小程序-WX-抓包

已于 2024-11-05 09:35:57 修改
阅读量858 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Web渗透 文章标签: 安全 网络安全
于 2024-04-04 11:38:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Sgirll/article/details/137370937

​免责声明

文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。如有侵权烦请告知,我会立即删除并致歉。谢谢!

目录

一、工具准备及相关设置

前言:Proxifier 是一款功能强大的网络工具,主要用于实现全局代理。通过 Proxifier,用户可以将所有网络流量通过指定的代理服务器转发,从而实现网络访问的匿名性和安全性。Proxifier 支持多种代理协议,包括 HTTP、HTTPS、SOCKS v4 和 SOCKS v5 等,同时也支持链式代理,可以灵活地配置多重代理路由。本文讲解Burpsuite配合Proxifier工具--抓取微信小程序数据包

一、工具准备及相关设置

本人用的是proxifier英文版,可以直接从官网下载:

https://www.proxifier.com/

工具下载好以后直接傻瓜式安装即可,然后双击运行

配置Proxifier工具的代理服务器

依次点击菜单栏中的配置文件->代理服务器->添加

503045c2930af6326bc0ce4b53816149.png

其中端口应与burp的监听端口一致:

3a7be224ed925ce949dbca603df65306.png

d64183ff7fe46d38144299a92d3d6d9f.png

配置Proxifier工具的代理规则

在主界面点击配置文件->代理规则->添加,然后设置内容如下:

688a591a55b4e2e4a5fdbc193fbe743b.png

447aac97cd08c364b99d40e9b115e647.png

注:WeChatAppEx.exe是微信小程序通用的进程。之后在小程序前面的复选框打钩

二:burp抓包演示

打开微信小程序,可以小程序流量成功经过proxifier工具

burp成功拦截抓取微信小程序数据包

ad6b7bf4f3df03d5bb3a5e12cf3f33fe.png

结语:若是本文对读者学习相关的技术起到了一定的参考意义,望能给本文点关注,谢谢!

