(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包

已于 2024-01-24 15:30:27 修改
阅读量2w 收藏 114
点赞数 37
CC 4.0 BY-SA版权
分类专栏: 黑客工具 文章标签: 小程序 微信公众平台
于 2024-01-24 14:33:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arched/article/details/135777104

目录

微信小程序/公众号抓包的主流方式

一、下载

1、Charles官网下载安装包

2、Burpsuit下载

3、Charles破解

二、Charles设置

1、Charles设置代理

2、关闭对windows端的抓包

3、配置PC端证书

4.移动端证书配置(我这里使用苹果手机测试)

4.1手机连接电脑热点,并配置端口

4.2证书下载后手机能直接识别

4.2证书下载后无法识别,需要PC下载后传输到手机端,保存到文件后手机才可以识别。

三、抓包

微信小程序/公众号抓包的主流方式

目前有以下几种:

1、Windows+Burp+Proxifier(配置困难,数据包卡顿)

2、Burp+安卓模拟器(模拟器卡顿)

3、Burp+Charles(本文测试,抓包完整,放包流畅)

一、下载

1、Charles官网下载安装包

https://www.charlesproxy.com/download/latest-release/

2、Burpsuit下载

https://portswigger.net/burp/releases

3、Charles破解

进入链接,输入任意内容作为用户名,获取注册码。

https://www.zzzmode.com/mytools/charles/

打开Charles,打开上方工具栏中Help---Register Charles,输入用户名和激活码

二、Charles设置

1、Charles设置代理

打开工具栏中Proxy-Proxy Settings

设置为如下格式

然后,抓取包的规则配置(*是代表抓取任意端口和域名,如果只抓取固定的端口or域名可自行设置。)

接下来配置Charles代理到burpsuit的规则(我这里偷懒,配置的burp默认的8080端口,为避免端口冲突,可自行想想1-65535之内的端口,与burp协同配置即可)

2、关闭对windows端的抓包(每次打开软件都是默认开启的,记得关闭)

因为主要是联动手机对微信抓包,所以可以关闭windows端的抓包,避免干扰。

3、配置PC端证书

点击下一步,再点击完成,PC显示导入完成就完成PC端证书配置了。

4.移动端证书配置(我这里使用苹果手机测试)

在这里出现了两种可能性,依次进行即可:

4.1手机连接电脑热点,并配置端口

开启电脑热点

手机连接热点,然后在Charles中进行如下操作:

点击存储就配置完成了,Charles会出现弹窗,点击Allow即可。

4.2证书下载后手机能直接识别

在手机上使用safari浏览器访问下面这个网址

chls.pro/ssl

点击允许

在手机中的设置路径去设置证书:设置—>通用—>关于本机—>证书信任设置中打开对根证书启用完全信任。

所有的流程配置完成,现在就可以抓包了。

4.2证书下载后无法识别,需要PC下载后传输到手机端,保存到文件后手机才可以识别。

在Charles中保存证书到PC本地。

通过微信/QQ发送到手机

点击收到的pem文件,在手机上选择用其他应用打开,选择保存到文件

在文件中点击一下保存的PEM文件。点击关闭。(点击这一步很重要,设置中找不到证书就是忘了点一下)

打开设置—>通用—>VPN与设备管理,点击Charles的证书文件,安装证书。

打开设置—>通用—>关于本机—>证书信任设置,打开对根证书启用完全信任。

配置完成,现在就可以抓包了。

三、抓包

上面配置好了以后就可以开始抓包了,以后如果再有小程序、微信抓包需求直接进行以下流程即可。

1.打开Charles.

2.打开burp。on/off拦截或者放包。

3.打开电脑热点,手机连接电脑热点。(如果生活中正常使用电脑热点记得把ip代理改回自动)

