mac版本微信小程序抓包学习

最新推荐文章于 2025-04-18 10:34:58 发布
最新推荐文章于 2025-04-18 10:34:58 发布
阅读量1.1k 收藏 11
点赞数 18
分类专栏: 漏洞挖掘 web安全 文章标签: 微信小程序 乌鸦安全 小程序 抓包 漏洞挖掘 渗透实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdnmmd/article/details/144889683
版权

1. 环境准备

  • macos intel
  • 微信 Version. 3.8.9 (28564)
  • proxifier V3.12
  • burpsuite pro

2.环境配置

2.1 坑点

在去年的7月的时候,其实我在文章里面介绍过几种抓微信小程序的方法,在文章里面我也介绍了使用proxifierburpsuite抓包的方法(因为我环境配置错了,菜),但是因为我配置有问题,导致抓包不顺利。(菜)

在这里插入图片描述

当时确实是我的本地环境有问题:

前一段时间,看到其他的师傅发了很多关于这个的文章,但是到我这里,果然不出所料,我还是抓不到包。。。

在这个代理链流程里面,其实很简单了:

小程序的流量被proxifier转发给burpsuiteburpsuite再将流量转到外面,其实就是上面截图里面师傅画的拓扑图。

但是问题就出在burpsuite将流量转到外面这个过程上,我测试的过程中发现burpsuite收到从proxifier转发过来的流量之后,没有返回包,经过测试才发现:
如果你有隧道类工具的话,记得关闭你的系统代理功能

2.2 环境简单配置

直接按照这个师傅文章里面的配置就行了:

https://mp.weixin.qq.com/s/xaqlShbuCdwani10BJ8dIQ

burpsuite

proxifier

至此,环境就准备好了。

3. 小程序简单抓包实战

前段时间,小*书某博主在推一个租房的小程序,经过其授权同意后,对其进行简单的漏洞挖掘:

这个小程序的逻辑如下:

  • 求租客可以免费发布需求,通过可以留下电话号码,请注意,这个号码不会对外展示
  • 房东需要注册认证,认证通过之后,就可以查看求租客的需求,如果有需要的话,可以通过求租客留下的电话联系求租客
  • 房东获取电话这一步是需要收费的,有次数限制

3.1 小程序反编译

直接在mac的文件夹下获取到小程序的文件,然后直接进行反编译即可:

至于反编译的过程,可以看我以前的文章,也可以从网上找一下教程,教程满天飞,非常多。

3.2 简单漏洞1—小程序地图ak泄露

这个ak泄露甚至都不算是漏洞,在小程序案例里面太多太多了,大部分src甚至都不收。

定位ak泄露,分别在小程序源码和url中泄露:

随意修改坐标:

3.3 简单漏洞2-任意文件上传漏洞

通过反编译的源码存在文件文件上传的点:

burpsuite抓包看下:

但是在这里面对文件做了限制,应该是非图片类文件,无法解析的话,直接让你下载下来了:

但是突然想起来这后端是一个java部署的,修改为jsp试试看:

至此证明,该小程序存在任意文件上传漏洞。

3.4 简单漏洞3-求租客敏感信息泄露

在小程序的逻辑里面,房东是需要认证通过之后,通过充值获取求租客电话的:

但是通过直接抓包求租客模块,可获取到求租客的电话信息:

提取url地址:

通过遍历urlid值,即可获取到所有用户的电话号码:

