pixel6刷机导证书备忘

安卓15，内核版本5.10

参考r0ysue的环境配置教程：【24.环境课.p6刷安卓15和KSU导证书抓包eBPF升内核】https://www.bilibili.com/video/BV1pMmfYbEMP?vd_source=1f48e47dc1ff12763001a0341edf7ebd，流程一样，多写了我自己踩的不少坑

很多资源也来自他的知识星球大数据安全技术学习-知识星球，要点元子，但是的确解决了我不少环境和技术问题。

三天刷了五次机，调了无数次环境，我现在处于半疯状态了。

刷机之前的准备

• 如果手机注册了谷歌账号，注销，并在另一台设备上查询谷歌设备确保已退出https://accounts.google.com/ 。如果不这么做直接刷机会触发frp，在完成刷机之后初始化会不允许跳过联网，并且连接谷歌服务器验证之前的谷歌账号，没法搭梯子谷歌服务器连不上就会一直卡在这里。解决方案也有，之后说。

• 如果之前手机里存了资料记得先备份

• 开发者，开usb调试（pixel6进开发者是设置-关于本机-狂点Build号

• 在Nexus 和 Pixel 设备的出厂映像 | Google Play services | Google for Developers下载pixel6 oriole的安卓15镜像并解压

• 知识星球上搜lsposed，然后把这个帖子里的两个文件还有链接里直接编译好的kernelsu镜像下下来，等下kernelsu上装的模块还有一个ys1231/MoveCertificate: 支持Android7-15移动证书，兼容magiskv20.4+/kernelsu/APatch, Support Android7-15, compatible with magiskv20.4+/kernelsu/APatch，也下了。

• 

• 准备好adb和fastboot。

刷机

1. 进bootloader

adb reboot bootloader

或者关机，然后按住电源键和音量减直到出现bootloader界面

2. 电脑切到之前解压的安卓15镜像目录下，开命令行把两个slot都刷入15

   fastboot --slot all flash bootloader-oriole-slider-15.0-12100230.img

3. 执行flash-all，主机是Linux或者mac执行.sh，windows直接敲flash-all.bat

​ 这一段可能要花点时间，完了之后手机自动启动，刷好了

两次初始化 上kernelSU

初始化该跳过跳过，如果你和我一样第一次忘记退出谷歌导致frp卡在联网了，已知有两种解决方法：

1. 挂一个热点走代理或者把wifi搭上vpn连上翻出墙
2. 上lineageOS Install LineageOS on oriole | LineageOS Wiki或者其他的定制rom

因为没有支持pixel6的twrp，导致没办法改系统文件绕frp。lineageOS好处多多，官方文档也详细的一笔，卡在了联网直接关机进bootloader用fastboot开刷即可

初始化完了第一件事，进开发者把系统自动更新关了。如果不关狗日的谷歌会在你翻墙的时候偷偷帮你把6.1的内核下好，等你哪次重启的时候直接啪的一声把5.1的内核换成6.1。我第一次导证书重启的时候一开手机发现kernelSU模块全挂，定睛一看内核被偷家了。然后重刷之前没注销谷歌账户被关frp跳进另一个坑。幸好这几天折腾没把手机折腾成砖，不过以我这运气其实也快了。

顺手在开发者里把usb调试开了，然后把kernelSU应用装上

• 把kernelSU下好Release v1.0.5 · tiann/KernelSU

adb install KernelSU_****-release.apk

重新回到bootloader，把之前知识星球上下好的new-boot镜像写入boot分区

>adb reboot bootloader
>fastboot flash boot new-boot241002/new-boot241002.img
Sending 'boot_a' (65536 KB)                        OKAY [  1.476s]
Writing 'boot_a'                                   OKAY [  0.112s]
Finished. Total time: 1.603s

按电源键start，手机正常开机。如果进了android recovery，电源键点两下factory data reset。

然后会重新进入初始化界面，过了之后重新开一下开发者，usb调试系统更新之类的。重新装一下kernelSU的应用，进入kernelSU，此时kernelSU就装好了，给shell一个超级用户

adb shell能su了，消一下网络的感叹号

adb shell
su
settings put global captive_portal_http_url https://www.google.cn/generate_204
settings put global captive_portal_https_url https://www.google.cn/generate_204settings put global ntp_server 1.hk.pool.ntp.org
reboot

把之前知识星球上的那两个模块传到手机里

adb push Zygisk-Next-1.2.3-441-6843192-release.zip LSPosed-v1.10.1-7115-zygisk-release.zip /sdcard

在kernelSU应用里在模块界面选择下载，依次点击Zygisk-next和LSPosed的.zip文件下载，下好LSposed之后点重启。之后提示栏里点lsposed能创建主页上的快捷方式。

抓包导证书

同样用r0env做演示。下好.vmx，准备好vmware之后设置一下网络，确保kali和手机连在同一个局域网下

将手机通过usb连到kali虚拟机里

可能要adb devices查看一下才会在手机上提示通过调试模式

打开虚拟机中的charles，重置证书

导出证书到手机里

adb push ~/Desktop/forP6.pem /sdcard

然后在手机上操作，安装证书：设置-安全和隐私-更多安全和隐私设置-加密与凭据-安装证书-CA证书，选中刚刚导入的证书，证书就会出现在用户可信凭据下

接下来通过movecertificate将证书移动到系统可信凭据，按照之前安装kernelSU模块的方法安装好movecertificate后重启，证书就会出现在系统可信凭据下

https://github.com/ys1231/appproxy这个开源项目可以针对app进行代理，很方便抓包。