微信小程序抓包及测试

已于 2023-11-07 11:10:01 修改
阅读量588 收藏 5
点赞数
分类专栏: 技术干货 文章标签: 1024程序员节 网络安全 web安全 网络 安全 微信小程序 php
于 2023-10-24 11:30:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/134006844
版权
本文介绍了如何使用BurpSuite+Proxifer+微信客户端进行微信小程序的抓包测试,详细阐述了环境准备、小程序反编译及可能的安全漏洞,通过实际案例展示了抓包反编译过程,并揭示了在测试过程中意外发现的SQL注入漏洞。
摘要由CSDN通过智能技术生成

目录

环境准备

小程序反编译

一不小心getshell

本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获

网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式

环境准备

Burp2023.9.2

Proxifier4.5

Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器,工作的网络程序能通过HTTPS或socks或代理链。其是收费软件,免费试用31天,这里给一个破解版链接

链接:百度网盘 请输入提取码

提取码:7o50

图片1.png

安装就无脑next就好了,安装好后打开

图片2.png

点击注册,名字随便写,随便复制一个注册码点击ok即可

Proxifier配置

打开proxifier,点击profile添加一个代理服务器

图片3.png

图片4.png

地址127.0.0.1,端口自定义,我这里是8888,协议选择https

继续添加一条代理规则

在我们用微信打开小程序时,进程里会多出一个WeChatAppEx

图片5.png

这个程序就是微信小程序的进程

添加规则

图片7.png

Applications就选择小程序进程应用(这里可以手动输入),Action就选择刚刚新建的代理服务器

Burp配置

图片8.png

只要编辑代理监听器和proxifier里的代理服务器一样即可,监听127.0.0.1:8888

这时微信打开一个小程序,可以看到WeChatAppEx的流量先经过proxifier,再用过127.0.0.1:8888到burp

图片9.png

现在就可以像平时测试web站点一样的方式在burp里对数据包进行测试

小程序反编译

图片10.png

在微信的设置里面可以找到微信文件保存的位置

图片11.png

目录下的Applet就是小程序缓存文件的保存地址

图片12.png

平时使用的小程序越多,对应的文件也就越多,如果找不到自己想要测试的小程序包,可以根据修改日期来找,或者直接简单粗暴,删除所有的缓存文件,再重新打开你想要测试的小程序

图片13.png

这时里面的就是我们要测试小程序对应的缓存文件夹

点开里面就是我们要解的包

图片14.png

这是一个加密的包,当用户在微信中搜索或扫描小程序二维码后,微信后台会将该小程序的相关信息打包成 .wxapkg 文件并下发到用户的设备中,这种文件格式实际上是一个压缩包,其中包含了小程序的所有代码、资源和配置文件等内容,以及一个特定的描述文件 app.json。

