clash+yakt抓包微信小程序

最新推荐文章于 2024-06-18 12:49:56 发布
最新推荐文章于 2024-06-18 12:49:56 发布
阅读量1k 收藏 11
点赞数 14
文章标签: 微信小程序 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_0011/article/details/138216571
版权

在抓app和微信小程序时,通常使用Proxifier进行代理,但是总是莫名其妙的没有反应,这时就只能重启电脑。这时我们就可以使用clash进行抓包,亲测可用。

0x02 代理模式设置

!

图片

开启服务模式,系统代理

图片

确保wintun.dll存在

图片

0x03 配置代理文件

!

图片

在配置选项中导入配置文件

图片

图片

该配置文件提供了只抓微信小程序和全局代理两个节点

# 代理设置proxies:  - name: Charles    type: http    server: 127.0.0.1    port: 8080  # 根据抓包工具配置
# 代理组设置proxy-groups:  - name: Proxy    type: select    proxies:      - Charles      - DIRECT
  - name: GlobalProxy    type: select    proxies:      - Charles      - Proxy      - DIRECT
# 规则设置rules:  - DOMAIN-SUFFIX,wxapp.qq.com,Proxy   # 微信小程序的域名匹配规则,流量通过 Charles 代理  - DOMAIN-SUFFIX,wechat.com,Proxy    # 可能与微信小程序相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,tencent.com,Proxy    # 腾讯相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,weixin.qq.com,Proxy    # 微信相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,qq.com,Proxy    # QQ 相关的域名,也经过 Charles 代理  - MATCH,GlobalProxy   # 默认规则,可在 GlobalProxy 中切换全局代理和直连
# DNS 配置dns:  enable: true  ipv6: false  enhanced-mode: fake-ip # 或使用 redir-host,取决于设备和需求  nameserver:    - 8.8.8.8    - 1.1.1.1
# 其他设置tun:  enable: true  stack: system # 或 gvisor,取决于设备支持  dns-hijack:    - 198.18.0.2:53  auto-route: true  auto-detect-interface: true # Clash 会自动检测出口网卡
# 日志级别,可选 "info", "warning", "error", "debug", "silent"log-level: info

0x04 抓包效果

!

图片

配置与yakt联动(如使用burp微信必须在3.7.6版本以下),ip填写本机ip或127.0.0.1(本地记得导入yakt证书)

图片

抓包效果,可以看到抓取成功

图片

0x05 总结

!

图片

    该方法不仅适用pc端,还可适用于抓取手机app但是clash本身不会无视客户端的证书校验,所以需要一些其它方式去解决证书问题,鸽鸽们可以自行研究一下,配置文件Android和pc基本可以通用。

# 代理设置proxies:  - name: Charles    type: http    server: 127.0.0.1    port: 8080  # 根据抓包工具配置
# 代理组设置proxy-groups:  - name: Proxy    type: select    proxies:      - Charles      - DIRECT
  - name: GlobalProxy    type: select    proxies:      - Charles      - Proxy      - DIRECT
# 规则设置rules:  - DOMAIN-SUFFIX,wxapp.qq.com,Proxy   # 微信小程序的域名匹配规则,流量通过 Charles 代理  - DOMAIN-SUFFIX,wechat.com,Proxy    # 可能与微信小程序相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,tencent.com,Proxy    # 腾讯相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,weixin.qq.com,Proxy    # 微信相关的域名,也经过 Charles 代理  - DOMAIN-SUFFIX,qq.com,Proxy    # QQ 相关的域名,也经过 Charles 代理  - MATCH,GlobalProxy   # 默认规则,可在 GlobalProxy 中切换全局代理和直连
# DNS 配置dns:  enable: true  ipv6: false  enhanced-mode: fake-ip # 或使用 redir-host,取决于设备和需求  nameserver:    - 8.8.8.8    - 1.1.1.1
# 其他设置tun:  enable: true  stack: system # 或 gvisor,取决于设备支持  dns-hijack:    - 198.18.0.2:53  auto-route: true  auto-detect-interface: true # Clash 会自动检测出口网卡
# 日志级别,可选 "info", "warning", "error", "debug", "silent"log-level: info

!

图片

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

 

