当前位置：首页 > article >正文

王者营地 Token获取：从 SSL Pinning 绕过到 Frida 动态插桩

article 2026/5/7 7:01:25

王者营地官方英雄战力数据抓包实战从 SSL Pinning 绕过到 Frida 动态插桩获取Token背景近期在研究王者荣耀英雄战力数据时需要通过王者营地 App 获取官方战力榜接口参数。过程中遇到了 HTTPS 抓包失败、SSL Pinning 拦截等问题最终通过 Frida 动态插桩成功绕过完整记录下这次技术探索过程。文章目录王者营地官方英雄战力数据抓包实战从 SSL Pinning 绕过到 Frida 动态插桩获取Token一、目标与需求二、初步尝试直接抓包2.1 环境准备2.2 操作抓包2.3 遇到的问题三、解决方案选择四、Frida 环境搭建4.1 安装 Frida 工具链4.2 部署 frida-server 到手机4.3 启动 frida-server4.4 验证连接五、编写 SSL Pinning 绕过脚本5.1 脚本原理5.2 完整脚本ssl-bypass.js5.3 关键方法解析六、执行 Hook 与抓包6.1 Attach 到运行中的进程6.2 配合 Fiddler 抓包6.3 配合 HttpCanary 抓包七、获取到的接口参数请求示例八、完整技术总结8.1 问题解决路径8.2 核心知识点8.3 注意事项九、参考资源一、目标与需求需要获取王者营地 App 中英雄战力榜的官方接口参数用于查询全国/省/市/区各级榜单英雄最低上榜战力英雄排名数据其实本篇主要是抓取UserID和Token本来就想用一下王者荣耀官方战力查询接口但是获取不到参数这能忍吗不能忍。参考分享王者荣耀官方战力查询接口直接调用王者营地API获取英雄战力数据目标接口POSThttps://kohcamp.qq.com/honor/ranklist Content-Type:application/json这是目前最权威、最稳定的战力数据来源很多开源项目包括类似工具都使用这个接口请求参数JSON{adcode:310000,// 地区代码如上海310000roleId:116581781,// 玩家角色IDareaId:3,// 大区1QQ安卓, 2iOS安卓, 3微信安卓, 4微信iOSheroId:146,// 英雄代码如146露娜recommendPrivacy:0}请求头需要token从王者营地 App 抓包获取userId营地用户ID⚠️ 这个接口需要有效的 token通常需要从王者营地 App 抓包获取且 token 可能会过期。二、初步尝试直接抓包2.1 环境准备推荐方案在 PC 上使用雷电模拟器/夜神模拟器 Fiddler操作最方便。工具抓包工具Fiddler5.0、 HttpCanary 雷电模拟器9Android 9.0 ADB调试工具配置模拟器 WiFi 代理指向 Fiddler端口 8888证书Fiddler 根证书已安装到模拟器用户证书目录Fiddler5.0可以去吾爱论坛下载HttpCanary 尽量找找高级版。ADB从官网下载了解压后添加个环境变量即可。我最终Fiddler还是没抓到包但是HttpCanary 可以。2.2 操作抓包配置抓包环境以 Fiddler 模拟器为例步骤 1配置 Fiddler 下载安装 Fiddler 打开 Tools → Options → HTTPS 勾选 Decrypt HTTPS traffic 点击 Actions → Trust Root Certificate 安装证书切换到 Connections 标签勾选 Allow remote computers to connect 记住 Fiddler 的监听端口默认 8888 步骤 2配置模拟器代理打开模拟器的 WiFi 设置长按当前 WiFi → 修改网络 → 高级选项代理选择手动输入你电脑的 IP 地址和端口 8888 步骤 3安装 Fiddler 证书到模拟器在模拟器浏览器中访问http://你的电脑IP:8888 下载并安装 Fiddler 根证书打开Fiddler【工具】-【选项】-【HTTPS】勾选抓取HTTPS连接和解密HTTPS流量可以选择仅从远程客户端抓取因为我们只要模拟器的流量。连接这里配置监听端口默认8888还有勾选允许远程计算机连接。打开模拟器配置模拟器代理记得使用桥接网络模式然后点击wifi配置代理首先查一下你的电脑的ip地址这个时候你的抓包软件应该能捕获到http的流量了之后打开浏览器地址栏输入你的代理IP端口我这里是192.168.10.121:8888,会出现以下界面点击下载完成后安装CA证书。安装好之后代理就配置完成了打开王者营地你会发现根本抓不到需要的包同时还有告警提示打开HttpCanary看看点击设置、选择目标应用、安装CA证书后发现还是一样的甚至应用界面都无法打开了。具体的分析和处理见下面。2.3 遇到的问题抓包时发现所有 HTTPS 请求都显示为CONNECT 隧道无法解密甚至都抓不到HTTPS的流量这个我怀疑是抓包工具的问题后面换成HttpCanary正常的CONNECT galileotelemetry.tencent.com:443 HTTP/1.1 Host: galileotelemetry.tencent.com:443 Connection: Keep-Alive User-Agent: okhttp/4.9.1 A SSLv3-compatible ClientHello handshake was found...原因分析王者营地 App 使用了SSL Pinning证书锁定技术检测到 Fiddler 的中间人证书后拒绝连接导致 Fiddler 只能看到 TCP 握手层无法获取应用层 HTTP 内容。三、解决方案选择方案原理难度适用性Xposed JustTrustMe模块绕过证书校验中需要 Root XposedFrida 动态插桩运行时 Hook 修改验证逻辑中高无需 Xposed更灵活HttpCanary内置 SSL Pinning 绕过低部分版本需 Root降级 Android 版本低版本默认信任用户证书低功能可能受限这里我最终选择Frida原因无需安装 Xposed 框架可以精确 Hook 目标方法对系统侵入性较小对其它感兴趣的伙伴也可以动手试一下四、Frida 环境搭建4.1 安装 Frida 工具链首先你的电脑环境得先安装了python。