Burp+Xary+cla**三者联动+微信小程序抓包

已于 2024-02-19 14:20:31 修改
阅读量555 收藏 8
点赞数 6
文章标签: 网络 网络安全 安全 安全威胁分析 网络攻击模型
于 2024-01-23 16:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/135775114
版权

网上关于burp xary联动 burp抓微信小程序的包的文章很多,但是没怎么看到过抓到浏览器微信小程序包的同时再联动Xary且挂上代理的文章。于是就有了这篇文章。

在我们测试微信小程序的时候,有时候不得不使用Proxifier来将流量转发给burp,来进行转包,然后在有时候有不得不用cla**等软件去挂个代理(dddd),当然在挂一个被动测试有时候也是不可少的,说不定就出货了对吧,于是挂个xary也就不可少了。

这篇文章我来讲讲如何将burp+xary+Proxifier+cla**一同进行联动,先看看流量转发的流程图如下

配置浏览器-->Burp

首先burp的证书安装很简单网上也有很多这里就不赘述了

这里用火狐浏览器做演示:下载浏览器扩展--FoxyProxy

添加代理并保存设置

使用Burp配置代理来接收浏览器转发过来的流量

配置微信小程序-->Burp

首先需要配置Proxifier让微信的流量转发到Burp

1.    创建一个本地的代理服务器,端口选择8080,也就是对应Burp的端口,将流量转发至Burp

2.    配置代理规则

应用程序填入的是微信相关的可执行文件,然后动作选择刚才创建的代理服务器

微信的可执行文件有:WeChat.exe;WechatBrowser.exe;WeChatAppEx.exe;WeChatUtility.exe;WeChatPlayer.exe;WeChatXFile.exe;WeChatOCR.exe

直接粘贴上去

这样Burp就可以抓到微信小程序的包咯

配置Burp-->Xary

这里由于我Xary是监听的7777端口所以这里我填的是7777.

这样Burp就将浏览器和微信小程序的流量转发给了Xary进行被动扫描

配置Xary-->cla**

有时候进行一些测试的时候或者打红队的时候就不得不挂个代理,就需要把Xary的流量转发给cla**,这里我cla**是设置的默认7890端口

打开Xary的配置文件config.yaml,填入cla**对应的地址 http://127.0.0.1:7890

之后就可以实现抓浏览器、微信小程序的包的同时联动Xay开启被动扫描且开启代理咯!