由于是加密的包,所以先来解密,下面是大佬的解密工具链接

链接:百度网盘 请输入提取码

提取码:qz3z

图片15.png

选中加密的包

最低0.47元/天 解锁文章
zkzq
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序抓包
qq_32445755的博客
07-07 2310
ios端和mac用户可以忽略以下内容,本文针对于windows端和android端的微信无法抓取小程序数据包提出相关解决方案。最近测试小程序发现以前的抓包方式都不管用了,无论是用PC端还是手机端都有问题,这里经过测试给出大家提供解决方案。直接通过pc端,配置全局代理,进行抓包,当然是无法抓到的,百度得来了一种方法。先打开小程序,启动任务管理器,确定目录位置 定位到C:\Users\wxt\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime 关
微信小程序抓包(渗透测试
墨痕诉清风的博客
07-15 3万+
很多时候Web测试已经被很多人都光顾过了,相反小程序和APP,往往是被遗忘的,被遗忘的往往是最容易出现安全风险的。在最近的项目里,有个小程序的测试项目,已经被挖了好多漏洞啦!
微信小程序抓取数据包(Proxifier联动burpsuite)
m0_63917373的博客
05-22 1515
微信小程序抓包,APP,小程序,抓包
macOS小程序抓包配置,知其然,并知其所以然
ooooooih的博客
07-15 1537
我在挖小程序漏洞时,抓包用的工具也是用的和Windows一样,,这算是比较常规的工具了吧,我看网上教程也挺多的,但是有一些已经过期了,我这里分享一下我的配置流程吧。同时我也会简单解释一下我们在Proxifer中用到的一些模块的功能与使用,
看完即会,抓取微信小程序数据包教程
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-08 1万+
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者Charles这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。一般电脑和移动端设备连接到同一个WiFi热点(路由器),就可以保证是在同一局域网中,这里我们可以通过手机设置->无线局域网->选择对应热点,查看设备IP地址:在电脑端通过ping命令去检测下电脑是否能够连接IOS设备:
微信小程序抓包(全)
WingDwf的博客
08-03 3334
我们用百度获取证书下载(我们在百度输入127.0.0.1:12332)3、随机打开微信小程序(一定要打开一个,拼多多、美团、网盘都可以)6、代理服务器配置、和Burp配置的IP和端口一致,选择HTTPS。7、配置代理规则,选择Direct,添加一条规制。1、配置文件–>高级–>HTTP代理服务器。4、打开任务管理器,找到小程序文件位置。点击箭头反向,对证书下载并安装证书。2、选择启动HTTP代理服务器支持。8、配置好就可以抓包了。
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 9562
微信小程序手机抓包方案
微信小程序抓包测试
m0_46151559的博客
12-12 973
微信小程序抓包
小红书抓取,微信小程序抓包工具
01-27
本文将深入探讨如何利用抓包工具来抓取小红书的数据,并结合微信小程序的相关知识,帮助你理解整个过程。 首先,我们要关注的是"mitmdump"这个工具。Mitmdump是mitmproxy的命令行版本,它是一个强大的网络代理,常...
可用的微信小程序抓包方式(Charles + bp)
小司机的奥拓
06-28 3969
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
微信小程序抓包(手把手教你,保姆级教程)+原理分析
qq_68064663的博客
10-21 2万+
之前一直会抓包的操作,但是不懂为什么,这次理解了,写篇博客记录一下。
微信小程序抓包总结
weixin_48421613的博客
11-22 1万+
微信小程序抓包 微信小程序抓包现在不是很容易了,很多人都是使用手机(root的),但是随着手机安卓版本的越来越高,微信版本的越来越高,不少小伙伴都抓不到包了,好了,废话不多说 微信小程序抓包不需要使用手机,只需要下载安卓模拟器(我用的是夜神模拟器) 经过测试,只需将安卓版本调节成安卓5版本,并安装抓包两件套即可,稍后会将下载链接附在底下 4. 打开模拟器,安装Xposed架构,开启justTruseMe架构并重启虚拟机 5. 点击安装,如下图所示步骤 6. 下载相当慢了,下载好之后,还需安装ju
微信小程序抓包教程
热门推荐
bwt_D的博客
07-07 4万+
微信小程序抓包教程
微信小程序抓包(bp+proxifier)
最新发布
qq_73233236的博客
08-25 367
微信小程序,抓包
微信小程序抓包的工具
06-09
微信小程序抓包通常指的是通过网络分析工具来观察和记录小程序在运行过程中的数据传输情况,以便于调试、性能优化或安全测试。常用的微信小程序抓包工具包括: 1. Charles:这是一个跨平台的网络调试代理,适用于Windows、Mac和Linux,可以抓取小程序的数据包,并提供详细的请求和响应信息。 2. Fiddler:虽然Fiddler主要是针对Web应用,但也可以用于微信小程序抓包,需要进行一些配置。 3. 小程序开发者工具:微信官方提供的开发者工具内置了简单的网络日志功能,可以查看发送和接收的数据。 4. HTTP Watcher(for iOS):对于iOS设备上的微信小程序,可以使用HTTP Watcher这类专门针对iOS应用的抓包工具。 5. WeXDebug(第三方插件):一些第三方插件如WeXDebug可以在Chrome浏览器上为微信小程序提供更强大的调试能力,包括网络抓包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值