可用的微信小程序抓包方式(Charles + bp)

最新推荐文章于 2024-07-13 15:17:49 发布
最新推荐文章于 2024-07-13 15:17:49 发布
阅读量932 收藏 28
点赞数 26
文章标签: 微信小程序 小程序 web安全 网络安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web22050702/article/details/140049653
版权

扫码领资料

获网安教程

在这里插入图片描述

前言

接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包

1.所需工具

  • Charles-proxy-4.6.2-win64

  • BurpSuite2023

2.工具安装步骤

BurpSuite下载与安装自行搜索,Charles-proxy直接next即可。

3.工具配置

3.1Charles-proxy配置

首先介绍Charles-proxy的配置,打开Charles-proxy后,依次进行以下步骤:

在弹出的窗口中选择安装证书,然后点击下一步,在弹出的窗口里选择下图里面的选项:

后面一直点击,直至完成即可。

证书安装完成,接下来继续配置代{过}{滤}理信息,点击proxy选项,选择下面图示内容:

按照下图内容进行配置:

8888端口是默认端口,配置完成后点击ok即可。

接下来点击SSL Proxying Settings:

打开后,按照下图配置(注意两个写*的位置):

写上*是代表抓取任意端口和域名,如果只抓取固定的端口or域名可自行设置。
接下来配置将数据包代{过}{滤}理到BurpSuite的代{过}{滤}理选项:
选择下图选项:

按照下图配置:

注意,Web Proxy(HTTP)和Secure Web Peoxy(HTTPS)都需要填写127.0.0.1以及端口(这里填的都是8091),这和后续配置BurpSuite代{过}{滤}理的端口一致。
配置完成点击ok即可。

3.2BurpSuite配置

配置BurpSuite,与之相比较简单,打开BurpSuite代{过}{滤}理配置选项:配置刚刚我们绑定的端口

大功告成。

4.实战演示

下面是配置成功后,抓取的记录附图。

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

黑客&网络安全如何学习

学好 网络安全不论是就业还是做副业赚钱都不错,但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程,带你从零基础系统性的学好网络安全。

1.学习路线图
在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.网络安全视频教程600集和配套电子书
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。

在这里插入图片描述

温馨提示:篇幅有限,已打包文件夹,获取方式在:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
在这里插入图片描述