微信小程序抓包
qq_32445755的博客
07-07 2727
ios端和mac用户可以忽略以下内容,本文针对于windows端和android端的微信无法抓取小程序数据包提出相关解决方案。最近测试小程序发现以前的抓包方式都不管用了,无论是用PC端还是手机端都有问题,这里经过测试给出大家提供解决方案。直接通过pc端,配置全局代理,进行抓包,当然是无法抓到的,百度得来了一种方法。先打开小程序,启动任务管理器,确定目录位置 定位到C:\Users\wxt\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime 关
图文全程手把手教你微信小程序WebView逆向抓包和调试全过程和方法
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
03-17 1799
ADB(Android Debug Bridge)是安卓的调试工具,可以让电脑与手机进行通信,必要时还能直接获取调试信息。先启用安装ADB并连接手机用远程调试刷新 WebView 抓取数据这样,就能轻松搞定小程序 WebView 的抓包分析了,有了这个方法,基本上微信小程序里的网页请求都能一网打尽!
Mac OS下Charles抓包小程序的保姆级操作过程
浪漫不死的博客
09-02 1万+
目录前言工具准备Charles安装及配置开始抓包总结 前言 对于压力测试工作而言,小程序接口测试工作和其他接口测试工作相似,都需要为测试工作的开展去准备相应接口的信息,其中包含请求接口,入参及请求头信息。本文将演示如何使用Charles工具进行小程序抓包,为后续使用Jmeter工具进行接口压测以及使用Grafana工具可视化接口压测结果做准备。 工具准备 Charles工具、PC端微信(支持打开微信小程序) Charles安装及配置 1、Charles工具安装说明参考(Mac环境); https://ww
macOS小程序抓包配置,知其然,并知其所以然
ooooooih的博客
07-15 2201
我在挖小程序漏洞时,抓包用的工具也是用的和Windows一样,,这算是比较常规的工具了吧,我看网上教程也挺多的,但是有一些已经过期了,我这里分享一下我的配置流程吧。同时我也会简单解释一下我们在Proxifer中用到的一些模块的功能与使用,
Mac OS下Charles抓包小程序
最新发布
每天都要努力学习哦~~
04-18 578
对于压力测试工作而言,小程序接口测试工作和其他接口测试工作相似,都需要为测试工作的开展去准备相应接口的信息,其中包含请求接口,入参及请求头信息。本文将演示如何使用Charles工具进行小程序抓包,为后续使用Jmeter工具进行接口压测以及使用Grafana工具可视化接口压测结果做准备。
使用Charles在Mac抓包解析微信小程序接口数据
xiaosha799的博客
01-11 6476
本文详细介绍如何在Mac电脑上使用Charles工具进行微信小程序后台项目的抓包和分析。
mac 如何通过charles对微信小程序抓包
程序猿小白菜
02-17 1480
可通过Charles捕获微信小程序的网络请求
【M1使用burpsuite抓取微信小程序的包(半成品)】
weixin_43722879的博客
03-31 2344
M1使用burpsuite抓取windows夜神模拟器的微信小程序的包
mac抓包
weixin_30711917的博客
07-17 179
mac抓包使用了各种软件 1、paros 比较简陋,功能较少,而且json不能自动格式化。 2、charles 收费,可以用试用版 30分钟退出一次,但是有时候打开抓包抓不到,需要不断的重新打开才能生效,不知道是不是我电脑的原因,而且每次还有10s的等待时间,不能忍,还有就是有时候要用的时候,但是已经快到30分钟了就要重启才能去使用,否则用一半自动退出了,log保存不住。 3、vbox运行...
微信小程序抓包方法汇总
seoppg的博客
01-02 1万+
微信新版本貌似就是只信任自己内置证书,再或者android11对于证书又有什么新的改变,因为我自己的手机上证书是添加到系统证书里了,但还是无法抓取小程序的数据包,最后选择了以下的解决方法。有同事跟我讲使用低版本微信操作可能会有封号风险,故没有深入测试,有兴趣的朋友可以折腾下,不过如果仅仅为了测试小程序,建议直接使用方案一或方案二,当然也可以直接使用ios系统活mac。降级,这个操作说简单也简单,选择低版本微信安装使用,模拟器也选择低版本的安卓系统。使用模拟器,安卓版本android7,微信版本8.0+
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具_hook微信小程序(2)
2401_84544714的博客
05-13 1293
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
android 分享微信小程序失败,从一次失败的微信小程序抓包、反编译经历中学习反思...
weixin_39858132的博客
05-26 932
