techmenance6-wq/Instagram-SSL-Pinning-Bypass-2026

GitHub: techmenance6-wq/Instagram-SSL-Pinning-Bypass-2026

提供已预先禁用 SSL Pinning 的 Instagram 安卓应用包,方便安全研究者在免 root 环境下配合代理工具进行 HTTPS 流量拦截与调试。

Stars: 0 | Forks: 0

# 📱 Instagram SSL Pinning Bypass — Android 这是一个已禁用 SSL 证书 pinning 的预修补版 Instagram APK,专为授权的安全测试、调试和应用研究而设计。 可以使用 Burp Suite、mitmproxy、Reqable 和 Proxypin 等工具检查支持的 HTTPS 流量。 ## ✨ 功能 - ✅ 已禁用 SSL 证书 pinning - ✅ 支持用户安装的 CA 证书 - ✅ 无需 root 权限 - ✅ 无需 Frida 脚本 - ✅ 无需 Magisk 模块 - ✅ 适用于物理 Android 设备 - ✅ 适用于主流 Android 模拟器 - ✅ 兼容常见的 MITM 代理工具 - ✅ 支持 `arm64-v8a` 和 `x86_64` - ✅ 简单的代理配置 ## 🔍 工作原理 Instagram 使用了多层 HTTPS 保护机制。 ### 1️⃣ Android 网络安全配置 应用程序可能会将受信任的证书颁发机构限制为系统安装的 CA 证书。 这会阻止用户安装的代理证书被信任。 ### 2️⃣ 应用层 Certificate Pinning Instagram 可能会使用以下组件: - `CertificatePinner` - `TrustManager` - 自定义证书验证器 - Native 证书验证 - 硬编码的证书检查 - Public-key pinning 即使安装了代理 CA 证书,这些保护机制也可能会拒绝被拦截的流量。 ### 🛠️ 修补更改 修补后的 APK 通过以下方式修改了相关的证书验证行为: - ✅ 允许用户安装的 CA 证书 - ✅ 在适用处启用 pin 覆盖 - ✅ 中和支持的 certificate-pinning 检查 - ✅ 绕过特定的自定义证书验证器 - ✅ 允许 HTTPS 流量通过配置的调试代理 当设备和代理配置正确时,可以通过您的代理工具查看支持的 HTTPS 请求。 ## 📡 可检查的内容 根据 Instagram 版本、设备、endpoint 和配置的不同,您可能可以检查到以下内容: - 🌐 REST API 请求与响应 - 🧩 GraphQL 查询 - 📰 Feed 请求 - 🎞️ Stories 请求 - 🔎 搜索请求 - 💬 Direct-message 请求 - 🖼️ 媒体与 CDN URL - 🔐 身份验证流程 - 🍪 Session 相关请求 - 📊 Analytics 事件 - 🧭 Tracking 事件 - ⚠️ 应用程序错误响应 - ⚙️ 配置请求 - 🎯 内容推荐请求 ## 📦 安装说明 在安装修补后的 APK 之前,您可能需要先卸载官方的 Instagram 应用程序。 ``` adb uninstall com.instagram.android ``` 安装修补后的 APK: ``` adb install instagram-patched.apk ``` 替换现有的兼容版本: ``` adb install -r instagram-patched.apk ``` ## 📲 物理 Android 设备设置 1. ✅ 安装修补后的 Instagram APK。 2. ✅ 将 Android 设备和计算机连接到同一个 Wi-Fi 网络。 3. ✅ 找到您计算机的本地 IPv4 地址。 4. ✅ 在 Android 设备上打开 Wi-Fi 代理设置。 5. ✅ 输入您计算机的 IP 地址作为代理主机。 6. ✅ 将代理端口设置为 `8080`。 7. ✅ 安装代理工具的 CA 证书。 8. ✅ 启动代理监听器。 9. ✅ 打开 Instagram。 10. ✅ 确认请求是否出现在代理中。 ### mitmweb 命令示例 ``` mitmweb --listen-host 0.0.0.0 --listen-port 8080 ``` ### mitmproxy 命令示例 ``` mitmproxy --listen-host 0.0.0.0 --listen-port 8080 ``` ## 🖥️ Android 模拟器设置 1. ✅ 在模拟器上安装修补后的 APK。 2. ✅ 将模拟器配置为使用宿主机的代理。 3. ✅ 在模拟器内部安装代理 CA 证书。 