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
在这里插入图片描述

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员橙橙
关注
  • 26
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
微信小程序抓包教程
菜鸟学安全的博客
06-12 482
微信小程序抓包教程
最新微信小程序抓包方法
Innocence_0的博客
05-21 1096
一、安装 fiddler二、配置打开fiddler tools-> options,genneral: 全选https:connections: 配置代理地址gateway:三、打开电脑小程序退出微信,登录微信时设置代理打开小程序抓包成功如果没成功打开小程序、打开任务管理器,找到小程序进程,打开文件所在位置退出微信,删除\WMPFRuntime 下所有文件,再次登录打开小程序就可以了。接下来我将给各位同学划分一张学习计划表!
Charlet配置微信小程序抓包,支持https
美丽的哎我去
06-16 806
@Charlet配置微信小程序抓包,支持https Charlet配置微信小程序抓包,支持https 1. Charlet 下载软件 下载地址:https://www.charlesproxy.com/download/ 配置代理 点击 Proxy -> Proxy Setting,设置一个不冲突的口,我这用的48888,后面系统代理配置会用到 配置如图: 点击 Proxy -> SSL Proxy Settings 填上你要代理的小程序的后api域名和口,配置如图: 配置证书 点击:
Burp + Charles 抓取微信小程序数据包
m0_54108779的博客
12-12 498
今天开始进行微信小程序的渗透测试,但是之前没怎么接触过小程序的,今天一天都在学习中,网上找了很多文章均未成功,同事的环境和我一样使用Burp + Proxifier可以成功抓到数据,我不可以,郁闷。
小红书抓取,微信小程序抓包工具
01-27
本文将深入探讨如何利用抓包工具来抓取小红书的数据,并结合微信小程序的相关知识,帮助你理解整个过程。 首先,我们要关注的是"mitmdump"这个工具。Mitmdump是mitmproxy的命令行版本,它是一个强大的网络代理,常...
微信小程序抓包工具及其配套教程
08-30
抓包后自动代挂关注微信公众号:网寻星 葫芦娃登录 示例:葫芦娃登录,130aaaabbbb,新联惠购,eyJxxxxxx 葫芦娃查询账号信息 示例:葫芦娃查询账号信息,130aaaabbbb 葫芦娃执行日志 示例:葫芦娃执行日志,130...
小红书抓取,微信小程序抓包工具.zip
02-21
在给定的压缩包文件“小红书抓取,微信小程序抓包工具.zip”中,我们可以推测这是一套用于抓取小红书平台数据以及分析微信小程序交互的工具集合。下面将详细介绍这两个主要知识点。 首先,小红书是一个流行的社交...
微信小程序 深入探究
03-29
通过fiddler抓包可以看到,微信以mmtls方式发出http请求, 如:http://short.weixin.qq.com/mmtls/21a3ff59。 基于TLS1.3草案标准,设计实现安全通信协议mmtls。 下三篇文章大致了解这种请求的原理 SSL/TLS协议运行...
基于STM32设计的智能喂养系统(ESP8266+微信小程序)175
07-05 3141
本设计采用了STM32控制芯片作为核心,结合了多种传感器和模块,以实现自动化的喂养功能。其中包括1.44寸LCD彩色显示屏和按键模块用于显示和操作参数,28BYJ-48步进电机用于实现定量投食,ESP8266-WIFI模块用于远程控制和监测,蜂鸣器模块用于报警提示,H711称重传感器用于检测食物余量,DHT11环境温湿度传感器用于监测环境条件,水位传感器用于检测水位。
Java毕业设计 基于SSM vue图书管理系统小程序 微信小程序
yinjl123的博客
07-10 749
管理员 登录 个人中心 修改密码 个人信息 用户管理 图书分类管理 图书信息管理 我的待还管理 图书归还管理 催还提醒管理 轮播图管理 系统公告管理 意见反馈管理 关于我们管理角色:用户 管理员大家可。
微信小程序 - 本地存储 增加有效期
觉醒法师的专栏
07-09 903
小程序的本地存储并没有明确的有效期设置,存储的数据在不超过限制的情况下,会一直保留。小程序提供的本地存储API没有明确设置有效期的功能。为了解决这个问题,我们需要在存储数据时附加一个expiration字段,用于记录数据的过期时间,在获取数据时,检查当前时间是否超过了expiration指定的时间,如果超过则认为数据已失效。由于此方法不是由小程序API直接支持的功能,而是通过检查数据的有效性来模拟有效期行为,小程序本地存储不会自动检查删除过期数据,需要在使用数据时检查数据的有效性。
微信小程序知识点】getApp()全局数据共享,页面间通信,组件间通信
最新发布
weixin_51781852的博客
07-13 306
小程序中,可以通过getApp()方法获取到小程序全局唯一的App实例。因此在App()方法中添加全局共享的数据,方法,从而实现页面,组件的数据传值。
uniapp vue3微信小程序如何获取dom元素
weixin_40323532的博客
07-10 599
第一种方式在vue2中是可以获取到的,但是在vue3 setup中是没有this的(需要通过getCurrentInstance方法获取当前组件实例),所以这种方式排除。上面这种方式,只适合在非子组件的情况下使用,如果当前组件时作为子组件,需要通过下面的方式。这是为了更好地管理组件实例,确保组件在不同环境中的正确渲染和状态管理。第二种方式在阅览器是可以获取到的,但是在小程序是获取不到的,所以这种方式也排除。因为在 Vue 3 中,子组件实例不再直接暴露给全局或者父组件,而是需要通过。
【uniapp微信小程序】uniapp微信小程序——页面通信
九日的博客
07-10 673
在 uniapp 应用中创建一个专门用于管理页面之间事件通信的事件总线。这种方式在逻辑复杂、需要频繁通信的情况下非常实用。// 页面A 发送事件// 页面B 监听事件// 输出 some data});
uniapp 微信小程序,最简单的流式输出:Transfer-Encoding: chunked
morecccc的博客
07-11 485
uniapp小程序流式输出;ChatGPT、通义千问
基于JavaSpringBoot+Vue+uniapp微信小程序校园宿舍管理系统设计与实现
mr_lili_111的博客
07-10 1137
本论文参考通过相应修改和内容添加,就可以实现降重处理,达到论文要求。每个学校每个老师对论文的格式要求不一样,故本论文只供参考,本论文页数达到60页以上,字数在6000及以上。
charles微信小程序抓包
04-17
Charles是一款常用的网络抓包工具,可以用于分析和调试网络请求。它支持多种平台,包括微信小程序。使用Charles进行微信小程序抓包可以帮助开发者了解小程序与服务器之间的通信过程,方便进行接口调试和性能优化。 下面是使用Charles进行微信小程序抓包的步骤: 1. 首先,确保你已经安装了Charles,并且Charles已经启动。 2. 在手机上打开微信小程序,并进入需要抓包小程序页面。 3. 在Charles的菜单栏中选择"Proxy" -> "SSL Proxying Settings",打开SSL代理设置。 4. 在SSL代理设置窗口中,点击"Add"按钮,添加需要抓包的域名。对于微信小程序,通常需要添加"mp.weixin.qq.com"和"wx2.qq.com"。 5. 点击"OK"保存设置。 6. 在手机上打开系统设置,进入Wi-Fi设置页面。 7. 找到当前连接的Wi-Fi网络,点击右侧的"i"图标,进入网络详情页面。 8. 在网络详情页面中,找到"HTTP代理"选项,选择"手动"。 9. 输入Charles运行所在电脑的IP地址和口号(默认为8888)。 10. 返回微信小程序,刷新页面或重新进入小程序,此时Charles会弹出一个提示框,点击"Allow"允许连接。 11. 至此,Charles已经成功设置好了代理,可以开始抓包了。在Charles的界面中,可以看到所有的网络请求,包括请求的URL、请求头、请求体等信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值