微信小程序抓包及测试

原创 已于 2023-11-07 11:10:01 修改 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节 #网络安全 #web安全 #网络 #安全 #微信小程序 #php

于 2023-10-24 11:30:29 首次发布
本文介绍了如何使用BurpSuite+Proxifer+微信客户端进行微信小程序的抓包测试,详细阐述了环境准备、小程序反编译及可能的安全漏洞,通过实际案例展示了抓包反编译过程,并揭示了在测试过程中意外发现的SQL注入漏洞。

目录

环境准备

小程序反编译

一不小心getshell

本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获

网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式

环境准备

Burp2023.9.2

Proxifier4.5

Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器,工作的网络程序能通过HTTPS或socks或代理链。其是收费软件,免费试用31天,这里给一个破解版链接

链接:百度网盘 请输入提取码

提取码:7o50

图片1.png

安装就无脑next就好了,安装好后打开

图片2.png

点击注册,名字随便写,随便复制一个注册码点击ok即可

Proxifier配置

打开proxifier,点击profile添加一个代理服务器

图片3.png

图片4.png

地址127.0.0.1,端口自定义,我这里是8888,协议选择https

继续添加一条代理规则

在我们用微信打开小程序时,进程里会多出一个WeChatAppEx

图片5.png

这个程序就是微信小程序的进程

添加规则

图片7.png

Applications就选择小程序进程应用(这里可以手动输入),Action就选择刚刚新建的代理服务器

Burp配置

图片8.png

只要编辑代理监听器和proxifier里的代理服务器一样即可,监听127.0.0.1:8888

这时微信打开一个小程序,可以看到WeChatAppEx的流量先经过proxifier,再用过127.0.0.1:8888到burp

图片9.png

现在就可以像平时测试web站点一样的方式在burp里对数据包进行测试

小程序反编译

图片10.png

在微信的设置里面可以找到微信文件保存的位置

图片11.png

目录下的Applet就是小程序缓存文件的保存地址

图片12.png

平时使用的小程序越多,对应的文件也就越多,如果找不到自己想要测试的小程序包,可以根据修改日期来找,或者直接简单粗暴,删除所有的缓存文件,再重新打开你想要测试的小程序

图片13.png

这时里面的就是我们要测试小程序对应的缓存文件夹

点开里面就是我们要解的包

图片14.png

这是一个加密的包,当用户在微信中搜索或扫描小程序二维码后,微信后台会将该小程序的相关信息打包成 .wxapkg 文件并下发到用户的设备中,这种文件格式实际上是一个压缩包,其中包含了小程序的所有代码、资源和配置文件等内容,以及一个特定的描述文件 app.json。

