点击crt文件进行安装，需要进入设置-&安全和隐私-&从存储设备安装
Paste_Image.png
3.正常通过验证，可以截取到https的明文数据了
Paste_Image.png
4.更多端的设置证书方法可以参考这篇官方文档
参考资料1.mac下的抓包工具Charles 2.Charles抓取HTTPS数据包 3.手机上安装证书的方法 4.Charles SSL PROXYING 5.Charles SSL CERTIFICATES
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
选择支付方式：写本文的契机主要是前段时间有次用青花瓷抓包有一步忘了，在网上查了半天也没找到写的完整的教程，于是待问题解决后抽时间截了图，自己写一遍封存在博客园中以便以后随时查阅。
charles又名青花瓷，在iOS开发中的抓包中具有重要作用。最大的三点用处，一就是拦截别人软件的发送的请求和后端接口，练习开发。二是自己后端返回的response拦截修改后再接收以达到测试临界数据的作用。三写脚本重复拦截抓取别人的数据。（因为不太道德，本文不提第三点）
如果你不是在董铂然博客园看到本文，。
1.开始之前的准备工作
首先安装一下这个软件
这个相信很多人电脑里应该都安装了，没安装的搜charles破解版也能很容易搜到。如果没安装java环境，首次进入charles会提示让你安装java包得，直接给你链接是苹果官网的，去下一个一键安装就行了。
&安装完成后先打开，在进行下面操作。
然后去自己电脑的系统偏好设置-》网络-》选中现在连着的网（大部分人应该都是WiFi吧）可以查到自己这个电脑在现在这个wifi里的IP地址，比如我现在这个就是192.168.0.105（建议最好用私人网络，用公司网络的话可能会有限制会出现没反应的问题）
然后找到自己手机也连着这个同名的wifi，然后选中右边的蓝色i。
然后进入到了这个无线局域网的高级设置页面。进去之后拉到最下方，找到HTTP代理字样。然后选中手动代理，并在服务器中填自己电脑查到的ip地址，然后把端口调8888，最后点击左上角返回。返回值后系统会自动设置代理重新连接。
这时候你的手机上网的过程中就要经过你的电脑了。刚用手机打开一个联网的程序，你的电脑上应该会显示一个弹窗问你【allow】还是【deny】肯定不能拒绝啊就点allow吧。这个只有第一次才弹窗，图没截上，你到时候看见肯定能看懂的。点了同意之后你手机发出的每一个请求都会被拦截出痕迹。
2.拦截某个软件的接口数据
拿网易新闻举例，以前就练习这写过网易新闻的项目，其中网易的接口全是用charles拦截的。拦截到了网易发请求时发的是什么，然后在练习项目中需要获取数据的地方也把这一串链接直接拿过来用即可。
当然这上面拦到的比较多，如果有过开发经验的话应该能很快看出来右边哪个是真正返回json数据的接口。或者一个一个点看内容也行啊。
比如选中一个url然后右键点击copy。
放到浏览器地址栏里打一下。能看到
这就说明这个接口是对的了。可以获取到数据。然后可以给他转化一下看的更清楚。虽然很多人都是用bash看，但我还是推荐一个网址http://www.w3cschool.cc/jsontool。转JSON之后看的非常清晰。大部分软件json整理后都是默认把大括号全都打开，而仅有这个网站是默认全给你把大括号关上。想点哪个再点开，而且能知道字典里有多少个键值对，所以看着非常清晰。
到此就已经完成了一次完整的，拉取接口，和获得数据。
这里有两点我想说下：
①就是如果这个App发的请求加密了或是RSA什么的，这个就算拦截了你也弄不到数据。网易是没有做任何加密，所以可以抓取到数据。以前试了拦截百度医生的就不行。他设置的是一分钟内能获取到数据，超过了1分钟这个复制过来的接口就取不到数据了。怀疑可能是用的HMAC方法加密，并且在里面加入了时间判断。32分和33分发出的请求经过编码后是不一样的，后台可能做了容错，会把32分和31分都和你判断下，只要有一个对上就让你过，但是超过了整整一分钟后是肯定获取不到数据了。
②就是很多比较大型的网站，一般会开放一个开发者平台，里面注册开发者账号后会向你公开一个接口文档，你不用再去费事的拦截了。像新浪微博和大众点评都有开发者平台。
3.更改返回数据来测试临界情况。
这个是重点了。因为这种做法可以让一个iOS前端的开发人员独立完成测试而不用拉过来一个后端一起联调。并且各种特殊维度，或是临界的账号也不用再去辛苦找了，仅仅自己在青花瓷上改来改去就可以达到效果了。比如这个地方如果返回了nil程序会不会崩，直接改response就行了。下面是具体操作方案。
打开青花瓷切换成结构页面
这里可以看到断点和调试信息
然后找一个我们公司的页面。这个页面本来应该返回是这样的：如上图右边
你先正常的打开这个页面把玩几下，这个青花瓷就会抓取很多接口和域名分类了。在这里找到你这个页面所属的域名分类应该不难。然后打上断点。这里要注意是在域名上打断点而不是在下面的单个请求上打断点。
再次用手机进入这个页面，就会通过你刚才打断点的那个域名来请求数据，就会被断点拦住，如下图所示。
右边的信息也很清晰，一开始可以编辑请求。如果点击单步执行，等一下相应回来了也可以编辑响应。
这里的有好几种查看的方式，但是推荐使用JSON Text看的比较清楚。 现在我们对拦截回来的数据进行修改，我把这些统计数据全改成999如下图
然后再次点击下方的Execute单步执行，更改后的数据就会像正常返回回来的数据那样显示到，APP的页面上展示。
能来到这一步就说明已经完整的掌握了用青花瓷篡改返回数据测试App的技术。
如果你不是在董铂然博客园看到本文，。
这么做的意义：
这里只是简单的更改了一些数字，在页面显示更加直观。实际的操作中，你可以经常用来把某些值改为临界情况以看到App在处理这些临界状况时的反应，这样比找那些临界数据的测试账号成本要低得多。也可以把一些可能不会反回数值的字段找到，直接将里面的值删成nil，看看会不会报异常等等。
阅读(...) 评论()}