# 电脑端安装 frida-toolspipinstallfrida-tools# 验证版本frida--version# 输出17.9.5# 查看adb连接情况这里模拟器设置里面要先开启adb调试adb devices# 输出List of devices attached# emulator-5554 device # 这个就是模拟器设备信息4.2 部署 frida-server 到手机frida-server下载 https://github.com/frida/frida/releases# 查看手机架构adb shell getprop ro.product.cpu.abi# 输出x86_64 不同的模拟器不同# 根据上面输出的信息下载对应版本 frida-server# https://github.com/frida/frida/releases# frida-server-17.9.5-android-x86_64.xz# 解压并重命名也可以用自己电脑解压软件解压如7-zip、Bandizipxz-dfrida-server-17.9.5-android-x86_64.xzmvfrida-server-17.9.5-android-x86_64 frida-server# 推送到手机adb push frida-server /data/local/tmp/# 赋予执行权限adb shellchmod 755 /data/local/tmp/frida-server4.3 启动 frida-server# adb shell /data/local/tmp/frida-server # 需要 Root 权限启动adb shellsu -c /data/local/tmp/frida-server 如果遇到报错“Unable to save SELinux policy to the kernel: Permission denied”这是SELinux 权限问题用 Root 权限启动。adb shellsu/data/local/tmp/frida-serveradb root adb shell/data/local/tmp/frida-server 常见问题Address already in usefrida-server 已在运行无需重复启动Permission denied未获取 Root 权限4.4 验证连接frida-ps-U看到手机进程列表说明连接成功。如果报错先杀掉旧的 frida-server后重新启动adb shellsu -c killall frida-serveradb shellsu -c /data/local/tmp/frida-server frida-ps-U五、编写 SSL Pinning 绕过脚本5.1 脚本原理SSL Pinning 绕过核心思想Hook 住 App 中验证服务器证书的方法让其永远返回验证通过。王者营地使用的技术栈HTTP 客户端OkHttp 4.9.1SSL 验证Android 系统 TrustManagerImpl域名验证HostnameVerifier一句话总结Frida 脚本让 App 对 Fiddler 的假证书睁一只眼闭一只眼但 Fiddler 自己还需要被 Android 系统信任才能解密内容。5.2 完整脚本ssl-bypass.jsJava.perform(function(){console.log( Hooking 王者营地 SSL);// 1. Hook 系统级证书校验核心varTrustManagerImplJava.use(com.android.org.conscrypt.TrustManagerImpl);varArrayListJava.use(java.util.ArrayList);TrustManagerImpl.checkTrustedRecursive.implementationfunction(){console.log([] checkTrustedRecursive() bypassed);// 直接返回空列表跳过所有证书链校验returnArrayList.$new();};// 2. Hook OkHttp 证书锁定try{varCertificatePinnerJava.use(okhttp3.CertificatePinner);CertificatePinner.check.overload(java.lang.String,java.util.List).implementationfunction(){console.log([] OkHttp CertificatePinner bypassed);};}catch(e){console.log([-] OkHttp CertificatePinner not found);}// 3. Hook 域名验证try{varhostnameVerifierJava.use(javax.net.ssl.HostnameVerifier);varMyHostnameVerifierJava.registerClass({name:com.example.MyHostnameVerifier,implements:[hostnameVerifier],methods:{verify:function(hostname,session){console.log([] Hostname verified: hostname);returntrue;// 任何域名都通过}}});varHttpsURLConnectionJava.use(javax.net.ssl.HttpsURLConnection);HttpsURLConnection.setDefaultHostnameVerifier(MyHostnameVerifier.