4. ✅ 启动代理工具。 5. ✅ 启动 Instagram。 6. ✅ 在代理历史记录中检查捕获的请求。 ### 支持的模拟器选项 - Android Studio Emulator - NoxPlayer - LDPlayer - BlueStacks ## ⚙️ ADB 代理配置 设置 Android 代理: ``` adb shell settings put global http_proxy YOUR_PC_IP:8080 ``` 示例: ``` adb shell settings put global http_proxy 192.168.1.100:8080 ``` 移除代理: ``` adb shell settings put global http_proxy :0 ``` 检查当前代理: ``` adb shell settings get global http_proxy ``` ## 🧰 兼容的代理工具 | 工具 | 类型 | 状态 | |---|---|---| | Burp Suite | 桌面端安全测试代理 | ✅ 支持 | | mitmproxy | 开源 CLI 和 Web UI | ✅ 支持 | | Reqable | 现代流量检查工具 | ✅ 支持 | | Proxypin | 轻量级流量捕获工具 | ✅ 支持 | ## 📋 支持的版本 | Instagram 版本 | 架构 | 状态 | |---|---|---| | `435.0.0.37.76` | `arm64-v8a`, `x86_64` | ✅ 可通过 Telegram 获取 | ## ⬇️ 下载 如需获取最新版本或请求自定义的 Instagram 版本: [![Telegram](https://img.shields.io/badge/Telegram-Contact%20Me-2CA5E0?logo=telegram&logoColor=white)](https://t.me/devboy503) ## 🧪 快速测试清单 在启动 Instagram 之前,请确认以下事项: - [ ] 已安装修补后的 APK - [ ] 手机和计算机在同一网络下 - [ ] 使用了正确的 IPv4 地址 - [ ] 代理正在监听 `8080` 端口 - [ ] 防火墙允许传入连接 - [ ] 已安装代理 CA 证书 - [ ] Android 代理配置正确 - [ ] 没有 VPN 绕过 Wi-Fi 代理 - [ ] Instagram 不是官方未修补的版本 ## 🛠️ 故障排除 ### ❌ 没有出现流量 请检查: - ✅ 手机和计算机连接到同一网络 - ✅ 代理 IP 地址正确 - ✅ 代理正在监听 `0.0.0.0` - ✅ `8080` 端口未被阻止 - ✅ 已安装 CA 证书 - ✅ Instagram 正在使用修补后的 APK - ✅ VPN 没有绕过代理 - ✅ 私有 DNS 没有干扰连接 在 Windows 上,使用以下命令检查您的网络信息: ``` ipconfig ``` 请使用您当前活动的 Wi-Fi 或以太网适配器的 IPv4 地址。 请避免使用: - ❌ `127.0.0.1` - ❌ WSL 虚拟适配器地址 - ❌ Hyper-V 虚拟适配器地址 - ❌ 不活动的以太网适配器地址 ### 🚫 拒绝连接 确认代理是否正在运行: ``` mitmweb --listen-host 0.0.0.0 --listen-port 8080 ``` 确认所选端口未被占用: ``` netstat -ano | findstr :8080 ``` 您可能还需要在 Windows 防火墙中允许 `8080` 端口通行。 ### 🔒 证书错误 请移除旧的代理证书,并安装当前使用的代理工具生成的证书。 对于 mitmproxy,请从设置了代理的 Android 设备打开以下地址: ``` http://mitm.it ``` 然后下载并安装 Android 证书。 ### 📵 APK 无法安装 官方 Instagram 应用程序和修补后的 APK 可能拥有不同的签名证书。 请卸载现有的应用程序: ``` adb uninstall com.instagram.android ``` 安装修补后的 APK: ``` adb install instagram-patched.apk ``` ### ⚠️ 应用程序能打开但请求失败 可能的原因包括: - 额外的 native 证书验证 - 不支持的 Instagram 版本 - 代理证书不正确 - QUIC 或 HTTP/3 流量 - 二进制或加密的请求 payload - 设备完整性检查 - 模拟器检测 - 应用程序签名验证 - 服务端安全限制