小程序-WX-抓包

已于 2024-11-05 09:35:57 修改
阅读量799 收藏 4
点赞数 3
分类专栏: Web渗透 文章标签: 安全 网络安全
于 2024-04-04 11:38:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sgirll/article/details/137370937
版权

​免责声明

文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。如有侵权烦请告知,我会立即删除并致歉。谢谢!

目录

一、工具准备及相关设置

前言:Proxifier 是一款功能强大的网络工具,主要用于实现全局代理。通过 Proxifier,用户可以将所有网络流量通过指定的代理服务器转发,从而实现网络访问的匿名性和安全性。Proxifier 支持多种代理协议,包括 HTTP、HTTPS、SOCKS v4 和 SOCKS v5 等,同时也支持链式代理,可以灵活地配置多重代理路由。本文讲解Burpsuite配合Proxifier工具--抓取微信小程序数据包

一、工具准备及相关设置

本人用的是proxifier英文版,可以直接从官网下载:

https://www.proxifier.com/

工具下载好以后直接傻瓜式安装即可,然后双击运行

配置Proxifier工具的代理服务器

依次点击菜单栏中的配置文件->代理服务器->添加

503045c2930af6326bc0ce4b53816149.png

其中端口应与burp的监听端口一致:

3a7be224ed925ce949dbca603df65306.png

d64183ff7fe46d38144299a92d3d6d9f.png

配置Proxifier工具的代理规则

在主界面点击配置文件->代理规则->添加,然后设置内容如下:

688a591a55b4e2e4a5fdbc193fbe743b.png

447aac97cd08c364b99d40e9b115e647.png

注:WeChatAppEx.exe是微信小程序通用的进程。之后在小程序前面的复选框打钩

二:burp抓包演示

打开微信小程序,可以小程序流量成功经过proxifier工具

burp成功拦截抓取微信小程序数据包

ad6b7bf4f3df03d5bb3a5e12cf3f33fe.png

结语:若是本文对读者学习相关的技术起到了一定的参考意义,望能给本文点关注,谢谢!

