网上关于burp xary联动 burp抓微信小程序的包的文章很多,但是没怎么看到过抓到浏览器微信小程序包的同时再联动Xary且挂上代理的文章。于是就有了这篇文章。
在我们测试微信小程序的时候,有时候不得不使用Proxifier来将流量转发给burp,来进行转包,然后在有时候有不得不用cla**等软件去挂个代理(dddd),当然在挂一个被动测试有时候也是不可少的,说不定就出货了对吧,于是挂个xary也就不可少了。
这篇文章我来讲讲如何将burp+xary+Proxifier+cla**一同进行联动,先看看流量转发的流程图如下
配置浏览器-->Burp
首先burp的证书安装很简单网上也有很多这里就不赘述了
这里用火狐浏览器做演示:下载浏览器扩展--FoxyProxy
添加代理并保存设置
使用Burp配置代理来接收浏览器转发过来的流量
配置微信小程序-->Burp
首先需要配置Proxifier让微信的流量转发到Burp
1. 创建一个本地的代理服务器,端口选择8080,也就是对应Burp的端口,将流量转发至Burp
2. 配置代理规则
应用程序填入的是微信相关的可执行文件,然后动作选择刚才创建的代理服务器
微信的可执行文件有:WeChat.exe;WechatBrowser.exe;WeChatAppEx.exe;WeChatUtility.exe;WeChatPlayer.exe;WeChatXFile.exe;WeChatOCR.exe
直接粘贴上去
这样Burp就可以抓到微信小程序的包咯
配置Burp-->Xary
这里由于我Xary是监听的7777端口所以这里我填的是7777.
这样Burp就将浏览器和微信小程序的流量转发给了Xary进行被动扫描
配置Xary-->cla**
有时候进行一些测试的时候或者打红队的时候就不得不挂个代理,就需要把Xary的流量转发给cla**,这里我cla**是设置的默认7890端口
打开Xary的配置文件config.yaml,填入cla**对应的地址 http://127.0.0.1:7890
之后就可以实现抓浏览器、微信小程序的包的同时联动Xay开启被动扫描且开启代理咯!