4.手机访问小程序或者公众号,在Charles和burp都可以看到包。

使用Charles+Burp实现安卓抓包
weixin_45284414的博客
04-02 440
在安卓模拟器的浏览器打开http://chls.pro/ssl,(安卓设置好代理)下载证书。添加 include的站点地址和端口号,代表展示这些站点的SSL请求和响应的明文。在安卓模拟器的设置->加密与凭据->安装证书->CA证书,至此安装为用户证书。安装证书:双击安装,导入到受信任机构。
使用Proxifier + Burp 实现小程序抓包
weixin_45284414的博客
04-03 1974
打开任务管理器->打开微信小程序->打开所在位置->复制地址->点击browse浏览->粘贴上地址->可找到exe应用,单击选中。
Charles小程序抓包(安卓版)
故事讲予风听
02-23 3686
打开Charles,打开上方工具栏中Help---Register Charles,输入用户名和激活码。然后,抓取包的规则配置(*是代表抓取任意端口和域名,如果只抓取固定的端口or域名可自行设置。3.打开电脑热点,手机连接电脑热点。因为主要是联动手机对微信抓包,所以可以关闭windows端的抓包,避免干扰。1、Windows+Burp+Proxifier(配置困难,数据包卡顿)4.手机访问小程序或者公众号,在Charlesburp都可以看到包。3、Burp+Charles(本文测试,抓包完整,放包流畅)
微信小程序抓包burp + proxifier)
最新发布
2301_81881972的博客
06-10 1046
链接: https://pan.baidu.com/s/1fFiy9w_eQBaA5CvLb2kKTA?pwd=z7v1 提取码: z7v1。Burp Suite官方下载地址:https://portswigger.net/burp/releases#professional。​通过网盘分享的文件:ProxifierSetup.zip。
APP、PC客户端抓包小程序\公众号
m0_59554937的博客
03-26 7614
微信小程序公众号抓包手机端APP、PC客户端抓包
可用的微信小程序抓包方式(Charles + bp)
小司机的奥拓
06-28 9907
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
安卓渗透指南(五)-用CharlesBurp Suite联动抓包android手机
a2542447400的博客
03-28 4209
本篇讲解了Charles的安装、Charles的激活、Charles的配置和手机端的配置,还有CharlesBurp Suite联动
Charles联动Burp-新世界的大门
HWHXY的博客
12-04 2026
Charles联动Burp-新世界的大门 https://www.freebuf.com/articles/web/290142.htm
BurpSuit联合Charles高效抓包
北冥同学的成长记录笔记
06-21 1784
BurpSuit联合Charles抓包是一种创造性思维的方式,这样的联合解决了BP在移动端抓包的短板,发挥了Charles作为专业数据分析工具的长处。
联合抓包burp+charles&burp+Proxifier&burp+代理服务器
AlunXZhou的博客
03-28 1776
charles开启时会自动开启代理服务器在抓取微信小程序包时,设置可将charles抓取数据包传到127.0.01:8080,此时在burp设置此代理可抓取charles抓取的包,相当于charles抓取的包传到burp上来分析。
【APP抓包Charles+burp+夜神模拟器联动抓包(带导入系统级0证书)
weixin_52351575的博客
12-07 3089
本文适合萌新小白和即将暴富的人员观看,非战斗人员请撤离!(主要是没钱买测试机qwq)文中所有工具请私信发送APP抓包获取。
Burp Suite抓取App数据包的技巧
09-04
通过Burp Suite抓取APP数据包的过程相对简单。当你在使用APP时,Burp Suite会自动拦截和记录所有的HTTP请求和响应。你只需要在Burp Suite中查看这些请求和响应,并进行分析。通过分析这些数据包,你可以发现潜在的...
Burpsuite抓取小程序数据包教程
weixin_46134627的博客
01-08 1138
数据传输(过程): 微信小程序>>Proxifier>>Burpsuite>>服务端。
小林渗透入门:burpsuite+proxifier抓取小程序流量
qq_69294474的博客
11-02 909
在介绍这两个工具具体实现方法之前,有个很重要的技术必须要大概了解才行---代理。
Burp入门第三十三篇】BurpSuite+Proxifier安装配置,实现微信小程序抓包
等风来
04-26 4155
本文介绍Burp+Proxifier安装配置,实现微信小程序抓包
Burp小程序抓包详细教程
玖的博客
12-11 6976
开源免费抓包工具,支持Windows、Mac、Android、IOS、Linux 全平台系统,可以使用它来拦截、检查和重写HTTP(S)流量,支持Flutter应用抓包,软件采用 Flutter 框架进行开发,不仅确保了软件的跨平台兼容性,还为用户带来了简洁美观的界面和流畅的操作体验,无需复杂的手动配置,仅需手机扫码连接,即可实现设备间流量的代理与共享,极大地提高了使用的便捷性。
Postern+Charles+BurpSuit联合抓包
m0_53623841的博客
04-22 2179
环境准备:adb(夜神模拟器自带或者自己安装)openssl(kali自带或者自己安装)
逍遥模拟器代理CharlesBurpsuite联动
m0_71871525的博客
04-30 2651
7,可以参考以下图,配置ip和端口,配置完后CharlesBurpsuite联动成功。3,打开配置代理,配置本机的ip和charles的8889端口,保存。2,这里主要配置三个,配置代理,配置规则,打开VPN。6,回到charles ,配置代理,可以参考以下的图。5,找到刚刚导出保存的证书,输入刚刚导出证书的密码。4,配置代理规则,动作选择通过代理连接,保存。二,配置CharlesBurp Suite。4,打开Burp Suite按图中参考选项。2,输入一个记得住的密码。
charles如何抓包微信小程序消灭病毒
06-30
Charles是一款强大的网络调试和代理工具,常用于抓包分析网络请求,但它主要用于HTTP/HTTPS通信的监控,对于微信小程序这样的原生应用(基于微信的SDK)的网络通信,由于加密和封装,直接使用Charles可能无法获取到完整的微信小程序数据,特别是涉及到敏感信息如登录凭证和加密传输的数据。 微信小程序消灭病毒通常是指检测和阻止小程序中的恶意代码行为。要通过Charles监控微信小程序,你可以尝试以下步骤: 1. **设置代理**:确保Charles在你的设备上作为网络代理,这样它可以拦截和记录所有通过设备发送的网络流量。 2. **抓取接口**:微信小程序大部分功能依赖于后端API调用,尝试模拟用户操作,看能否抓取到API请求及其响应。但微信会对敏感接口进行加密,你可能只能看到基本的URL和请求头。 3. **微信开发者工具辅助**:官方提供的微信开发者工具可能会提供一些日志或安全选项,帮助你了解小程序的行为,但这些工具通常不包括详细的网络包解密功能。 由于微信小程序采用了特殊的加密技术和封装机制,直接使用Charles可能无法深入检查病毒或恶意代码,你可能需要借助专业的调试工具或者微信官方的安全测试手段。如果你怀疑小程序有问题,可以提交至微信开发者社区寻求官方帮助,或者使用专门针对小程序安全分析的工具。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值