微信小程序抓包(burp + proxifier)
qq_61081478的博客
10-17 2217
proxifier下载地址:https://www.proxifier.com/download/设置完成后打开burp,不用开启抓包,在HTTP history中即可看到数据包。微信小程序位置可任意打开小程序后,在任务管理器中右击查看文件位置。地址和端口为burp代理的设置,添加完成后测试代理连通性。成功使用Proxifier代理时运行小程序能看到正在连接。
使用 Fiddler 进行小程序抓包
阿星君
06-25 1万+
为什么是 Fiddler? 理由很简单:因为大多数测试同学都是用 Fiddler。虽然不同的抓包工具功能都大同小异,但就像开发者统一开发工具能够提高团队协作的效率一样,开发和测试之间统一工具也能提高大家的沟通效率。如果测试同学在使用 Fiddler 抓包时遇到了什么问题,比如说某个请求抓不到,你给的答复却是:我用 whistle/charles 没问题啊,这肯定会让测试同学抓狂。 前置准备 下载 Fiddler Everywhere 下载地址:www.telerik.com/download/fi…
看完即会,抓取微信小程序数据包教程
最新发布
2401_86943461的博客
04-10 1375
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。
可用的微信小程序抓包方式(Charles + bp)
小司机的奥拓
06-28 9431
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
工具抓包工具
cddchina的专栏
06-24 639
抓包工具wireshark,对于某些数据的格式文件
在线抓娃娃 微信小程序Wx-W-master.zip
09-25
在"Wx-W-master"项目中,你可以找到小程序的各个组成部分,包括WXML、WXSS、JS和JSON配置文件,通过对这些文件的学习和修改,可以深入理解微信小程序的工作原理,并进一步定制自己的在线抓娃娃应用。
小红书抓取,微信小程序抓包工具.zip
02-21
在给定的压缩包文件“小红书抓取,微信小程序抓包工具.zip”中,我们可以推测这是一套用于抓取小红书平台数据以及分析微信小程序交互的工具集合。下面将详细介绍这两个主要知识点。 首先,小红书是一个流行的社交...
一键token获取工具的使用说明适用于大部分微信小程序公众号等适合各类小程序活动抓包古茗霸王茶姬瑞幸库迪等活动
11-26
微信通用自助一键抓包软件,从左到右按顺序依次勾选再随便用电脑进入进公众号或者小程序- 软件为通用抓包软,协议头带Authorization、cookie token直接通用,还有其他一些特殊组合token如东鹏荷花这些;大部分微信...
电脑端抓包微信小程序的3种方法
m0_74321564的博客
08-25 7004
关于电脑端对小程序进行安全测试抓包的一些方法和思路,用于对小程序安全进行安全测试,软件全部使用默认配置即可,但是需要安装一台虚拟机,虚拟机需要使用桥接模式,该方法的好处在于不用担心代理规则配置问题导致程序形成死循环而无法抓到数据包。不管用那种方法,如果遇到这种流量,可以退出burp重新打开,退出微信重新登录,退出Proxifier.exe重新打开,还是这种流量则重新安装burp证书。然后在打开Proxifier.exe 工具,此时可以把系统代理关掉,然后通过Proxifier.exe设置代理,如图。
小红书抓取,微信小程序抓包工具
01-27
xiaohongshu 小红书抓取,微信小程序抓包工具 1,工具mitmdump使用,获取headers具体加密参数信息 2,csv实时表格插入,判断不重复插入头信息
最小的网络抓包工具,很小很实用
08-26
在用网络抓包工具 在用网络抓包工具 在用网络抓包工具 在用网络抓包工具 在用网络抓包工具
微信小程序-API接口安全详解
01-03
一.接口安全的必要性 最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。... 小程序端通过wx.login()获取到code后发送给后台服务器 后台服务器使用小程
fiddler抓取微信小程序
热门推荐
jnszstmei的博客
04-12 2万+
最近看了看一些公众号上的文章,发现一个用fiddler抓取羊了个羊的教程。对我这种小白来说,这种实验既有吸引力复现难度也不高,所以打算自己动手实操一下😍😍😍以下内容是对本次实验的复现最开始的时候,发现作者使用了fiddler这个工具,当时没听说过这个工具,很好奇和burp、wireshark有什么区别,后来在实际应用中呢,发现它好像综合了burp和wireshark,fiddler可以将网络传输发送与接收的数据包进行截获、重发、编辑和转存等操作;
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4572
有什么 python 在线网站推荐?
WeChatOpenDevTools---划时代的小程序抓包工具
2301_79445611的博客
10-06 1万+
寄了
抓包工具
Test architect
04-02 394
目录Wirshark二级目录三级目录FiddlerCharlesChrome开发者工具WeChat开发者工具 Wirshark 二级目录 三级目录 Fiddler Charles Chrome开发者工具 WeChat开发者工具