$new());}catch(e){console.log([-] HostnameVerifier hook failed);}console.log( Hooks ready);});替代的Python脚本hook.pyimportfridaimportsysdefon_message(message,data):print(message)devicefrida.get_usb_device()piddevice.spawn([com.tencent.gamehelper.smoba])sessiondevice.attach(pid)withopen(ssl-bypass.js,r,encodingutf-8)asf:scriptsession.create_script(f.read())script.on(message,on_message)script.load()device.resume(pid)sys.stdin.read()5.3 关键方法解析Hook 目标原始功能Hook 后效果TrustManagerImpl.checkTrustedRecursive()递归验证证书链是否可信直接返回空列表跳过校验CertificatePinner.check()OkHttp 验证证书指纹空实现不执行校验HostnameVerifier.verify()验证域名与证书匹配永远返回 true六、执行 Hook 与抓包6.1 Attach 到运行中的进程先手动打开王者营地 App# 1. 确认 frida-server 在运行adb shellsu -c ps | grep frida# 2. 查看进程 PIDfrida-ps-U|findstr 王者营地# 输出ID 王者营地# 3. Attach 并加载脚本frida-U-p上面的ID-lC:\Users\yxn\Downloads\ssl-bypass.js成功后会看到[] Hostname verified: galileotelemetry.tencent.com [] Hostname verified: galileotelemetry.tencent.com6.2 配合 Fiddler 抓包注意Frida 绕过了 App 的证书校验但 Fiddler 还需要被 Android 系统信任。证书安装步骤# 导出 Fiddler 证书到桌面# Tools → Options → HTTPS → Actions → Export Root Certificate# 推送到系统证书目录模拟器已 Rootadb root adb remount adb push FiddlerRoot.cer /system/etc/security/cacerts/ adb shellchmod 644 /system/etc/security/cacerts/FiddlerRoot.ceradbrebootFiddler 里全是 Tunnel to 说明 HTTPS 解密没生效Frida 虽然绕过了 App 的 SSL Pinning但 Fiddler 本身没能解密流量。6.3 配合 HttpCanary 抓包如果 Fiddler 证书一直搞不定直接在模拟器里装 HttpCanary下载 HttpCanary APK 安装到模拟器HttpCanary 设置 → 安装根证书 → 选择 System Trusted需要 RootHttpCanary 有内置 SSL Pinning 绕过功能开启抓包 → 打开王者营地 → 操作战力查询在 HttpCanary 里直接看明文请求成功了可以看到捕获到了kohcamp.qq.com相关的数据随便点一个进去里面就有我们要的内容七、获取到的接口参数请求示例POST https://kohcamp.qq.com/honor/ranklist HTTP/1.1 Host: kohcamp.qq.com token: eyJhbGciOiJIUzI1NiIs... userId: 123456789 openid: oABC123... appid: 1104466820 version: 8.94.0417 Content-Type: application/json { adcode: 310000, // 地区代码上海 roleId: 116581781, // 角色ID areaId: 3, // 大区3微信安卓 heroId: 146, // 英雄ID146露娜 recommendPrivacy: 0 } # python请求头 DEFAULT_HEADERS { Content-Type: application/json, Accept: */*, Host: kohcamp.qq.com, Connection: keep-alive, User-Agent: ( Mozilla/5.0 (Linux; Android 14; PLR110 Build/UKQ1.230917.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/121.0.6167.178 Mobile Safari/537.36 ), }关键参数说明参数位置说明tokenHeader营地登录态令牌userIdHeader营地用户IDopenidHeader微信/QQ OpenIDroleIdBody游戏角色IDareaIdBody大区代码1QQ安卓, 2iOS, 3微信安卓, 4微信iOSheroIdBody英雄ID可从 herolist.json 获取adcodeBody行政区划代码100000全国, 310000上海等编写一点python代码战力数据查询请求成功舒服了。八、完整技术总结8.1 问题解决路径直接抓包失败CONNECT 隧道 ↓ 识别 SSL Pinning 问题 ↓ 选择 Frida 动态插桩方案 ↓ 搭建 Frida 环境frida-server 客户端 ↓ 编写 Hook 脚本绕过证书校验 ↓ Attach 到目标进程 ↓ 配合 Fiddler 系统证书 ↓ 使用HttpCanary抓包获取 ↓ 成功获取明文接口参数8.2 核心知识点SSL PinningApp 将服务器证书指纹硬编码防止中间人攻击Frida 动态插桩运行时修改内存中的方法实现无需修改 APKTrustManagerImplAndroid 底层证书链验证核心类OkHttp CertificatePinner应用层额外的证书指纹校验8.3 注意事项法律合规仅供学习研究勿用于商业或恶意用途账号安全token 等凭证有有效期勿泄露请求频率避免高频调用防止被封接口变动官方可能随时更新接口需持续关注九、参考资源Frida 官方文档OkHttp SSL 文档Android TrustManager 源码SSL Pinning 绕过技术总结结语这次探索从抓包失败到深入理解 SSL Pinning 机制再到掌握 Frida 动态插桩技术收获颇丰。移动安全领域还有很多值得深挖的方向保持好奇心持续学习。有了战力数据后面我们就可以做很多的事情了比如战区修改推荐合适的战区分析那个战区容易上榜等具体的开发见后续文章创作不易点赞收藏支持一下吧~

