[web安全]burpsuite抓取微信公众号、小程序数据包

最新推荐文章于 2024-05-11 01:19:33 发布
最新推荐文章于 2024-05-11 01:19:33 发布
阅读量9.4k 收藏 19
点赞数 2
分类专栏: 安全 文章标签: web安全 微信 小程序
原文链接:https://13.com/forum.php
版权

最近在接触微信公众号和微信小程序的渗透,用过模拟器,也直接在手机上设置代理,都遇到各种问题,用起来很不舒心。

记录遇到的一些问题,帮助和我一样踩过坑的,亲测好用。

IE浏览器设置代理
在IE浏览器右上角点击【设置】->【Internet选项】->【连接】->【局域网设置】,勾选代理服务器并设置相应的ip和端口,并点击确定




burpsuite设置代理
打开burp点击【proxy】->【options】->【add】,添加刚刚在IE浏览器设置的ip和端口,记得需要打上勾,才能抓取流量
 



随便打开一个微信公众号就可以抓取流量了



但是发现这样只可以抓取微信公众号流量,但是微信小程序的数据包不能抓取到,各种尝试找原因,终于可以了
我们在burpsuite导出一个CA证书
 


在IE浏览器中导入刚刚的证书,【内容】-【证书】-【导入】-【选择证书】-【选择证书颁发机构】,注意默认是【个人】的,这个就抓取不到小程序流量,必须更换为【受信任的根证书颁发机构】


