Burp + Charles 抓取微信小程序数据包

最新推荐文章于 2025-04-25 09:33:28 发布

m0_54108779

最新推荐文章于 2025-04-25 09:33:28 发布

阅读量891

点赞数 1

文章标签：微信小程序小程序网络安全

本文链接：https://blog.youkuaiyun.com/m0_54108779/article/details/134953683

版权

今天开始进行微信小程序的渗透测试，但是之前没怎么接触过小程序的，今天一天都在学习中，网上找了很多文章均未成功，同事的环境和我一样使用Burp + Proxifier可以成功抓到数据，我不可以，郁闷。

最后找到一个可以成功抓包的方法：[Windows] 一个能用的微信小程序抓包方式（亲测） - 知乎 (zhihu.com)

一安装Charles-proxy 官网：https://www.charlesproxy.com

安装完成之后

二、设置代理

默认端口8888 下面配置建议和我一样

第二个设置SSL代理

添加两个*的规则根据你自己的需求设置

三、然后就配置BP

要和上面配置的出口一样的端口

四、成功了

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0_54108779

关注关注

1
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

微信小程序抓包教程

猫敷雪

12-02

638

注意，Web Proxy（HTTP）和 Secure Web Peoxy（HTTPS）都需要填写 127.0.0.1 以及端口（这里填的都是 8080），这和后续配置 BurpSuite 代理的端口一致。是代表抓取任意端口和域名，如果只抓取固定的端口 or 域名可自行设置。将数据包代理转发到BurpSuite中。接下来你就可以在拦截历史中抓到包了。

微信小程序渗透测试技巧

07-19

1万+

随着小程序数量的爆发式增长，其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧，总结下微信小程序安全测试的思路。1、小程序解包（反编译）（1）安装手机模拟器，比...

参与评论您还未登录，请先登录后发表或查看评论

看完即会，抓取微信小程序数据包教程

07-08

1万+

最近有很多小伙伴问到能不能抓取到微信小程序数据呢？答案当然是肯定的，通过Fiddler或者Charles这些主流的抓包工具都可以抓得到，在IOS平台抓取微信小程序和https请求都是一样的设置，接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包（Charles也是类似）。一般电脑和移动端设备连接到同一个WiFi热点（路由器），就可以保证是在同一局域网中，这里我们可以通过手机设置->无线局域网->选择对应热点，查看设备IP地址：在电脑端通过ping命令去检测下电脑是否能够连接IOS设备：

利用burp抓取app和小程序的http包

dayouzi的博客

04-15

3425

为了开展C/S的渗透测试，主要是针对web的测试，需要截取客户端的访问流量，这里整理几种常见的抓取app和小程序包的方法。

Charles 安装与使用详解：实现 App 与小程序 HTTPS 抓包

花千树的专栏

04-15

1870

Charles 是一款基于代理的网络抓包工具，支持 HTTP/HTTPS、WebSocket 等协议，能实时拦截、查看、修改请求与响应。支持 HTTPS 解密支持修改请求（断点调试、重放）支持手机代理抓包（iOS/Android）支持 WebSocket 抓包Charles 是开发调试过程中不可或缺的网络抓包利器，尤其在移动端调试中帮助巨大。通过正确安装证书、配置代理、设置解密域名，即可实现 HTTPS 流量透明可视化。

Charles对微信小程序抓包

bocai_xiaodaidai的博客

04-08

2119

Charles对微信小程序抓包

Charles微信小程序抓包（详解）

lw1558533893的博客

08-25

1万+

Charles微信小程序抓包图文详解

Charles小程序抓包（安卓版）

故事讲予风听

02-23

3281

打开Charles,打开上方工具栏中Help---Register Charles，输入用户名和激活码。然后，抓取包的规则配置（*是代表抓取任意端口和域名，如果只抓取固定的端口or域名可自行设置。3.打开电脑热点，手机连接电脑热点。因为主要是联动手机对微信抓包，所以可以关闭windows端的抓包，避免干扰。1、Windows+Burp+Proxifier（配置困难，数据包卡顿)4.手机访问小程序或者公众号，在Charles和burp都可以看到包。3、Burp+Charles（本文测试，抓包完整，放包流畅）

(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包

Arched的博客

01-24

1万+

Charles+Burp+手机联动抓取WX小程序/公众号数据包

可以抓微信https包的工具

11-03

这时，可以使用Charles或Burp Suite等工具，同样需要配置自签证书和设备代理。在设置信任证书后，iOS设备的网络流量可以通过这些工具捕获。描述中提到的“sunny”可能是某个特定的抓包工具或者是一次抓包操作的...

