techmenance6-wq/Instagram-SSL-Pinning-Bypass-2026
GitHub: techmenance6-wq/Instagram-SSL-Pinning-Bypass-2026
提供已预先禁用 SSL Pinning 的 Instagram 安卓应用包,方便安全研究者在免 root 环境下配合代理工具进行 HTTPS 流量拦截与调试。
Stars: 0 | Forks: 0
# 📱 Instagram SSL Pinning Bypass — Android
这是一个已禁用 SSL 证书 pinning 的预修补版 Instagram APK,专为授权的安全测试、调试和应用研究而设计。
可以使用 Burp Suite、mitmproxy、Reqable 和 Proxypin 等工具检查支持的 HTTPS 流量。
## ✨ 功能
- ✅ 已禁用 SSL 证书 pinning
- ✅ 支持用户安装的 CA 证书
- ✅ 无需 root 权限
- ✅ 无需 Frida 脚本
- ✅ 无需 Magisk 模块
- ✅ 适用于物理 Android 设备
- ✅ 适用于主流 Android 模拟器
- ✅ 兼容常见的 MITM 代理工具
- ✅ 支持 `arm64-v8a` 和 `x86_64`
- ✅ 简单的代理配置
## 🔍 工作原理
Instagram 使用了多层 HTTPS 保护机制。
### 1️⃣ Android 网络安全配置
应用程序可能会将受信任的证书颁发机构限制为系统安装的 CA 证书。
这会阻止用户安装的代理证书被信任。
### 2️⃣ 应用层 Certificate Pinning
Instagram 可能会使用以下组件:
- `CertificatePinner`
- `TrustManager`
- 自定义证书验证器
- Native 证书验证
- 硬编码的证书检查
- Public-key pinning
即使安装了代理 CA 证书,这些保护机制也可能会拒绝被拦截的流量。
### 🛠️ 修补更改
修补后的 APK 通过以下方式修改了相关的证书验证行为:
- ✅ 允许用户安装的 CA 证书
- ✅ 在适用处启用 pin 覆盖
- ✅ 中和支持的 certificate-pinning 检查
- ✅ 绕过特定的自定义证书验证器
- ✅ 允许 HTTPS 流量通过配置的调试代理
当设备和代理配置正确时,可以通过您的代理工具查看支持的 HTTPS 请求。
## 📡 可检查的内容
根据 Instagram 版本、设备、endpoint 和配置的不同,您可能可以检查到以下内容:
- 🌐 REST API 请求与响应
- 🧩 GraphQL 查询
- 📰 Feed 请求
- 🎞️ Stories 请求
- 🔎 搜索请求
- 💬 Direct-message 请求
- 🖼️ 媒体与 CDN URL
- 🔐 身份验证流程
- 🍪 Session 相关请求
- 📊 Analytics 事件
- 🧭 Tracking 事件
- ⚠️ 应用程序错误响应
- ⚙️ 配置请求
- 🎯 内容推荐请求
## 📦 安装说明
在安装修补后的 APK 之前,您可能需要先卸载官方的 Instagram 应用程序。
```
adb uninstall com.instagram.android
```
安装修补后的 APK:
```
adb install instagram-patched.apk
```
替换现有的兼容版本:
```
adb install -r instagram-patched.apk
```
## 📲 物理 Android 设备设置
1. ✅ 安装修补后的 Instagram APK。
2. ✅ 将 Android 设备和计算机连接到同一个 Wi-Fi 网络。
3. ✅ 找到您计算机的本地 IPv4 地址。
4. ✅ 在 Android 设备上打开 Wi-Fi 代理设置。
5. ✅ 输入您计算机的 IP 地址作为代理主机。
6. ✅ 将代理端口设置为 `8080`。
7. ✅ 安装代理工具的 CA 证书。
8. ✅ 启动代理监听器。
9. ✅ 打开 Instagram。
10. ✅ 确认请求是否出现在代理中。
### mitmweb 命令示例
```
mitmweb --listen-host 0.0.0.0 --listen-port 8080
```
### mitmproxy 命令示例
```
mitmproxy --listen-host 0.0.0.0 --listen-port 8080
```
## 🖥️ Android 模拟器设置
1. ✅ 在模拟器上安装修补后的 APK。