这样就可以轻松抓取微信小程序的数据包了
 

HuiTest
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【Burp入门第三十三篇】BurpSuite+Proxifier安装配置,实现微信小程序抓包
等风来
04-26 438
本文介绍Burp+Proxifier安装配置,实现微信小程序抓包
Burpsuite抓取https请求
06-05
Burpsuite默认只能抓取http类型的请求,如果抓取https请求需要另外做配置。
使用burpsuite抓取手机的数据包
09-08
学习
2024年最新看完即会,抓取微信小程序数据包教程_微信小程序抓包,2024年最新软件测试程序员必经的实践之路
最新发布
2401_84140734的博客
05-11 639
(1)打开Fiddler,选择工具栏Tools -> Options -> Connections ,做如下配置Fiddler Classic listens on post:表示Fiddler监听的端口号,数值可以随意设置,只要保证不和其他软件的端口号冲突即可Act as system proxy on startup:在Fiddler启动的时候作为系统代理,这样Fiddler能够默认抓取到本地电脑端浏览器的请求,这里我们聚焦在移动端,所以可以把此选项关闭。
Burpsuite联动Proxifier抓包pc端微信小程序
weixin_58609150的博客
09-22 2270
以上是破解版汉化版的下载地址,也可以去Proxifier官网下载30天的试用版本下载地址如下。与代理服务器配置相同即可,如下图配置为 127.0.0.1:8080。记得将其他的配置勾选取消并且动作设为Direct如下图。动作选择Proxy HTTPS 127.0.0.1。应用程序填写WeChatAppEx.exe。成功抓取CSDN微信小程序的相关数据包。配置文件-->代理服务器-->添加。以上Proxifier就配置完毕了。配置文件-->代理规则-->添加。地址127.0.0.1。
浅谈微信小程序渗透
m0_66299232的博客
11-22 2660
通过解包,测试人员可以深入研究小程序的逻辑和实现细节,并发现可能存在的信息泄漏问题或隐藏的接口。解包还可以揭示小程序中使用的第三方库、组件和插件,帮助测试人员更好地理解小程序的构建和功能。结合解包和抓包,测试人员可以在调试和测试过程中相互补充。在这个流程中,流量首先从个人电脑上的微信小程序发出,然后通过ProxyPin代理到达Burpsuite工具,最终使用Burpsuite对流量进行修改和重放。小程序测试流程分为两个方面,解包可以挖掘信息泄毒问题、隐藏的接口,抓包可以则试一些逻辑漏洞、API安全问题。
使用Burpsuite对安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 5479
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
Burpsuite 抓取微信小程序数据包
qq_34498872的博客
07-21 2万+
Burpsuite 抓取微信小程序数据包 一、网上的方法 ① 手机导入CA证书,设置指定DNS,亲测无效 备注:此方法可抓取微信公众号的数据,但是无法抓取微信小程序的数据 ② 使用安卓模拟器,我下载的夜神模拟器,安卓版5.0版无法下载, 亲测无效 原因:目前微信版本和安卓版本太高,需要安卓7.0以下的版本,故上面的2中办法没有效果 二、有效的办法 ① 使用微信小程序开发工具打开前端代码,抓取开发工具自带浏览器的小程序数据包 步骤: (1) 下载 Burpsuite 并破解 链接:https://pan.ba
burpsuite微信抓包
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-16 1451
2、打开网络偏好设置,点击高级,配置HTTP和HTTPS的代理。4、打开“钥匙串访问”,选择登录,把burp证书拖进去。5、双击burp证书,选择始终信任。3、下载burpsuite证书。点击“好”,然后点击“应用”系统环境为macos。
APP、PC客户端抓包、小程序\公众号
m0_59554937的博客
03-26 6400
微信小程序、公众号抓包,手机端APP、PC客户端抓包
小程序抓包
AI_SumSky的博客
10-02 1212
打开我们需要抓包的小程序和任务管理器,在任务管理器中找到微信小程序的进程,在进程中找到Miniprogram Fram打开文件所在位置,找到WeChatApp.exe。2.proxifier(配置代理服务器)浏览器访问burp监听地址下载并导入证书。安装完成,打开或重新打开小程序和burp。点击功能点,数据流动->
Burp Suite抓取App数据包的技巧
09-04
总之,Burp Suite是一个非常有用的工具,可以帮助安全专业人员发现和修复web应用程序的安全问题。通过正确使用Burp Suite抓取APP数据包,你可以获得更深入的了解,从而更好地保护你的应用程序。
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:...
Web应用安全Burpsuite工具介绍.pptx
06-18
Burp Suite 是一款集成化的 Web 应用安全测试工具,由 Java 开发,具备跨平台性,主要用于协助安全专业人员进行渗透测试和攻击模拟。它集成了多种功能模块,使测试过程更加高效且灵活。 1. **Burp Target**:此模块...
微信公众号安全测试
qq_39541626的博客
03-16 7024
◆◆ 前 言 ◆◆ 微信公众平台,简称公众号,是腾讯公司于2012年月推出的,曾命名为“官号平台”和“媒体平台”,后改为公众平台,形成了一种独有的移动互联生态系统。 “利用公众账号平台进行自媒体活动,简单来说就是进行一对多的媒体性行为活动,如商家通过申请公众微信服务号通过二次开发展示商家微官网、微会员、微推送、微支付、微活动、微报名、微分享、微名片等,已经形成了一种主流的线上线下微信互动营销方式...
微信小程序抓包教程:Burpsuite版 附所需工具
热门推荐
猪大肠的博客
10-19 3万+
身为一名码农,抓包肯定是一项必备技能。工作中遇到很多次需要对小程序进行抓包排查问题。下面分享一下我的抓包方式,使用的是电脑版小程序抓包,跟手机的方式都差不多的。
一次burp无法抓微信PC端小程序的深刻经历以及解决方案
m0_51468027的博客
08-23 7057
今天想用burp对PC的微信小程序进行渗透测试,发现怎么抓也抓不到,明明之前可以抓的,经过几小时的研究和资料搜集,终于解决。顺手把如何对手机/模拟器进行抓包也写了下,在我会提到是如何解决这个头疼且深刻的问题,这个问题我相信部分师傅应该都会有,希望能帮助到大家。
【M1使用burpsuite抓取微信小程序的包(半成品)】
weixin_43722879的博客
03-31 2064
M1使用burpsuite抓取windows夜神模拟器的微信小程序的包
微信公众号 burpsuite
07-27
微信公众号和Burp Suite是两个不同的工具。微信公众号是一种社交媒体平台,用于发布和传播信息。而Burp Suite是一款用于网络安全测试和渗透测试的工具。在渗透测试中,可以使用Burp Suite来拦截和修改网络流量,以便分析和发现潜在的安全漏洞。 在使用Burp Suite进行微信公众号的渗透测试时,可以通过设置Burp Suite的代理来拦截和修改微信公众号的网络流量。首先,在Burp Suite中打开抓包设置,设置代理服务器的IP地址和端口。然后,在微信(PC版)中进入一个公众号,点击功能栏中的一个选项,即可通过Burp Suite拦截和分析该公众号的网络流量。 需要注意的是,由于微信公众号的改进,现阶段无法从页面中获知手机等参数。因此,无法通过修改手机号来查询其他人的流量和花费。这是因为微信公众号安全性提升,防止了水平越权攻击的发生。 总结来说,Burp Suite是一款用于网络安全测试和渗透测试的工具,可以用于拦截和修改微信公众号的网络流量。然而,由于微信公众号的改进,无法通过修改手机号来查询其他人的流量和花费。 #### 引用[.reference_title] - *1* [burpsuit抓取微信公众号数据包](https://blog.csdn.net/qq_43481350/article/details/115201978)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[web安全]burpsuite抓取微信公众号小程序数据包](https://blog.csdn.net/qq_43422918/article/details/121161760)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值