打线上包 测试_微信渗透测试启点

最新推荐文章于 2022-04-25 11:28:26 发布
最新推荐文章于 2022-04-25 11:28:26 发布
阅读量105 收藏
点赞数
文章标签: 打线上包 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28256233/article/details/112718145
版权

0x00 目录简介

1、描述

2、环境

3、安装JAVA环境

4、安装微信

      测试方式一:

      测试方式二:

      测试方式三:

      测试方式四:

APP-微信渗透测试

a8abf0b1bad3e2d9c79afeaeb0511887.png

0x01 描述

· 由于时代的发展,小程序的诞生,需要不断的去测试发现漏洞问题;同时呢,及时的修复。避免上线后的一系列的问题。

· 这几天做测试遇到的情况,做归纳;

· 腾讯的小程序好像抓包有问题;

0x02 环境

1. 下载一个测试的微信版本PC端,比如:2.7的版本等。可搜索一下下载

2. 【测试版本使用的IE的内核】

3. Windows 10 或者 8、7等等。注明:我这里实验用的Windows 10虚拟机

4. Java环境【便于运行burpsuite抓包工具】

122d8a25bc6bc316457317d3cd836c90.png

0x03 安装JAVA环境

· 双击执行exe的java文件

965020f9c309553977439f0c19e07974.png

· 安装-下一步

9163735a1b34d2e6182fa49cc1c170f8.png

2080613205d1b4c0fd3f70673d1b4c30.png

· 查看一下版本

69f3d3807090ad9f12f10bc8ac5aa133.png

0x04 安装微信

de8ac4252bcd5adaddc5c4bbbe89a1bb.png

57e36bca3eef7d1cc355de90d3377831.png

cf3fe7125d6deeec338f09f6c586a285.png

e2f9b0d17e8df11a78f819d11661076d.png

f65950184cd160cbf39ed3bc9b67fc7a.png

      测试方式一:

设置IE浏览器代理

5f628024a991617704bc3b26a8b1df89.png

Internet选项

8b058e47609b9e7f0a0dc73e5d09396b.png

f902ac5759a66322ace8764a62396cf8.png

设置的代理地址与burpsuit代理地址一样

702e9d42cdff59f516e9cdd290a706c3.png

可抓到包

2f692b21a8eec499904eb83531ea425c.png

      测试方式二:

利用夜神模拟器

1ebc75a8adc578b3f0619f1eb775c6ff.png

53b3c27318d3f5cf8ce4352496e97159.png

或者雷电模拟器

a4ff9e5df904881baf12d1ac5c550416.png

安装微信、Xposed、

ce66ab10457a5623946a54eb838b7eb9.png

96d63a6e21f5b629e8ba65221da4bb3a.png

21d5dd015355a9892d807ab1a63c44f0.png

2c289df0e268e729cf9395fbd71c4ecf.png

这个百度搜索一下:

017a0afc4794c756d2abd37e9b7f1351.png

fa620d12f4973f78707cd0493b8254e8.png

     测试方式三:

· 使用手机在手机上设置代理WIFI的位置设置;导入burpsuite 的抓包工具证书(http://burp)下载后,后缀改为 .cer

· 保存在手机里进行安装执行;

· 手机WIFI的位置上可以设置代理ip+端口,要与burpsuit上的一致,才可抓到包;

具体过程此处不做讲解,详细参考以下教程

https://blog.csdn.net/qq_23066945/article/details/103008400https://www.freebuf.com/articles/terminal/113940.html

     测试方式四:

· wireshark 分析工具,抓包工具

bb54f572292718f226f41b520f0224f6.png

5380c5e82598b65b88fd1dd1df4f33e7.png

·  点击APP测试,选择要检测的app ,对抓取到的包进行分析PCAP包;

90fd753644d7a2c67adf04158108b8d7.png

· 分析包即可获取有用信息

6bc917ba40603271b58172dbf5497cde.png

结束!!!