由于是加密的包,所以先来解密,下面是大佬的解密工具链接

链接:百度网盘 请输入提取码

提取码:qz3z

图片15.png

选中加密的包

图片16.png

解密成功后在工具目录的wxpack目录下

最低0.47元/天 解锁文章
微信小程序抓包
qq_32445755的博客
07-07 2991
ios端和mac用户可以忽略以下内容,本文针对于windows端和android端的微信无法抓取小程序数据包提出相关解决方案。最近测试小程序发现以前的抓包方式都不管用了,无论是用PC端还是手机端都有问题,这里经过测试给出大家提供解决方案。直接通过pc端,配置全局代理,进行抓包,当然是无法抓到的,百度得来了一种方法。先打开小程序,启动任务管理器,确定目录位置 定位到C:\Users\wxt\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime 关
微信小程序抓包(渗透测试
墨痕诉清风的博客
07-15 3万+
很多时候Web测试已经被很多人都光顾过了,相反小程序和APP,往往是被遗忘的,被遗忘的往往是最容易出现安全风险的。在最近的项目里,有个小程序的测试项目,已经被挖了好多漏洞啦!
微信小程序抓包(全)
WingDwf的博客
08-03 4172
我们用百度获取证书下载(我们在百度输入127.0.0.1:12332)3、随机打开微信小程序(一定要打开一个,拼多多、美团、网盘都可以)6、代理服务器配置、和Burp配置的IP和端口一致,选择HTTPS。7、配置代理规则,选择Direct,添加一条规制。1、配置文件–>高级–>HTTP代理服务器。4、打开任务管理器,找到小程序文件位置。点击箭头反向,对证书下载并安装证书。2、选择启动HTTP代理服务器支持。8、配置好就可以抓包了。
轻松抓包微信小程序:Proxifier+Burp Suite教程
最新发布
2301_80637449的博客
10-07 2189
本文详细介绍了使用Proxifier+Burp Suite抓取微信小程序数据包的完整流程。主要内容包括:配置Burp Suite代理和端口、下载安装CA证书到受信任根证书颁发机构、设置Proxifier强制微信小程序进程流量通过Burp代理、验证代理通道建立成功等关键步骤。文章还从技术原理层面分析了微信小程序的通信特点和抓包难点,并结合实际案例讲解了如何通过抓包分析发现潜在漏洞。该教程为渗透测试人员提供了可靠的小程序抓包解决方案,解决了传统方法无法抓取小程序数据包的问题。
Burp Suite 2023.2专业版自带java环境,下载即用
01-15
********************************!!!网络安全测试工具!!!***************************** Burp Suite 2023.2专业版,文件内自带jdk-18.0.2.1免java环境配置,下载即用 Burp Suite 是用于测试web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起测试。 它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描等类似Fiddler和Postman但比其更强大的功能。 我们在做Web安全测试时也会用到此工具。
pc端微信小程序接口抓包-2024最新方法
08-01 4513
5步设置,抓包微信小程序接口
BurpSuite的全套使用教程(超实用超详细介绍)
mackilo的博客
12-01 8711
BurpSuite全套使用教程(超实用超详细介绍)新建扫描对象,这里使用的是爬取与审计测试,下面protocol模块可以设定爬取的条件,即不爬取某些对象,其他按照默认的配置,可以设置自己的UA头设置账户密码访问其他参数扫描结果:更详细可以点击项目的右下角view模块,看到爬取的url信息与扫描结果更详细的模块查看你(Target模块)抓取流量后,本模块起到一个辅助的作用,可以观察捕获的页面内的链接等将数据发到sitemap 模块数据的加解密编码等数据的hex值修改,常用于渗透绕过等。
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 1万+
微信小程序手机抓包方案
小红书数据抓取与微信小程序抓包工具
07-04
本文将重点介绍如何借助抓包工具 mitmdump 来抓取小红书数据,并结合微信小程序的相关知识,帮助你全面理解整个抓取流程。 mitmdump 是 mitmproxy 的命令行版本,它是一款功能强大的网络代理工具,主要用于拦截、...
小红书抓取,微信小程序抓包工具
01-27
本文将深入探讨如何利用抓包工具来抓取小红书的数据,并结合微信小程序的相关知识,帮助你理解整个过程。 首先,我们要关注的是"mitmdump"这个工具。Mitmdump是mitmproxy的命令行版本,它是一个强大的网络代理,常...
微信小程序抓包burp + proxifier)
qq_61081478的博客
10-17 3535