在线抓娃娃 微信小程序Wx-W-master.zip
09-25
在线抓娃娃 微信小程序Wx-W-master.zip
使用 Fiddler 进行小程序抓包
阿星君
06-25 1万+
为什么是 Fiddler? 理由很简单:因为大多数测试同学都是用 Fiddler。虽然不同的抓包工具功能都大同小异,但就像开发者统一开发工具能够提高团队协作的效率一样,开发和测试之间统一工具也能提高大家的沟通效率。如果测试同学在使用 Fiddler 抓包时遇到了什么问题,比如说某个请求抓不到,你给的答复却是:我用 whistle/charles 没问题啊,这肯定会让测试同学抓狂。 前置准备 下载 Fiddler Everywhere 下载地址:www.telerik.com/download/fi…
微信小程序抓包(burp + proxifier)
2301_81881972的博客
06-10 1195
链接: https://pan.baidu.com/s/1fFiy9w_eQBaA5CvLb2kKTA?pwd=z7v1 提取码: z7v1。Burp Suite官方下载地址:https://portswigger.net/burp/releases#professional。​通过网盘分享的文件:ProxifierSetup.zip。
看完即会,抓取微信小程序数据包教程
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-08 1万+
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者Charles这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。一般电脑和移动端设备连接到同一个WiFi热点(路由器),就可以保证是在同一局域网中,这里我们可以通过手机设置->无线局域网->选择对应热点,查看设备IP地址:在电脑端通过ping命令去检测下电脑是否能够连接IOS设备:
可用的微信小程序抓包方式(Charles + bp)
小司机的奥拓
06-28 9969
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
一键token获取工具的使用说明适用于大部分微信小程序公众号等适合各类小程序活动抓包古茗霸王茶姬瑞幸库迪等活动
11-26
微信通用自助一键抓包软件,从左到右按顺序依次勾选再随便用电脑进入进公众号或者小程序- 软件为通用抓包软,协议头带Authorization、cookie token直接通用,还有其他一些特殊组合token如东鹏荷花这些;大部分微信...
小红书抓取,微信小程序抓包工具.zip
02-21
在给定的压缩包文件“小红书抓取,微信小程序抓包工具.zip”中,我们可以推测这是一套用于抓取小红书平台数据以及分析微信小程序交互的工具集合。下面将详细介绍这两个主要知识点。 首先,小红书是一个流行的社交...
微信小程序-API接口安全详解
01-03
一.接口安全的必要性 最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。... 小程序端通过wx.login()获取到code后发送给后台服务器 后台服务器使用小程
小程序自动化辅助渗透脚本(2024)
qq_59468567的博客
05-28 2642
1.还在一个个反编译小程序吗?2.还在自己一个个注入hook吗?3.还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露注:本工具仅用于学习交流,读者任何行为与作者无关平台限制:windowseeeeeeeeee-code/e0e1-wx: 微信小程序辅助渗透-自动化 (github.com)发现些人还在用 安卓模拟器去搞小程序抓包,这样费时不省力,而且准备的工具e0e1-wx,就是为了配合windows小程序渗透的。
小红书抓取,微信小程序抓包工具
01-27
xiaohongshu 小红书抓取,微信小程序抓包工具 1,工具mitmdump使用,获取headers具体加密参数信息 2,csv实时表格插入,判断不重复插入头信息
最小的网络抓包工具,很小很实用
08-26
在用网络抓包工具 在用网络抓包工具 在用网络抓包工具 在用网络抓包工具 在用网络抓包工具
工具抓包工具
cddchina的专栏
06-24 646
抓包工具wireshark,对于某些数据的格式文件
fiddler抓取微信小程序
热门推荐
jnszstmei的博客
04-12 2万+
最近看了看一些公众号上的文章,发现一个用fiddler抓取羊了个羊的教程。对我这种小白来说,这种实验既有吸引力复现难度也不高,所以打算自己动手实操一下😍😍😍以下内容是对本次实验的复现最开始的时候,发现作者使用了fiddler这个工具,当时没听说过这个工具,很好奇和burp、wireshark有什么区别,后来在实际应用中呢,发现它好像综合了burp和wireshark,fiddler可以将网络传输发送与接收的数据包进行截获、重发、编辑和转存等操作;
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4668
有什么 python 在线网站推荐?
WeChatOpenDevTools---划时代的小程序抓包工具
2301_79445611的博客
10-06 1万+
寄了
抓包工具
Test architect
04-02 402
目录Wirshark二级目录三级目录FiddlerCharlesChrome开发者工具WeChat开发者工具 Wirshark 二级目录 三级目录 Fiddler Charles Chrome开发者工具 WeChat开发者工具
小程序抓包
最新发布
08-01
微信小程序的网络数据抓包分析是测试和调试过程中的一项重要工作,可以帮助开发人员和测试人员了解小程序的网络行为、排查问题以及优化性能。以下是具体的抓包分析方法和步骤: ### 1. 使用微信开发者工具进行抓包分析 微信官方提供的开发者工具(WeChat Developer Tools)具备基本的调试和抓包功能。通过该工具,可以查看小程序的网络请求、响应数据、请求头和响应头等信息。 - 打开微信开发者工具,并加载需要调试的小程序项目。 - 在开发者工具的“调试器”选项卡中选择“Network”面板。 - 在手机端运行小程序,触发网络请求后,可以在“Network”面板中看到所有的网络请求记录。 - 点击某一条请求记录,可以查看其详细的请求参数、响应内容以及请求头等信息。 这种方式适合在开发阶段使用,能够快速定位和解决网络请求相关的问题[^3]。 --- ### 2. 使用第三方抓包工具 对于更深入的抓包分析,可以使用如 Charles 或 Fiddler 这类专业的抓包工具。 #### 使用 Charles 抓包 - 在电脑上安装 Charles,并确保手机和电脑处于同一局域网。 - 在 Charles 中找到“Proxy” -> “Proxy Settings”,设置监听端口(默认为8888)。 - 在手机上设置代理,将网络请求通过 Charles 代理到电脑。 - 打开微信小程序,触发网络请求后,Charles 会捕获到相关的 HTTP/HTTPS 请求流量。 - 可以通过 Charles 查看请求的具体内容,包括请求头、响应头、请求体和响应体等。 #### 使用 Fiddler 抓包 - 安装并启动 Fiddler,配置手机代理,确保手机和电脑处于同一局域网。 - 在手机端访问小程序,触发网络请求后,Fiddler 会捕获到相关的请求流量。 - 查看 Fiddler 中的请求记录,可以获取详细的请求和响应信息。 通过这些工具,可以更全面地分析小程序的网络通信行为,特别是在测试阶段发现潜在的性能瓶颈或安全问题[^4]。 --- ### 3. 配置 HTTPS 证书以支持加密流量抓包 由于微信小程序默认使用 HTTPS 加密通信,因此需要配置 SSL 证书才能解密 HTTPS 流量。 -抓包工具中生成 SSL 证书(如 Charles 的 `.crt` 文件)。 - 将证书上传到抓包工具提供的地址,例如:`http://电脑IP:9898/api/v1/cert`,确保手机可以访问该地址。 - 在手机上下载并安装证书,信任该证书。 - 配置好证书后,即可通过抓包工具解密 HTTPS 请求,查看明文数据。 此步骤是抓包 HTTPS 流量的关键,否则只能看到加密的数据内容。 --- ### 4. 使用命令行工具或脚本自动化抓包 对于需要自动化测试的场景,可以使用命令行工具如 `tcpdump` 或编写脚本进行抓包- 在手机上安装 `tcpdump` 工具,并通过 USB 调试模式连接到电脑。 - 使用命令行执行抓包命令,例如:`tcpdump -i any -s 0 -w /sdcard/capture.pcap`。 - 抓包完成后,将生成的 `.pcap` 文件导出到电脑,并使用 Wireshark 等工具进行分析。 这种方式适合高级用户或需要批量处理的场景,能够灵活地捕获和分析网络流量。 --- ### 5. 使用微信开放调试工具 微信还提供了开放调试工具(WeChatOpenDevTools),可以模拟扫码登录、注入小程序包,并直接通过 DevTools 抓包查看请求头、Cookie 等信息。 - 下载并安装 WeChatOpenDevTools。 - 使用该工具注入小程序包,并打开调试模式。 - 触发小程序的网络请求后,可以直接在调试面板中查看请求详情。 这种方式适合需要深度调试的场景,能够更直观地分析小程序的网络行为。 --- ### 示例代码:模拟网络请求 在小程序开发中,网络请求通常通过 `wx.request` 方法实现。以下是一个简单的网络请求示例代码: ```javascript wx.request({ url: 'https://example.com/api/data', method: 'GET', success(res) { console.log('请求成功:', res.data); }, fail(err) { console.error('请求失败:', err); } }); ``` 通过抓包工具,可以捕获到该请求的实际 URL、请求头、响应头以及响应数据,从而验证请求是否按预期工作[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值