一次burp无法抓微信PC端小程序的深刻经历以及解决方案

已于 2022-08-23 01:08:54 修改
阅读量6.7k 收藏 16
点赞数 1
分类专栏: 从0到1学习Web安全 文章标签: 小程序 微信 微信小程序 web安全
于 2022-08-23 01:01:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51468027/article/details/126476448
版权

今天想用burp对PC的微信小程序进行渗透测试,发现怎么抓也抓不到,明明之前可以抓的,经过几小时的研究和资料搜集,终于解决。顺手把如何对手机/模拟器进行抓包也写了下,在文末我会提到是如何解决这个头疼且深刻的问题,这个问题我相信大家应该都会有,希望能帮助到大家。

一、抓手机/模拟器的微信公众号、小程序、APP

前提:保证电脑和手机在同一局域网

(1)初阶

电脑端使用ipconfig查看当前IP地址

img

手机端打开WLAN设置,手动指定代理,代理IP地址为电脑端的IP地址例如上面的192.168.43.170,端口设置为例如8081

img

此时打开burp,设置监听(非本地回环地址)

img

此时,burp就能抓手机访问网页的包了。

但是对于一些HTTPS的站点,手机访问会弹出警告——证书不受信任

img

点击确定继续后,burp才可以抓到该数据包

img

(2)进阶

上面的方法很快就能用手机进行渗透测试,但是有一个问题:**对HTTPS站点的渗透很繁琐甚至无效,以及对微信公众号(抓不全)和小程序会出现抓不到包、无法抓取app的情况。**在手机导入一个burp证书即可

手机设置好代理后,访问http://burp下载证书,下载的一般默认是der格式,修改成cer格式,然后从存储设备安装即可,凭据用途可以“WLAN”、“VPN和应用”都安装。

img

安装好证书后,即可抓取公众号、小程序、app的包

img

二、抓电脑端微信公众号、小程序

burp设置好代理,导出证书

img

img

img

打开Edge浏览器——设置——隐私、搜索和服务——管理证书,下载证书并导入,注意一定是选择受信任的根证书颁发机构

img

导入好证书后,设置好代理

img

按理来说,这样就可以抓到公众号和小程序的包了,但实际情况是完全抓不到小程序的包。

我们可以退出微信PC端,将目录C:\Users\用户名\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime目录下的所有文件删除