程序员_大白
关注
  • 14
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python随机生成验证码的两种方法
量慧实工作室LHStudio的博客
03-10 1862
Python随机生成验证码的方法有很多,今天给大家列举两种,大家也可以在这个基础上进行改造,设计出适合自己的验证码方法 方法一: 利用range方法,对于range方法不清楚的同学,请参考文章《python开发的range()函数》 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 #-*-coding:utf-8-*...
clashcmd:批量编写的最小Clash UI
03-21
冲突cmd
使用burp抓包pc端微信小程序
weixin_57048716的博客
08-28 1170
使用burp抓包pc端微信小程序
2024抓包web、模拟器app、小程序
最新发布
粘贴工程师的博客
06-18 733
然后进入 /etc/security/cacerts目录下,粘贴到这里,这里可能会出现 雷电模拟器当前文件系统是只读的,请尝试以读写的方式挂载文件系统。进入根目录,然后进入/data/misc/user/0/cacerts-added 复制证书。前置准备:bp,Google插件Proxy SwitchyOmega ,bp证书安装。bp证书安装:开启代理后,浏览器输入http://burp。然后需要重新关闭微信打开小程序,就可以抓到小程序的数据了。然后完成即可实现对bp证书的安装。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 571
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全含于渗透测试,但不是渗透测试的全部。
Linux系统下查看电脑的配置
ERIC_WHY的博客
05-17 488
1)查看CPU的信息 cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c cat /proc/cpuinfo 2)查看显卡信息 nvidia -smi lspci | grep -i vga 3)查看内存信息 cat /proc/meminfo                     #查看内
应急响应-日志分析工具
wuqingsix的博客
02-16 558
1、Web - 360星图(IIS/Apache/Nginx)--缺点:支持较少。4、Web -机器语言(任何自定义日志格式字符串)--- 不提示相关安全问题。2、Web - GoAccess(任何自定义日志格式字符串)并自动打,将收集的文件上传观星平台即可自动分析。3、Web - 自写脚本(任何自定义日志格式字符串)稍微好。4、大型日志分析项目 :elK(见后续)
linux下查看电脑配置
w5nner的专栏
12-16 1628
由于实验室服务器管理的任务,需要对服务器配置有所记录,因此记下几个查看硬件信息的命令, 并以一台ubuntu12.04系统的机器为例。 1、主板型号: sudo dmidecode -t 2 其中dmidecode命令是查看硬件信息的,括BIOS、系统、主板、处理器、内存、缓存等等 查看主板型号结果 2、显卡型号: lspci |grep VGA 3、硬盘容量
Fishing Clash: Fish Catching Games-crx插件
04-05
语言:English,English (UK),English (United States) 钓鱼冲突:捉鱼游戏,现在可在Chrome浏览器上使用 与《钓鱼冲突:捉鱼游戏》中的电子游戏史上最著名的英雄一起玩。...*您必须禁用广告拦截器才能使用此扩展程序。
Clash of Clans Tribute New Tab-crx插件
04-05
语言:English (United States) 全新的标签向史诗般的手机游戏《部落冲突》致敬! 自定义Chrome的“新标签页”页面,并在每个新标签页中享受以部落冲突为主题的墙纸图片。 此扩展适用于所有“部落冲突”粉丝。...
Clash Royale Wallpapers and New Tab-crx插件
04-02
语言:Bahasa Indonesia,Bahasa Melayu,Deutsch,English,Filipino,Français,Kiswahili,Nederlands,Norsk,Tiếng Việt,Türkçe,català...Clash Royale Wallpapers和“ New Tab”扩展程序为您的默认Chrome“ New Tab”
python:随机验证码的生成
m0_61107201的博客
11-02 1386
# 定义一个generate_code()函数 def generate_code(num): """ generate_code方法主要用于生成指定长度的验证码,有一个num参数,需要传递一个int类型的数值,其return返回结果为num长度的随机验证码 """ import random # 第一步:定义一个字符串 str1 = "23456789abcdefghijkmnpqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ" # 第二步:循.
linux怎么查看计算机配置
管子(zero)的杂乱空间
12-18 391
cat /proc/cpuinfo 查看cpu free -m 查看内存 fdisk -l查看硬盘分区 df -h 查看挂载目录 ifconfig查看网卡信息 ethtool eth0查看详细的网卡工作模式 lspic列出所有芯片信息,比如声卡,显卡,网卡等。...
为什么国际顶级黑客大都没学过计算机专业,而是自学成才?
weixin_57514792的博客
05-29 6116
为什么国际顶级黑客大都没学过计算机专业
怎么查看电脑配置参数linux,linux下查看电脑配置
weixin_32558527的博客
05-12 193
linux块设备驱动之实例1.注册:向内核注册个块设备驱动,其实就是用主设备号告诉内核这个代表块设备驱动 sbull_major=register_blkdev(sbull_major,"sbull&quo ...Android 微信UI 、点击操作上一篇,我们介绍了微信界面的相关知识点.今天我们就来把微信的界面做出来. 首先我们新建一个layout-->LinearLay...
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 1642
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
应急响应之日志分析专题
weixin_51339377的博客
06-01 637
应急响应之日志分析专题
针对微信小程序的渗透测试实战
Python_0011的博客
03-23 2014
内容概要:括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
python生成随机验证码
老中医
02-24 578
#!/usr/bin/env python #-*- coding:utf-8 -*- import random code = [] for i in range(0,6): if i == random.randint(0,6): code.append(str(i)) else: M = (random.randint(65,90))
clash dashboard
04-04
As an AI language model, I do not have access to any specific dashboard related to Clash. However, a Clash dashboard typically refers to a user interface that provides real-time information and insights about the game Clash of Clans. It may include information such as player statistics, clan information, war logs, and other relevant data. Some popular Clash dashboards include ClashTrack, Clash of Stats, and Clash Ninja.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值