微信小程序抓包乱码
03-16
<think>好的,我现在需要解决用户提到的微信小程序抓包时出现乱码的问题,特别是与charset和编码相关的情况。首先,我要回忆一下常见的编码问题通常由哪些因素引起。根据用户提供的引用[1],中文乱码可能涉及文档头charset声明、文件保存格式和服务器发送的编码头部。这些点同样适用于抓包时的乱码问题。 首先,用户使用抓包工具时,获取到的数据出现乱码,可能的原因包括: 1. **抓包工具的编码设置不正确**:例如,如果抓包工具默认使用ISO-8859-1或其他编码解析响应内容,而实际数据是UTF-8,就会显示乱码。 2. **服务器返回的Content-Type头部缺失或错误**:服务器可能在HTTP响应头中没有正确指定charset,导致抓包工具无法正确解码。 3. **小程序数据本身的编码问题**:可能数据在传输前已经被错误编码,比如使用非标准的编码方式,或者二进制数据未正确解码。 4. **加密或压缩的数据未处理**:微信小程序的数据可能经过加密或压缩(如gzip),直接抓包得到的原始数据无法正确解析,需要先解密或解压。 接下来,我需要逐步分析每个可能的原因,并给出对应的解决方案。同时,要参考用户提供的引用内容,特别是引用[1]中提到的检查点,确保覆盖charset声明和服务器编码头部的问题。 另外,用户提到想解决的是微信小程序抓包的乱码,可能需要特定的工具或方法,比如使用Charles或Fiddler,并配置SSL代理来解密HTTPS流量。如果数据被加密,可能需要安装小程序的证书,或者处理微信特有的加密方式。 在思考过程中,可能还需要考虑微信小程序框架本身的数据处理方式,比如是否使用JSON格式传输,其编码是否统一为UTF-8,或者是否有自定义的编码处理。此外,如果抓包工具显示的是乱码,可能需要手动指定编码格式,或者在工具中调整显示设置。 同时,用户提供的引用[3]提到了一位开发者的博客,可能包含相关的实战经验,如果有相关的文章或解决方案,可以参考。不过目前的信息中没有具体的博客内容,可能需要建议用户查阅该博客是否有相关案例。 最后,总结解决方案的步骤,确保逻辑清晰,用户能够逐步排查和解决问题。需要包括检查抓包工具的编码设置、验证服务器响应头、处理加密数据、以及可能的解码操作等。</think>### 微信小程序抓包乱码问题解决方案 #### 1. **检查抓包工具的编码设置** - **原因**: 抓包工具(如Charles、Fiddler、Wireshark)可能未正确识别响应内容的编码格式,导致显示乱码。 - **解决方案**: -抓包工具中手动指定编码为UTF-8。例如,在Charles的「View」菜单中启用「UTF-8 Encoding」选项。 - 如果数据为二进制格式(如protobuf、加密数据),需使用插件或自定义脚本解码[^1]。 #### 2. **验证服务器响应头的编码声明** - **原因**: 服务器返回的HTTP头部可能未正确指定`Content-Type`的`charset`参数(如`Content-Type: application/json; charset=utf-8`)。 - **解决方案**: -抓包工具中检查响应头,确认是否包含`charset`声明。若缺失,需联系后端开发人员补充。 - 若服务器返回的编码与实际数据不一致,手动切换抓包工具的解析编码。 #### 3. **处理加密或压缩的数据** - **原因**: 微信小程序默认使用HTTPS且可能对数据加密或压缩(如gzip),导致抓包内容不可读。 - **解决方案**: - **安装SSL证书**: 在抓包工具中配置微信小程序的SSL证书解密HTTPS流量(需手机和电脑端均安装证书)。 - **解压数据**: 如果数据被gzip压缩,在抓包工具中启用「自动解压」功能(如Charles的「Content Encoding」选项)[^2]。 #### 4. **尝试手动解码数据** - 如果数据仍显示为乱码,可能是非标准编码或加密导致: - 使用Python脚本尝试多种编码格式(如UTF-8、GBK、GB2312): ```python def decode_data(raw_data): encodings = ['utf-8', 'gbk', 'gb2312', 'latin-1'] for enc in encodings: try: return raw_data.decode(enc) except UnicodeDecodeError: continue return "解码失败" ``` - 若数据为二进制协议(如微信自定义格式),需查阅小程序开发文档或反编译逆向分析。 #### 5. **检查小程序前端代码** - **原因**: 小程序前端可能对数据进行了自定义编码或加密。 - **解决方案**: - 使用微信开发者工具调试小程序,查看网络请求的原始数据格式。 - 在代码中搜索`wx.request`调用,确认是否添加了`transformResponse`等自定义处理逻辑。 --- ### 总结排查流程 1. **确认抓包工具配置正确**(编码、SSL解密、解压)。 2. **检查服务器响应头的`Content-Type`**。 3. **尝试手动切换编码或脚本解码**。 4. **联系开发人员确认数据加密方式**(如AES、RSA等)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值