img

重新登录微信,再次尝试抓小程序的包,就可以抓到包了。

可能有的师傅没有这个目录,我们可以随便打开一个微信小程序,打开任务管理器,定位到小程序的进程,打开文件所在位置

img

回退到Plugins目录下,进入WMPFRuntime文件夹,退出微信,删除该文件夹目录下所有文件,重新登录微信PC端即可抓到小程序的包。

这样不是长久之计,但目前能做的只有抓不到就删除一次,抓不到删除一次,问我为什么这样就可以了,我也不懂hhh。有师傅有更好的解决方案,欢迎评论区提出~

w01ke
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Burp Suite微信小程序、网页数据实践
爱发梦的小赤佬的博客
10-21 3231
上一个章节记录了破解版的Burp Suite的安装与环境配置,这章节记录一下使用Burp Suite实操微信小程序与网页的数据信息。想了解如何安装配置Burp Suite,可以看一下我上一个章节的文章。
[web安全]burpsuite微信公众号、小程序数据包
huitest的博客
11-05 9115
最近在接触微信公众号和微信小程序的渗透,用过模拟器,也直接在手机上设置代理,都遇到各种问题,用起来很不舒心。 记录遇到的一些问题,帮助和我一样踩过坑的,亲测好用。 IE浏览器设置代理 在IE浏览器右上角点击【设置】->【Internet选项】->【连接】->【局域网设置】,勾选代理服务器并设置相应的ip和口,并点击确定 burpsuite设置代理 打开burp点击【proxy】->【options】->【add】,添加刚刚在IE浏览器设置的ip和口,记得需要打上勾,
利用burp取app和小程序的http包
最新发布
dayouzi的博客
04-15 1217
为了开展C/S的渗透测试,主要是针对web的测试,需要截取客户的访问流量,这里整理几种常见的取app和小程序包的方法。
小程序包方法一览
m0_68353775的博客
03-12 5761
这种方式我第一次配置代理服务器以及代理规则时,发现BURP不到包,也不知道是啥原因,多配置了几次发现 OK了。10、 在模拟器上使用微信小程序,然后在BURP中可以查看到包情况。1、在模拟器顶部找到WIFI网络图标,选择修改网络,高级选项,配置上一步的代理,如下。本篇博客记录的是两种包方法,在安全测试的过程中会经常使用到,进行简单的记录。用户——小程序(本地电脑)——Proxifier(转发)——BURP。用户——小程序(运行在安卓模拟器中)——安卓模拟器网络——BURP
使用Burpsuite对安卓APP和微信小程序包教程大全(保姆级教学)
qq_34780861的博客
01-07 3287
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
小程序
AI_SumSky的博客
10-02 1164
打开我们需要包的小程序和任务管理器,在任务管理器中找到微信小程序的进程,在进程中找到Miniprogram Fram打开文件所在位置,找到WeChatApp.exe。2.proxifier(配置代理服务器)浏览器访问burp监听地址下载并导入证书。安装完成,打开或重新打开小程序burp。点击功能点,数据流动->
fiddler,网页数据包工具,对于https协议取不到的解决方法-附件资源
03-05
fiddler,网页数据包工具,对于https协议取不到的解决方法-附件资源
weixin小程序和公众号包方法分享
seek_2022的博客
12-03 1万+
本文主要分享了使用`proxifier`工具进行代理设置拦截微信小程序和公众号数据包的方法,同时扩展了其他进程数据包的拦截方法.
app渗透测试不到数据包怎么办?
阿大撒大撒的博客
11-16 2467
app渗透测试不到数据包怎么办
fiddler取不了PC微信小程序的包解决方法
热门推荐
weixin_46552558的博客
04-08 3万+
fiddler取不了微信小程序的包 最近突然遇到微信取不到小程序包,之前都是好的,但突然就凉凉了,经过不懈的查找终于在某个大佬的文章找到解决方法。原址在这里:https://mbd.baidu.com/ma/s/VwHQ8Rom 以下是自己的操作记录。 打开小程序,然后打开任务管理器找到小程序的应用, 右键点击小程序,或者Mini Programs打开文件所在位置,在Plugins下有个WMPFRuntime包 先将小程序微信都关闭掉,然后将WMPFRuntime包内的文件都删除掉,关闭电脑防火
最完整app、小程序、公众号包图文教程
Cwillchris的博客
09-06 337
WechatPlayer.exe,这包含了微信小程序、公众号、浏览器及播放器等,目标主机和口选任意,动作选刚才建的代理服务器proxy https 10.105.23.68:8888,点击确定,在上一级窗口点击确定。选择将所有的证书都放在下列存储,点击浏览,选择收信人的根证书颁发机构,点击确定,在上一级窗口点击下一步。点击添加——输入物理机ip和口(与burp设置一致),选择HTTPS,点确定,在上一级窗口也点确定。代理选择手动,主机名为物理机IP,口和burp一致,点击保存。
微信小程序
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
burpsuite包神器
12-18
burpsuite包神器
包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
BurpSuite.rar 包工具
06-16
BurpSuite 包工具 java
微信小程序 wx.login解密出现乱码的问题解决办法
08-31
主要介绍了微信小程序 wx.login解密出现乱码的问题解决办法的相关资料,需要的朋友可以参考下
利用burp进行对APP包教程
11-04
使用burpsuite对移动app包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终PC处于同一个wlan环境下
Fiddler联动burpsuite针对小程序和CS架构
10-22
Fiddler联动burpsuite针对小程序和CS架构包Fiddler联动burpsuite针对小程序和CS架构包Fiddler联动burpsuite针对小程序和CS架构
小程序不到包可能存在的问题
weixin_57048716的博客
04-05 2431
一、为什么不到小程序的数据包 二、为什么小程序有的操作可以用burp到数据包,有的却不可以
burpsuite微信小程序
07-27
使用Burpsuite微信小程序的步骤如下: 1. 首先,确保你已经安装了微信客户Burpsuite,并且两者都是最新版本。 2. 打开Burpsuite,并在Proxy选项卡下的Options子选项卡中,确保Proxy listeners处于启用状态,并且监听的口号是你想要使用的口号。 3. 在微信客户中,进入小程序,并找到你想要包的目标小程序。 4. 在电脑上打开Proxifier,并在Profiles菜单中选择Proxies。 5. 在Proxies窗口中,点击Add按钮,添加一个新的代理规则。 6. 在新的代理规则中,将微信小程序的流量代理到Burpsuite。你可以通过指定微信客户的可执行文件路径来实现。如果你想代理所有微信的流量,也可以将微信的流量代理到Burpsuite。 7. 确保代理规则已经生效,并且Proxifier正在运行。 8. 返回Burpsuite,你应该能够看到微信小程序的流量开始出现在Proxy选项卡下的Proxy history窗口中。 通过以上步骤,你就可以使用Burpsuite成功微信小程序了。请注意,包是一项技术活,需要一定的技术基础和经验。在进行包操作时,请确保你已经获得了合法的授权,并且遵守相关法律法规。 #### 引用[.reference_title] - *1* [微信小程序包教程:Burpsuite版 附所需工具](https://blog.csdn.net/weixin_45031612/article/details/127416319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【Burpsuite取APP、小程序数据包教程】](https://blog.csdn.net/qq_61872115/article/details/130101662)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值