Ting丶丶
关注
完全离线调用微信 ocr.exe 使用 python 调用 WeChatOCR.exe 附代码
三维点云技术探索
04-12 2253
微信的OCR识别能力还是可以的,并且可以得到位置,速度也快,我想要把微信的这个exe 单独提取出来,可以供其他项目使用,目前已有的应该都是需要依赖微信运行状态的,我这个独一份。
wechat_OCR项目打包以及如何使用
knighthood2001
05-05 732
这里你需要将你电脑上的微信OCR软件路径以及mmmojo.dll路径复制到这个path.txt中。通过snipaste等软件的截图功能,然后通过Ctrl+C,实现图片文字保存到剪切板中。但是同时生成了一些文件,img文件夹,json文件夹,以及path.txt。然后查看文件目录,可以看到多出了几个文件,分别是。首先你双击打开,然后会观察到其会闪退。中存放的就是我这个项目的exe文件。然后你就可以正常使用了。微信OCR.spec。
xray + burp
qq_53086690的博客
12-09 3939
今天我想给大家分享的是 burp + xray 打联合拳 首先我们了解一下这两款软件是干什么的。 burp burp是一款抓包软件,它有很多作用。 抓包 攻击模式(爆破,多线程发包等) 对抓到的包进行重放 爬虫 加密,解密 比较 等 在此我就不再一一介绍burp的作用了。如果大家感兴趣我可以出一个关于burp的使用的文章 xray xray是一款自动化挖掘漏洞的软件,是长亭科技推出的一款供白帽子免费使用的漏洞挖掘软件。 xray一款强大的扫描引擎 genca 生成ca证书 upgrade 更新xra
Proxifier转发Burpsuite联动xray抓微信小程序数据包
今天是几号的博客
03-09 1570
打开微信小程序后,在任务管理器中查看当前进程属性,复制exe地址链接在Proxifier中导入。已安装Burp、xray、Proxifier等。随手一点,发现小程序敏感信息泄露。如何准确的设置代理规则呢?
[C#]基于C#调用WechatOCR.exe实现OCR文字识别
FL1623863129的博客
07-18 1249
注意经过测试发现由于C++编译libprotobuf都是vs2022生成的导致dll均是vs2022开发,如果您使用vs2019或者其他版本会报错,所以只能在vs2022开发使用。开发前需要安装微信,目前是支持最新版本微信。创建WechatOCR类对象后调用Ocr函数即可,注意接口目前只能是图片路径,不支持Bitmap,byte[],或者其他类型。注意源码是C# winform源码,里面包含演示代码和所有DLL,C++端封装代码不开源。
WECHATUTILITY.EXE-2D20A128.pf
01-12
WECHATUTILITY.EXE-2D20A128
Burp入门第三十三篇】BurpSuite+Proxifier安装配置,实现微信小程序抓包
等风来
04-26 803
本文介绍Burp+Proxifier安装配置,实现微信小程序抓包
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:...
使用Proxifier + Burp 实现小程序抓包
weixin_45284414的博客
04-03 719
打开任务管理器->打开微信小程序->打开所在位置->复制地址->点击browse浏览->粘贴上地址->可找到exe应用,单击选中。
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
Linux系统设计-sqlmap4burp++是一款兼容Windows,mac,linux多个系统平台的联动插件
01-10
所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!Linux系统是一个免费使用和自由传播的类Unix操作系统,基于POSIX和UNIX的多用户、多任务、支持多...
基于C#调用WechatOCR.exe实现OCR文字识别演示源码+接口DLL文件
最新发布
07-18
【测试环境】 vs2022专业版 netframework4.7.2 注意经过测试发现由于C++编译libprotobuf都是vs2022生成的导致dll均是vs2022开发,如果您使用vs2019或者其他版本会报错,所以只能在vs2022开发使用。开发前需要安装微信,目前是支持最新版本微信。 【特别注意】 接口仅支持图片路径 更多信息参考:https://blog.csdn.net/FL1623863129/article/details/140531279
逆向调用QQ Mojo IPC与WeChat XPlugin
03-31
项目说明 本项目通过逆向QQNT 逆向出调用QQ Mojo IPC的方法, 使用QQMojoIPC可以调用QQNT的插件并与之通信。 并在此基础上逆向出调用微信MMMojo.dll的方法, 通过调用MMMojo可以调用WeChat的插件并与之通信。 目前可以调用QQNT的如下组件: QQScreenShot 目前可以调用WeChat的如下组件: WeChatOCR.exe: OCR功能 WeChatUtility.exe: QRScan功能 (二维码扫描) TextScan功能 (可能是用来判断图片上有没有文字的) ResampleImage功能 DecodeImage功能 WeChatPlayer.exe: 其中3rdparty是编译好的libprotobuf库, examples里是调用方法的示例, proto里是WeChat与组件之间的Protobuf通信协议的定义文件。 src文件夹里 include中mmmojo_source是微信MMMojo的源代码中的一些定义, qq_mojoipc是实现QQMojoIPC的头文件, xplugin_protobuf是使
闪退报错版微信
11-06
随手开发的一个仿冒的微信,没有加密,肯定是无毒的。主要功能是点开出现一个小人在月亮上看地球的那个页面之后报错提示,“微信已”停止运行。 主要功能是防老婆女友或者是朋友玩你手机时查看你手机微信,使用方法,把自己的微信隐藏到一个隐蔽的文件夹,或者是用某些能改应用图标名称的软件修改微信图标,再把我这个apk安装到手机上图标放手机最显眼处,你自己平时聊微信用真的,当别人拿你手机好信想查看你微信聊天记录时,肯定先打开的是这个应用,然后就报错了,如果问你你就说微信坏了呗我也不知道怎么回事。
BMFont工具,解决最新win10崩溃问题
10-16
看了下BMFont的源码,不太规范,修改了几个bug,解决了最新win10崩溃问题。由于自己编译的版本没有签名,可能杀软会报木马,可以允许。
WeChatSetup2.6.8.exe
10-07
WeChatSetup2.6.8
微信小程序-OCR信息识别
热门推荐
J_CSDN19的博客
07-07 3万+
  微信小程序-OCR信息识别 相关代码,github: https://github.com/android-xiao-jun/WeChat-OCR-studly 一、环境的搭建 微信开发工具下载地址: https://dldir1.qq.com/WechatWebDev/1.0.0/201806120/wechat_devtools_1.02.1806120_x64.exe   ...
电脑离线调用微信 ocr.exe 使用 python 调用 WeChatOCR.exe 附python代码
三维点云技术探索
04-12 1980
注意事项,不是直接复制 WeChatOCR.exe 就可以了,单独用它的话,需要微信运行的状态,但是我们要摆脱微信的依赖,所以需要先把微信的 WeChatOCR.exe , OCR模型文件,以及2个依赖的DLL 单独复制出来,也就是我下面红框出来的部分,然后运行下面的代码就可以得到一个OCR的结果了。微信的OCR识别能力还是可以的,并且可以得到位置,速度也快,我想要把微信的这个exe 单独提取出来,可以供其他项目使用,目前已有的应该都是需要依赖微信运行状态的,我这个独一份。
burp+fiddler抓小程序包
06-07
当你要抓取微信小程序或任何其他基于HTTPS协议的应用的包(通常是指API调用或数据传输)时,它们可以配合使用,虽然默认情况下,Fiddler 无法直接捕获加密的HTTPS流量,但有几种方法可以解决: 1. **Burp Suite**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值