# mitm-proxy

HTTP/HTTPS 中间人（MITM）代理，内置实时 Web UI，支持流量拦截与分析。单文件部署，无需额外依赖。

## 功能特性

- 拦截 HTTP 和 HTTPS 流量，查看完整的请求/响应头和 Body
- 实时 Web UI，通过 WebSocket 推送新流量，无需刷新页面
- 支持按 Host、Method、Status Code 及关键词过滤流量
- 自动生成 CA 证书，支持一键安装到系统信任库
- 内存环形缓冲区管理流量记录，可配置最大容量
- React 前端通过 `go:embed` 嵌入到 Go 二进制，零依赖运行
- 支持 Docker 部署

## 工作原理

```
客户端（浏览器）
    ↓ 配置代理 http://localhost:8080
代理服务器（mitm-proxy）
    ├── HTTP 请求：直接拦截并转发
    └── HTTPS 请求（CONNECT 隧道）：
            动态签发目标域名证书 → 与客户端建立 TLS → 与真实服务器建立 TLS
            解密流量 → 记录到 Store → 重新加密发回客户端
    ↓
真实服务器
```

代理使用 ECDSA P-256 自签名 CA 证书，为每个访问的域名动态签发证书，实现 HTTPS 流量的透明解密。

## 安装

### 方式一：从源码构建

**前提条件：**

- Go 1.22+
- Node.js 18+、npm

```bash
git clone https://git.woa.com/johnezhou/mitm-proxy.git
cd mitm-proxy

# 构建（自动编译前端 + Go 二进制）
make build

# 二进制输出到 bin/mitm-proxy
./bin/mitm-proxy --help
```

### 方式二：Docker

```bash
# 构建镜像
make docker

# 运行容器
make docker-run
# 等价于：
# docker run -p 8080:8080 -p 8081:8081 \
#            -v ~/.mitm-proxy:/root/.mitm-proxy \
#            mitm-proxy:latest
```

## 快速开始

### 1. 启动代理

```bash
# 默认配置启动（代理端口 8080，Web UI 端口 8081）
./bin/mitm-proxy start

# 自定义端口
./bin/mitm-proxy start --proxy-port 9090 --ui-port 9091

# 增加流量记录容量
./bin/mitm-proxy start --max-flows 50000
```

启动后输出：

```
Proxy listening on :8080
Web UI at http://localhost:8081
CA cert: /root/.mitm-proxy/ca.crt (install with: mitm-proxy cert install)
```

### 2. 安装 CA 证书

HTTPS 流量解密需要将 CA 证书加入系统信任库：

```bash
# 自动安装（推荐）
./bin/mitm-proxy cert install

# 查看证书路径
./bin/mitm-proxy cert export
# 输出：~/.mitm-proxy/ca.crt
```

也可以通过 Web UI 下载：访问 `http://localhost:8081`，点击工具栏中的 **CA** 按钮下载证书后手动导入。

**手动导入：**

macOS：

```bash
security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain \
    ~/.mitm-proxy/ca.crt
```

Linux：

```bash
sudo cp ~/.mitm-proxy/ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
```

### 3. 配置客户端代理

**命令行（临时）：**

```bash
export http_proxy=http://localhost:8080
export https_proxy=http://localhost:8080

curl https://example.com
```

**浏览器：** 在系统网络设置或浏览器代理设置中，将 HTTP/HTTPS 代理设置为 `localhost:8080`。

### 4. 查看流量

打开浏览器访问 `http://localhost:8081`，即可实时查看所有拦截到的流量。

## Web UI 使用说明

```
┌──────────────────────────────────────────────────────────────┐
│ mitm-proxy │ [host]  [method]  [status]  [Clear]  [CA]  N flows│
├────────────────────┬─────────────────────────────────────────┤
│ 流量列表（左侧）     │ 流量详情（右侧）                          │
│                    │ Headers | Request | Response | Raw       │
│ GET  200 /api/v1   │                                          │
│ POST 404 /login    │ 请求头、响应头、Body、完整 JSON            │
└────────────────────┴─────────────────────────────────────────┘
```