某天看到群里某个朋友说某小程序抓不到包,我突然就来了兴趣,我也试着分析了下这个小程序,名字我就不说了,本着我个人兴趣分析学习的目的。我用安卓和IOS,以及charles和fiddler都试了,还真的抓不到包,返回的都是如下图的数据,红色标注区域就是微信返回的接口,但是尾部的数字和字母每次都是随机出现的,而且也并没有直接可见的数据,都是加密的字段,如图可见这就有点意思了,而这个小程序的广告地址我都直...
mac 上用charles 抓包pc端微信小程序
热门推荐
Julie_Go的专栏
02-18 2万+
原因:个别电脑打开pc端小程序接口报错,需要查看具体请求参数排除原因 配置charles 1、选择菜单栏Help->SSL Proxying->Install Charles Root Certificate 2、如下图,需要设置信任安装的证书 3、在菜单栏选择Proxy->SSLProxying Settings 4、在SSLProxying Settings->SSL Proxying中 新增一条代理: Host:* Port:443 输入完成后点击o
Web安全渗透测试有什么关系?
Python_0011的博客
03-31 2334
渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Mac Os(苹果)上用手机抓包软件Charles抓取微信小程序中的高清无水印视频
刘悦的技术博客
04-17 7319
同时抓包工具也有利于线上生产环境问题的分析,前几天有个做服务端的同学跟我说他不用抓包工具,遇到问题直接debug代码,那我问他,如果线上服务的话,你怎么调?手机抓包是一名测试工程师常备的技能,比如我想查看一个接口请求的参数、返回值,还有移动设备上的http请求、https请求,这一次的背景是我们想要在app端和小程序端抓取一些视频,这里用腾讯视频作为例子,使用mac系统的Charles软件(有点类似win系统中的fiddler,使用方式上大同小异)来进行视频接口与地址的抓包和嗅探。
使用Charles抓包微信小程序MacOS+IOS)
osmanthuspeace的博客
02-28 768
此时Charles会弹出提示,我们按要求,打开iPhone的设置→无线局域网,点击手机连接的网络右侧的蓝色。注意:Mac和iPhone要处于同一网络下,校园网可能有问题,请自行更换网络;,输入Charles提示上的服务器IP和端口(就是你电脑的IP),不用点认证。点击允许后进入 设置→通用→VPN与设备管理,如果上一步成功,应该会看到。中有了Charles Proxy CA证书,点击进入,安装这个描述文件。回到设置→通用,进入 关于本机,下滑到底部,进入证书信任设置,开启。按键,下滑到底部,点击。
mac下配置burpsuite小程序抓包
召唤大白的博客
03-10 3238
下载最新版微信或使用内测版(https://dldir1.qq.com/weixin/mac/WeChatMac_Beta.dmg),这两个微信版本均可打开小程序。 1.打开burpsuite,导出证书,命名ca.der 2.证书导入mac 打开钥匙串访问.app,在证书处导入ca.der文件,并设为信任 注意要在右键<显示简介里面设置信任 3.设置代理服务器 在网络偏好设置里面 4.微信代理设置 最后测试成功! ...
MAC系统利用charles抓取微信小程序和手机APP数据包(http和https数据包)
09-12 3443
本文中使用的是mac上的抓包工具charles进行抓包,手机是华为荣耀8 下载并安装Charles for Mac Charles for Mac(HTTP信息抓包工具) V4.2.5 苹果电脑版 要想抓取到微信小程序的数据首先要解决的第一个问题件就是如何通过charles抓取手机上的数据具体配置过程如下: MAC上的Charles设置 第一步,charles上通过proxy->p...
微信小程序抓包mac
08-09
微信小程序抓包通常指的是通过专业的网络分析工具对微信小程序发送的HTTP请求进行监控,以便于开发者查看、调试API接口的行为。在Mac抓包微信小程序,你可以使用Wireshark这样的网络嗅探工具,它是一个功能强大的开源网络协议分析器。 以下是步骤简述: 1. **安装Wireshark**:首先,从Wireshark官网下载适用于Mac版本并安装。 2. **设置捕获过滤条件**:打开Wireshark后,在过滤器栏输入`tcp.port == 80`或`tcp.port == 443`,因为微信小程序的HTTPS通信默认会走这两个端口。 3. **启用数据包捕获**:连接到你的Mac,并开始抓包,选择你需要的数据链路层(如Wi-Fi或有线网络)。 4. **搜索微信标识**:在捕获的包中,查找包含"micromessenger"或其他特定字符串的TCP连接,这通常是微信小程序的请求标志。 5. **查看详细信息**:找到相关的包后,可以看到完整的HTTP/HTTPS请求及响应内容,包括参数、状态码等。 注意,微信小程序出于安全考虑可能会做加密处理,直接抓包可能看不到明文数据,这时可能需要配合其他工具进行解密。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值