本文主要讲述微信PC端和Android端抓包的方法。
Fildder+微信PC端+Burp抓包
微信和Fildder版本
微信PC端 3.9.7(目前最新版)
Fildder设置:
Fildder下载:https://www.telerik.com/download/fiddler
Toosl–>Options–>HTTPS
HTTPS选项卡:勾选Capture HTTPS CONNECTs、Decrypt HTTPS traffic、Ignore server certificate errors(unsafe),安装证书
Connections选项卡:设置监听端口为8888,勾选Allow remote computers to connect
Gateway选项卡:设置代理为Burp的监听地址127.0.0.1:8080
Burp设置
监听端口:127.0.0.1:8080
微信设置
在登录微信前设置代理地址为Fildder监听的地址
随机打开一个小程序,可以看到Burp上抓到小程序的明文数据包了
夜神+微信Android端+Burp抓包
这里使用的是低版本的Android系统(5.5)和微信(8.0)
安装证书
从Burp中导出证书
next,保存到桌面命名为1.cer
在模拟器中打开电脑文件夹下的ImageShare文件夹,打开安卓文件夹
两个文件夹是共享的,把证书文件放置在ImageShare文件夹中
设置——安全——从SD卡安装证书
访问到内部存储空间的Pictures文件夹,点击1.cer,证书名称BP(随便取),下一步提示设置PIN码,设置完成证书安装成功
设置代理
Burp监听地址为自己的IP地址
模拟器设置——WLAN
长按WiredSSID修改网络,勾选高级选项,代理设置为手动,代理地址为自己的IP地址+端口
登录微信,访问小程序可以看到明文数据包
欢迎关注公众号,回复 微信小程序抓包 获取本文使用到的相关软件安装包,公众号也会发布一些CVE漏洞POC。