第3天：基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用

可乐.的博客

12-17

1328

小迪安全2022年学习笔记、第3天：基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用

Android抓包 - 抓包工具总结

dafan0的博客

05-18

1487

不同的抓包工具有不同的效果，因此，需要根据场景去选择抓包工具，有效的拦截到协议。

可用的微信小程序抓包方式（Charles + bp）

小司机的奥拓

06-28

9398

接到对公司小程序进行渗透的任务，尝试了网上几种对小程序抓包的方式（Burp+Proxifier、Burp+安卓模拟器等）都无法完成抓包，可能已经失效，结合不同的文章尝试了bp+Charles，成功抓包。

使用Charles在Mac上抓包解析微信小程序接口数据

xiaosha799的博客

01-11

6465

本文详细介绍如何在Mac电脑上使用Charles工具进行微信小程序后台项目的抓包和分析。

【微信小程序】使用Charles抓包

最新发布

Minions_Fatman的博客

04-25

444

设置代理端口为8888，并且勾选图中复选框，最后点击确认。勾选启用ssl代理，点击添加，并且按照下图输入。看到如图所示明文，则证书安装成功。检查无误后，点击确认。

Charles抓包微信小程序数据

cunrran的博客

07-01

6750

Charles抓包微信小程序数据

PC端安装配置Charles抓包微信小程序

羽墨灵丘的博客

03-05

1228

PC端安装配置charles实现抓包微信小程序

Charles抓取微信小程序https请求(附注册激活码教程)

weixin_43407833的博客

05-22

1850

捕获微信小程序中的https请求

charles如何抓取微信小程序

sumoyan1010的博客

04-19

1万+

背景领导突然发过来一个微信小程序，希望能抓到接口内容，看样子还挺着急，于是乎，赶紧配合抓包（演出）过程 1.首选需要安装charles，mac或者windows版本的均可（我公司的电脑使用的是windows版本），安装好版本证书。 1. 在help -> SSL proxying ，选择Install Charles Root Certificate然后按照提示安装 2. 保证电脑和手机在同一网络上，然后手机WiFi开启代理，填入电脑的ip和端口号 1.在cmd中输入ipconf

BurpSuite抓取小程序的教程

01-26

### 使用 BurpSuite 抓取小程序流量教程 #### 准备工作为了成功抓取并分析微信小程序的数据流，需准备如下工具： - **BurpSuite**: 主要用于拦截、查看和修改HTTP/HTTPS请求与响应。 - **Proxifier**: 作为代理配置软件，可以将特定应用程序的网络通信重定向到指定的代理服务器。 #### 配置环境安装好上述提到的所有必要组件之后，按照以下说明来搭建测试环境： ##### 设置 BurpSuite 的监听端口启动 BurpSuite 后，在`Proxy`选项卡下的`Options`子菜单里找到`Proxy Listeners`部分。点击右侧的`Add`按钮创建一个新的监听器实例，并将其绑定至本地地址(`127.0.0.1`)上的任意可用TCP端口号（如8080）。确保勾选了允许循环回路连接这一项以便后续操作[^2]。 ##### 安装 CA 证书为了让 HTTPS 请求能够被正确解析而不触发浏览器警告，需要先导入由 BurpSuite 自动生成的信任根证书。这一步骤可通过访问 `http://burp/cert` 来完成下载并根据操作系统指引完成安装过程[^3]。 #### 进行实际抓包流程当一切就绪后就可以正式开始了： ##### 配置 Proxifier 转发规则打开 Proxifier 应用程序，通过新建规则的方式设定目标应用——即微信客户端所发出的一切互联网请求都将经由此处定义好的 HTTP(S) Proxy 发送出去；这里应当指向之前已在 BurpSuite 中开启的那个监听接口位置[^1]。 ##### 开始监控会话活动返回到 BurpSuite 界面下切换至 Intercept Tab 查看实时捕获的信息条目列表。此时只要正常运行微信中的任何一款小游戏或其他形式的小程序功能模块，则对应的网络交互记录就会立即显示在此面板之上供进一步研究之用了。 ```bash # 示例命令：验证本机能否通过设置的代理访问外部资源 curl -x http://127.0.0.1:8080 https://www.example.com ```