**过滤栏：**

- Host：模糊匹配域名
- Method：按请求方法过滤（GET、POST 等）
- Status：按状态码过滤

**工具栏按钮：**

- **Clear**：清空所有流量记录
- **CA**：下载 CA 证书

**详情面板标签：**

- **Headers**：请求头和响应头
- **Request**：请求 Body
- **Response**：响应 Body
- **Raw**：完整 JSON 数据

## 命令参考

```
mitm-proxy start [flags]
  --proxy-port int    代理监听端口（默认：8080）
  --ui-port int       Web UI 监听端口（默认：8081）
  --max-flows int     内存中保留的最大流量条数（默认：10000）

mitm-proxy cert install    安装 CA 证书到系统信任库
mitm-proxy cert export     输出 CA 证书路径
```

## API

| 端点                | 方法        | 说明               |
|-------------------|-----------|------------------|
| `/api/flows`      | GET       | 列出流量，支持过滤和分页     |
| `/api/flows`      | DELETE    | 清空所有流量           |
| `/api/flows/{id}` | GET       | 获取单条流量详情         |
| `/api/cert`       | GET       | 下载 CA 证书（PEM 格式） |
| `/api/status`     | GET       | 获取代理状态           |
| `/api/ws`         | WebSocket | 实时接收新流量推送        |

**过滤参数（GET /api/flows）：**

```
?host=example.com&method=GET&status=200&q=keyword&limit=50&offset=0
```

## 构建命令

```bash
make build      # 编译前端 + Go 二进制
make web        # 仅构建前端
make test       # 运行测试
make clean      # 清理构建产物
make docker     # 构建 Docker 镜像
make docker-run # 运行 Docker 容器
```

## CA 证书存储位置

```
~/.mitm-proxy/
├── ca.crt    # CA 证书（PEM 格式）
└── ca.key    # CA 私钥（权限 0600）
```

首次启动时自动生成，有效期 10 年。

## iOS 设备使用指南

在 iPhone/iPad 上抓包小程序或 App 请求，需要完成两步：设置 Wi-Fi 代理 + 安装 CA 证书。

**前提：** iOS 设备和运行 mitm-proxy 的电脑必须连接**同一 Wi-Fi**。

### 第一步：获取电脑 IP

在电脑上查看本机局域网 IP：

```bash
# macOS
ipconfig getifaddr en0

# Linux
ip addr show | grep 'inet ' | grep -v 127.0.0.1
```

记下 IP，例如 `192.168.1.100`。

### 第二步：启动代理（监听所有网卡）

mitm-proxy 默认只监听 `localhost`，需要改为监听所有网卡，iOS 设备才能访问：

```bash
./bin/mitm-proxy start --proxy-addr 0.0.0.0:8080
```

> 如果 `--proxy-addr` 不支持，可以用 `--proxy-port 8080`，代理默认已绑定 0.0.0.0。

### 第三步：iOS 配置 Wi-Fi 代理

1. 打开 **设置 → Wi-Fi**
2. 点击当前连接的 Wi-Fi 右侧的 **ⓘ**
3. 滚动到底部，点击 **配置代理**
4. 选择 **手动**
5. 填写：
    - **服务器**：`192.168.1.100`（电脑局域网 IP）
    - **端口**：`8080`
6. 点击右上角**存储**

### 第四步：安装 CA 证书（HTTPS 抓包必须）

#### 4.1 下载证书到 iOS

在 iOS Safari 中访问（**必须用 Safari**，其他浏览器无法触发安装）：

```
http://192.168.1.100:8081
```

点击 Web UI 右上角 **CA** 按钮，Safari 会弹出"此网站正在尝试下载一个配置描述文件"，点击**允许**，然后**关闭**。

#### 4.2 安装描述文件

1. 打开 **设置**，顶部会出现"**已下载描述文件**"的提示，点击进入
2. 点击右上角**安装**，输入设备密码确认

#### 4.3 信任 CA 证书（关键步骤）

iOS 安装证书后默认不信任，还需要手动开启 SSL 信任：

1. 打开 **设置 → 通用 → 关于本机**
2. 滚动到最底部，点击**证书信任设置**
3. 找到 **mitm-proxy CA**（或类似名称），将开关打开
4. 弹出警告，点击**继续**