CSDN 博客地址:

https://blog.csdn.net/weixin_43650289
文章总结

希望对大家有所帮助79aa01c7719b208b5e3b3c368b4400ed.png79aa01c7719b208b5e3b3c368b4400ed.png

79df5d44413a05235b5801867bf893e9.gif

走过路过的大佬们留个关注再走呗e48bee939648482038b6ed274408981d.png

6f8c2de112c649f77569e00c600fa62d.png

庞少东
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
启点在线(KCMS)网站管理系统 v1.0.5
10-11
启点在线(KCMS)网站管理系统 v1.0.5是一款专为企业和个人设计的高效、易用且安全的网站管理平台。它基于ASP(Active Server Pages)脚本语言,这意味着用户无需深入学习复杂的编程技术,就能够搭建和管理自己的...
2020109
住在地球仪上的小刺猬的博客
10-09 295
理论 网关 网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。 线上、线下、release、debug 线上:最终给用户的 线下:QA release:发行版给用户 debug:开发版 [七层协议] 物理层 作用:定义一些电器,机械,过程和规范,如集线器; PDU(协议数据单元):bit/比特 设备:集线器HUB; 注意:没有寻址的概念; ========================================== 数据链路层 作用:定义如
微信扫码登录(测试号)
m0_54881904的博客
04-25 6155
1,码前准备 2,流程 3,生成二维码,接入微信接口 4,获取token 5,获取用户个人信息 (说明:个人学习使用,使用的是测试账号,不过流程都一样。前提要有自己的服务器和域名) 1.1,登入微信公众平台 (qq.com) 1.2,填写个人信息 接口配置信息url,这个是要测试你的服务器资源是否正常,自己写个接口接收一下token值就行 2.1,流程(来自b站的拓新教育,建议大家去看看视频讲的很详细) 3.1,上代码(注意看官方文档:微信开放文档 (qq.co...
两个服务之间如何互掉dubbo接口和打线
nurture_的博客
01-22 2012
记录AB两个服务互掉dubbo和打线的问题
fiddler抓工具学习笔记9-如何用fiddler工具抓取线上发起的请求(Android和iOS)
WAIT Y 的博客
12-24 753
前几篇学习了很多fiddler抓工具,但很多抓都是在测试环境下进行查看数据的,但如果线上的APP出现了问题也是可以通过抓查看返回的数据。 iOS流程: 抓的方法和在测试环境下是一样的,只是抓取线上需要安装一个证书 证书安装: 1、打开苹果手机自带的浏览器,输入ip地址和端口 例如:192.168.1.11:8888 (fiddler工具端口都是8888) 2、会出现一个下载页...
端口大全介绍
白帽子九一
09-17 3272
端口大全介绍 2端口:管理实用程序 3端口:压缩进程 5端口:远程作业登录 7端口:回显 9端口:丢弃 11端口:在线用户 13端口:时间 17端口:每日引用 18端口:消息发送协议 19端口:字符发生器 20端口:FTP文件传输协议(默认数据口) 21端口:FTP文件传输协议(控制) 22端口:SSH远程登录协议 23端口:telnet(终端仿真协议),木马Tiny Telnet Server开放此端口 24端口:预留给个人用邮件系统 25端口:SMTP服务器所开放的端口,用于发送邮件 27端口:NSW
启点在线企业网站管理系统 v1.1.6
10-09
启点在线企业网站管理系统 v1.1.6】是一款专为外贸中小企业设计的高效、易用且功能全面的网站管理平台。系统的核心优势在于其简洁的操作界面和强大的功能组合,使得非专业技术人员也能轻松上手,降低企业建站的...
启点在线企业网站管理系统 v0620
12-10
启点在线企业网站管理系统适用于中小型企业使用,中英文界面美观大气,HTML5设计,后台同步管理,支持各主流浏览器,通过测试,不变形。更多请到启点在线网访问体验。 主要功能模块介绍: 1、企业信息-新闻中心-产品...
启点在线中英文企业网站管理系统 v70721
12-06
启点在线企业网站管理系统适用于中小型企业使用,中英文界面美观大气,HTML5设计,后台同步管理,支持各主流浏览器,通过测试,不变形。更多请到启点在线网访问体验。 主要功能模块介绍: 1、企业信息-新闻中心-产品...
启点在线企业网站管理系统 vx0918
11-28
启点在线企业网站管理系统是针对外贸中小企业而开发的具有简单易用功能强大性价比高扩展性好安全性高稳定性好的单语版系统可以加快企业网站的开发的速度和减少开发的成本
PlaySMS
战神/calmness的博客
06-22 899