王者营地 Token获取：从 SSL Pinning 绕过到 Frida 动态插桩

相关文章：

王者营地 Token获取：从 SSL Pinning 绕过到 Frida 动态插桩

Better Godot MCP：用AI助手与Model Context Protocol提升Godot游戏开发效率

DeepPCB：突破PCB缺陷检测技术瓶颈的工业级解决方案

Neovim状态栏插件moo-statusline：模块化设计与高效定制指南

AMD Ryzen内存时序监控终极指南：ZenTimings工具快速上手教程

实战指南：基于快马平台快速开发全栈tokenpo质押收益农场应用

中国词元：构建AI新基建的生态密码

告别高成本DAC！用单片机PWM+RC滤波，低成本搞定LM5175数控电源的电压调节

2026年工地无塔供水压力罐批发厂家，这些靠谱之选你知道吗？

【深度解析】从 Chatbot 到 AI 数字队友：Claude 高阶能力、模型选型与 API 实战

小红书上的“三天写完论文”是真的吗？我试了，真的

JSXBIN解密技术深度解析：Jsxer如何高效还原Adobe加密脚本

【深度解析】Google AI Studio Vibe Coding 更新：从 Prompt 生成到可视化应用构建闭环

AI工具搭建自动化视频生成Video Combine

短剧拉片网站2026推荐，满足多样分析需求

2026 热门网页游戏推荐，耐玩不氪金的网页游戏大盘点

C++模板技术（泛型编程）

蓝桥杯单片机CT107D平台：用PCF8591的DAC做个简易数字电压表（附完整代码）

STM32CubeMX配置GPIO输入时，上拉/下拉电阻到底怎么选？一个按键电路原理图讲明白

AI编程助手安全防护：AgentCheck实时监控与行为纠正系统

astral-sh发布的musl和gnu版本standalone python 性能比较

5分钟掌握八大网盘极速下载：LinkSwift直链助手完全攻略

在wsl中使用cython.txt

2026年相城木托盘回收，厂家直收省心又划算

前端八股整理总索引｜JS/TS、HTML/CSS、Vue、浏览器、工程化与手写题

SwiftUI与WebSocket构建iOS原生IM应用：从原理到实战

熵减开发悖论突破方案：软件测试的破局之道

平行宇宙数据同步协议：软件测试的多维挑战与验证体系

二向箔压缩测试极限挑战

LeaguePrank终极指南：如何3分钟安全自定义英雄联盟游戏展示？