### 第五步：验证抓包

完成以上配置后，用 Safari 或目标 App 发起请求，在电脑浏览器打开 `http://localhost:8081` 即可看到 iOS 设备的流量。

### 注意事项

- **抓包结束后** 记得关闭 iOS Wi-Fi 代理设置，否则电脑关闭代理后 iOS 无法上网
- **微信小程序**：微信有自己的证书验证，需确保 CA 证书已正确信任；部分小程序启用了 SSL Pinning 无法抓包
- **部分 App** 使用 Certificate Pinning 技术，即使安装了 CA 证书也无法解密，属于 App 的安全机制
- iOS 14+ 对企业证书有额外限制，但自签 CA 走"配置描述文件"方式不受影响


vibe coding 一个代理小工具

> 在申请好域名后，需要进一步申请SSL证书才可以让别人访问你的网站时，是一个安全的连接

SSL证书申请的几种方式
1. 找云厂商申请,例如腾讯云，腾讯云提供免费的SSL证书，证书的有效期为3个月，每次都需要手动续
2. 使用免费SSL，acme.sh工具

由于acme.sh工具是免费的，且可以无限续，支持范域名，因此我们着重讲解下使用步骤
1. 下载工具
```
git clone https://gitee.com/neilpang/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com
```
2. 去云厂商使用DNS API验证

DNS 方式的真正强大之处在于可以使用域名解析商提供的 API 自动添加 TXT 记录，且在完成验证后删除对应的记录。
[腾讯云](https://console.dnspod.cn/dns/list/detail/nobugs.com.cn/records)
[](https://console.dnspod.cn/dns/list/detail/nobugs.com.cn/records)
![Clipboard_Screenshot_1770096292.png](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/f524f25d71af032c707200980ced2689.Clipboard_Screenshot_1770096292.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1770096296;9000000000&q-key-time=1770096296;9000000000&q-header-list=host&q-url-param-list=&q-signature=e03150b3691c8e6e4960c179e218fb1d8b79d489)
找到对应的
``DP_Id``,``DP_Key``

3. 执行操作

```
export DP_Id="id"

export DP_Key="key"

./acme.sh --issue --dns dns_dp -d example.com -d *.example.com

./acme.sh --install-cert -d example.com \
--key-file       /data/nginx/certs/key.pem  \
--fullchain-file /data/nginx/certs/cert.pem \
--reloadcmd     "docker exec nginx nginx -s reload"
```

## 其他
- 查看自动更新的定时任务
自动更新的定时任务会执行``reloadcmd``里面的方法,因为我这边是``nginx``是``docker``部署的，因此使用``docker exec nginx nginx -s reload`` 重新加载
```
crontab -l

22 18 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
```
- 国内签发正式失败
调整默认CA
```
acme.sh --set-default-ca --server letsencrypt
```

- 更多使用技巧

[Git仓库](https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E)



免费SSL证书申请

docker中配置的nginx,nginx对外统一暴露服务,其他的服务都以docker的方式在服务器上运行,如何通过该服务暴露其他的docker服务

## 检查服务是否与nginx部署在一起
```
docker network ls

docker inspect nginx --format='{{range .NetworkSettings.Networks}}{{.NetworkID}}{{end}}'
```

## 手动连接服务网络到Nginx网络
```
docker network connect 115bb947027b one-api
```

或者在启动的时候指定网络
```
docker run --name one-api -d \
  --restart always \
  --network 115bb947027b \  # 直接使用网络ID 或者网络名称
  -p 3000:3000 \
  -e TZ=Asia/Shanghai \
  -v /data/one-api:/data \
  justsong/one-api
```

但是更建议使用docker-compse启动
```
version: '3.8'

services:
  one-api:
    image: justsong/one-api
    container_name: one-api
    restart: always
    ports:
      - "3000:3000"
    environment:
      - TZ=Asia/Shanghai
    volumes:
      - /data/one-api:/data
    networks:
      - nginx-network

networks:
  nginx-network:
    external: true
    name: vanblog_default
```