proxifier下载地址:https://www.proxifier.com/download/设置完成后打开burp,不用开启抓包,在HTTP history中即可看到数据包。微信小程序位置可任意打开小程序后,在任务管理器中右击查看文件位置。地址和端口为burp代理的设置,添加完成后测试代理连通性。成功使用Proxifier代理时运行小程序能看到正在连接。
fiddler抓取微信小程序
jnszstmei的博客
04-12 2万+
最近看了看一些公众号上的文章,发现一个用fiddler抓取羊了个羊的教程。对我这种小白来说,这种实验既有吸引力复现难度也不高,所以打算自己动手实操一下😍😍😍以下内容是对本次实验的复现最开始的时候,发现作者使用了fiddler这个工具,当时没听说过这个工具,很好奇和burp、wireshark有什么区别,后来在实际应用中呢,发现它好像综合了burp和wireshark,fiddler可以将网络传输发送与接收的数据包进行截获、重发、编辑和转存等操作;
微信小程序抓包(手把手教你,保姆级教程)+原理分析
热门推荐
qq_68064663的博客
10-21 6万+
之前一直会抓包的操作,但是不懂为什么,这次理解了,写篇博客记录一下。
微信小程序抓包教程
2303_80867263的博客
03-07 1503
burp联动Proxifier微信小程序抓包教程
可用的微信小程序抓包方式(Charles + bp)
小司机的奥拓
06-28 1万+
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
ios微信小程序抓包
07-27
### iOS 平台微信小程序抓包方法与网络请求分析 要在 iOS 平台上对微信小程序进行抓包网络请求分析,通常可以通过使用 Charles Proxy 工具实现。以下是详细的操作步骤和注意事项: #### 一、配置 Charles Proxy 环境 1. **安装 Charles Proxy** 在 Mac 上安装 Charles Proxy 软件,这是进行抓包分析的主要工具。 2. **设置代理环境** 在 iOS 设备上,打开“设置”应用,进入“无线局域网”页面,点击当前连接的 Wi-Fi 名称右侧的蓝色“i”图标,进入代理设置页面,选择“手动代理”,输入 Charles 所在电脑的局域网 IP 地址和 Charles 的代理端口号(默认为 8888)[^2]。 3. **安装 Charles 证书** 在 iOS 设备浏览器中访问 `http://charlesproxy.com/getssl` 下载并安装 Charles 的根证书,以便解密 HTTPS 流量。此外,也可以通过访问 `http://电脑IP:9898/api/v1/cert` 下载证书,确保 iOS 设备能够访问该地址[^3]。 #### 二、启用微信小程序抓包 1. **启动 Charles 抓包功能** 在 Charles 中启用“SSL Proxying”功能,并确保已配置好需要解密的域名。对于微信小程序,可能需要添加 `*.qq.com` 等相关域名以进行解密。 2. **打开微信小程序进行测试** 在 iOS 设备上打开微信并进入目标小程序,Charles 将自动捕获小程序发出的网络请求,包括请求头、请求体、响应内容等信息。 #### 三、处理证书固定(Certificate Pinning) 部分微信小程序可能启用了证书固定(Certificate Pinning),这会阻止 Charles 解密 HTTPS 流量。对于此类情况,可以尝试以下方法绕过: - **使用 Frida 动态插桩工具** Frida 可用于在运行时修改小程序的网络请求逻辑,绕过证书固定机制。此方法需要一定的逆向工程知识,并且可能涉及违反小程序服务条款的风险。 - **越狱设备并安装中间人工具** 越狱后可以安装如 SSL Kill Switch 等工具,禁用证书固定功能,从而实现抓包。但此方法存在安全风险,并可能导致设备不稳定或失去保修[^1]。 #### 四、注意事项 - **法律与隐私**:请确保仅对自有或授权的小程序进行抓包,避免侵犯他人隐私或违反法律法规。 - **数据安全**:在抓包过程中尽量避免操作涉及敏感信息(如登录、支付等)的接口,以防止数据泄露。 - **兼容性问题**:Mac 版微信目前不支持小程序运行,建议在 iOS 或 Android 设备上进行抓包,再通过 Charles 代理到 Mac 上进行分析[^1]。 #### 示例代码:使用 Charles API 获取证书地址 ```swift // 示例 Swift 代码,展示如何通过 HTTP 请求获取 Charles 提供的证书 import Foundation let url = URL(string: "http://192.168.1.100:9898/api/v1/cert")! let task = URLSession.shared.dataTask(with: url) { data, response, error in guard let data = data, error == nil else { print("Error: $error!)") return } print("Certificate data: $data)") } task.resume() ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值