目录 信息探测 目录遍历 弱口令 文件上传 MSF构造进行测试 meterpreter 提权 信息探测 nmap扫描 探测80端口 访问8787 目录遍历 弱口令 文件上传 My account —— Send from file ——there is a file upload MSF构...
Fiddler抓取微信小程序
热门推荐
软件测试工程师
09-26 6万+
1、打开Fiddler,Tools-Options,如下图所示勾选 2、设置完成之后,重启Fiddler 3、打开手机,修改网络-修改代理为电脑的Ip地址和端口号。端口号和在Options中设置的相同(要确认没有被占用) 4、用手机浏览器打开http://IP:8888,如下图所示,点击最后方的“FiddlerRoot certificate”,任意输入名称,点击安装 ...
线上和本地打的区别
qq_41912406的博客
05-23 3469
本地打的对依赖的jar是从本地仓库中取,所以如果多模块项目中自己写的被依赖的模块要保证私服中始终是最新的代码,及时安装到本地。线上使用jenkins打的是从私服上拉代码,所以要保证本地修改在打前一定要提交到私服上。jenkins打的和本地不一样是,考虑以下方面,看看服务器时间是否不一样,或者在jenkins的代码拉取是加上@head。 ...
微信渗透测试启点
战神/calmness的博客
10-16 964
APP-微信渗透测试 1、描述 由于时代的发展,小程序的诞生,需要不断的去测试发现漏洞问题;同时呢,及时的修复。避免上线后的一系列的问题。 这几天做测试遇到的情况,做归纳;腾讯的小程序好像抓有问题; 2、环境 下载一个测试微信版本PC端,比如:2.7的版本等。可搜索一下下载 【测试版本使用的IE的内核】 Windows 10 或者 8、7等等。注明:我这里实验用的Windows 10虚拟机 Java环境【便于运行burpsuite抓工具】 3、安装JAVA环境 双击执行ex
天融信TOPApp-LB负载均衡-2020HW
战神/calmness的博客
09-25 2112
目录 描述 概述 影响 漏洞利用过程 前台绕过 注入 修复建议 天融信TOPApp-LB负载均衡SQL注入 描述 天融信负载均衡 TopAPP-LB产品旧版本在管理面存在SQL注入漏洞,具体为在可以访问管理服务情况 下,攻击者通过构造恶意请求,利用系统检查输入条件不严格的缺陷,进一步可获取部分系统本地信息。 概述 天融信负载均衡系统(以下简称TopApp产品)是一款融合了智能带宽控制功能的链路及服务器负载均衡产品。通过对网络出口链路和服务器资源的优化调度,TopApp-LB负载均
关于JavaWeb中,GET http://localhost:8080/favicon.ico 404 报错解决
f_h_h的博客
09-09 3683
以下演示, 是在eclipse中修改. 修改项目虚拟根路径; 双击服务器 点击Modules 编辑你的Web Modeles 修改path为/ 抓取百度的favicon.ico 将百度的图标保存到webapp目录下 重启你的服务器 现在重新在游览器中输入你的url进入你的项目, 注意已经修改了虚拟根目录, 所以修改你的url也要修改正确. 是不是没有报错了? ...
线上引用jq
前端攻城狮的博客
06-19 1156
jquery:<script src="https://code.jquery.com/jquery-3.1.1.min.js"></script> bootstrap的css:<link href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet"> bootstrap的js:<script src="https://cdn.stat
android线上禁止抓取https
lzq520210的博客
07-28 594
<network-security-config> <base-config cleartextTrafficPermitted="true"/> <!-- Trust user added CAs while debuggable only --> <debug-overrides> <trust-anchors> <!--信任用户安装的证书--> .
线上apk
袋鼠
03-24 1558
文章目录背景相关工具反编译在使用 apktool 中遇到的问题参考 背景 Android 7.0以上手机不再信任用户证书,如果需要抓则需要将手机root,将抓工具的证书放入系统根证书目录下,此操作比较复杂。 另外一种则是反编译apk、配置清单文件networkSecurityConfig、重新打apk; 下面以Soul app为例: 相关工具 ApkTool Charles 平台:Mac ...
启点智慧景区电子票务管理系统解决方案
1. 售票智能化:通过直销售票、分销售票、微信售票、官网售票等多种方式,结合自助机和手持机售票,以及与OTA(在线旅行代理)的合作,实现多渠道售票,提升销量。 2. 编码统一化:对售出门票实行统一编码,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值