2. ✅ 将模拟器配置为使用宿主机的代理。
3. ✅ 在模拟器内部安装代理 CA 证书。
4. ✅ 启动代理工具。
5. ✅ 启动 Instagram。
6. ✅ 在代理历史记录中检查捕获的请求。
### 支持的模拟器选项
- Android Studio Emulator
- NoxPlayer
- LDPlayer
- BlueStacks
## ⚙️ ADB 代理配置
设置 Android 代理:
```
adb shell settings put global http_proxy YOUR_PC_IP:8080
```
示例:
```
adb shell settings put global http_proxy 192.168.1.100:8080
```
移除代理:
```
adb shell settings put global http_proxy :0
```
检查当前代理:
```
adb shell settings get global http_proxy
```
## 🧰 兼容的代理工具
| 工具 | 类型 | 状态 |
|---|---|---|
| Burp Suite | 桌面端安全测试代理 | ✅ 支持 |
| mitmproxy | 开源 CLI 和 Web UI | ✅ 支持 |
| Reqable | 现代流量检查工具 | ✅ 支持 |
| Proxypin | 轻量级流量捕获工具 | ✅ 支持 |
## 📋 支持的版本
| Instagram 版本 | 架构 | 状态 |
|---|---|---|
| `435.0.0.37.76` | `arm64-v8a`, `x86_64` | ✅ 可通过 Telegram 获取 |
## ⬇️ 下载
如需获取最新版本或请求自定义的 Instagram 版本:
[](https://t.me/devboy503)
## 🧪 快速测试清单
在启动 Instagram 之前,请确认以下事项:
- [ ] 已安装修补后的 APK
- [ ] 手机和计算机在同一网络下
- [ ] 使用了正确的 IPv4 地址
- [ ] 代理正在监听 `8080` 端口
- [ ] 防火墙允许传入连接
- [ ] 已安装代理 CA 证书
- [ ] Android 代理配置正确
- [ ] 没有 VPN 绕过 Wi-Fi 代理
- [ ] Instagram 不是官方未修补的版本
## 🛠️ 故障排除
### ❌ 没有出现流量
请检查:
- ✅ 手机和计算机连接到同一网络
- ✅ 代理 IP 地址正确
- ✅ 代理正在监听 `0.0.0.0`
- ✅ `8080` 端口未被阻止
- ✅ 已安装 CA 证书
- ✅ Instagram 正在使用修补后的 APK
- ✅ VPN 没有绕过代理
- ✅ 私有 DNS 没有干扰连接
在 Windows 上,使用以下命令检查您的网络信息:
```
ipconfig
```
请使用您当前活动的 Wi-Fi 或以太网适配器的 IPv4 地址。
请避免使用:
- ❌ `127.0.0.1`
- ❌ WSL 虚拟适配器地址
- ❌ Hyper-V 虚拟适配器地址
- ❌ 不活动的以太网适配器地址
### 🚫 拒绝连接
确认代理是否正在运行:
```
mitmweb --listen-host 0.0.0.0 --listen-port 8080
```
确认所选端口未被占用:
```
netstat -ano | findstr :8080
```
您可能还需要在 Windows 防火墙中允许 `8080` 端口通行。
### 🔒 证书错误
请移除旧的代理证书,并安装当前使用的代理工具生成的证书。
对于 mitmproxy,请从设置了代理的 Android 设备打开以下地址:
```
http://mitm.it
```
然后下载并安装 Android 证书。
### 📵 APK 无法安装
官方 Instagram 应用程序和修补后的 APK 可能拥有不同的签名证书。
请卸载现有的应用程序:
```
adb uninstall com.instagram.android
```
安装修补后的 APK:
```
adb install instagram-patched.apk
```
### ⚠️ 应用程序能打开但请求失败
可能的原因包括:
- 额外的 native 证书验证
- 不支持的 Instagram 版本
- 代理证书不正确
- QUIC 或 HTTP/3 流量
- 二进制或加密的请求 payload
- 设备完整性检查
- 模拟器检测
- 应用程序签名验证
- 服务端安全限制