# docker中的nginx添加配置
```
server {
    listen 80;
    server_name nobugs.com.cn;
    return 301 https://$host$request_uri; 
}

server {
    listen 80;
    server_name api.nobugs.com.cn; # 指定子域名
    return 301 https://$host$request_uri;
}

server {
    listen 80;
    server_name interface.nobugs.com.cn; # 指定子域名
    return 308 https://$host$request_uri; # 这里和上面的301不一样
}


server {
    listen       443 ssl;

    location / {
        proxy_pass http://one-api:3000;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

server {
    listen       443 ssl;

    location / {
        proxy_pass http://api-server:8080;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}
```
🫢特别注意
2个服务有区别，重定向的不一样，一个是***301***，一个***308***

![Clipboard_Screenshot_1775201562.png](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/ac5f91c35c9a4f17aec19e3d9f600b06.Clipboard_Screenshot_1775201562.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1775201654;9000000000&q-key-time=1775201654;9000000000&q-header-list=host&q-url-param-list=&q-signature=e640f49d982514a60bdb5f9625444a518e9f9854)
-- --

# 重启docker中的nginx
```
docker exec nginx nginx -s reload
```

# 申请子域名[以腾讯云为例](https://console.cloud.tencent.com/cns)
1. 申请子域名
![申请](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/a724b67869b1a9822565e9e2707c742a.Clipboard_Screenshot_1770091047.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1770091095;9000000000&q-key-time=1770091095;9000000000&q-header-list=host&q-url-param-list=&q-signature=47ec1d5da979dc5101f568743bc0178e2faf8fe7)

2. 添加子域名的解析到主域名

![Clipboard_Screenshot_1770091185.png](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/5b6da8fff312e28232c3a2dc18befa07.Clipboard_Screenshot_1770091185.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1770091206;8999999999&q-key-time=1770091206;8999999999&q-header-list=host&q-url-param-list=&q-signature=56481330ef439e22f4cb03c51af640a9a08c9ced)

3. 找到子域名的解析配置
![Clipboard_Screenshot_1770091281.png](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/06928aaaacc9fb40588b7cfeb7e91bed.Clipboard_Screenshot_1770091281.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1770091288;9000000000&q-key-time=1770091288;9000000000&q-header-list=host&q-url-param-list=&q-signature=e0bdc30a8966a72e5479681d0b73502a68580744)

4. 回到主域名中添加主域名的解析配置
![Clipboard_Screenshot_1770091351.png](https://static-file-1258818085.cos.ap-guangzhou.myqcloud.com/picGo/2025/e0edc7a55059024855f0a82b7795f8df.Clipboard_Screenshot_1770091351.png?q-sign-algorithm=sha1&q-ak=AKIDdCoJi3NgvDPemgQxGLCoFSRCj27nFVcd&q-sign-time=1770091375;8999999999&q-key-time=1770091375;8999999999&q-header-list=host&q-url-param-list=&q-signature=7aafea23daedd4c0636107f61ccb6b7c64b3941f)

Docker中配置nginx多个域名

Eino

> 正常如果只使用vanblog时，可以直接通过腾讯云域名配置到主机ip，开放80,443端口，就可以直接访问vanblog，但因为作者这个域名除了想访问vanblog外，还想做其他的用途，例如搭建api服务器等，因此额外部署nginx

# 链路

```mermaid
sequenceDiagram
浏览器->>nginx: 通过80/443端口
nginx->>vanblog:通过80端口 
```

# 部署过程
> 前提：在腾讯云已经申请好域名

- 申请免费证书,并下载证书,[申请地址](https://console.cloud.tencent.com/ssl)
- 上传证书到云服务器
- 配置nginx

```
server {
    listen 80;
    server_name nobugs.com.cn;
    return 301 https://$host$request_uri; 
}

server {
    listen       443 ssl;
    server_name  nobugs.com.cn;
    ssl_certificate /etc/nginx/certs/nobugs.com.cn_bundle.crt;
    ssl_certificate_key /etc/nginx/certs/nobugs.com.cn.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        proxy_pass http://vanblog:80;  # 这里是容器的名称+容器的端口，不是容器对外暴露的端口
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;  # 传递 HTTPS 协议
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}
```
- 启动服务
```
docker run --name nginx -p 80:80 -p 443:443 -v /data/nginx/conf.d:/etc/nginx/conf.d -v /data/nginx/certs:/etc/nginx/certs -d --restart=always nginx 
```