burpsuite抓取小程序的数据包(指定DNS)

最新推荐文章于 2024-07-23 09:04:47 发布
最新推荐文章于 2024-07-23 09:04:47 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/4wheel/p/11353996.html
版权

目标:burpsuite抓取微信小程序的数据包,而且该系统需指定DNS!否则无法访问!

 

  大家都知道小程序是https传输的,所以手机端是需要安装burp证书的。

  已忽略安装证书的步骤,可自己百度搜索,文章很多我就不班门弄斧了。 

 

环境:夜神模拟器,burpsuite。

           接网线,本地:192.168.234.240

   

 

试验:当不设置DNS时,系统界面,与抓到的数据包返回如下:

 

 

  当前模拟器网络设置为:

 

 

开始设置*********************************************************************** 

 

  所以为了设置指定DNS,需在模拟器本身进行设置,故使用静态。

  将DNS设置为192.168.248.16.(按各自系统指定)

 

 

 

   保存后,重启模拟器即可。

  还要注意的是,IP地址怎么填,可以先随便填个同网段的,因为该网段有多人使用,你又不知道会不会跟别人重复,所以先随便填一个,然后再模拟器里面,自动获取就行。

 

本地设置

 

 

模拟器里设置

 

 

 

  后面就是平常的设置代理步骤了

 

burpsuite端

 

 

 模拟器端:设置—WLAN,按图配置完保存即可。

 

 

 成功效果

 

 

 

 

 

 

 如有错误,请及时指正,谢谢!

 

转载于:https://www.cnblogs.com/4wheel/p/11353996.html

weixin_30510153
关注
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
Burpsuite抓取APP、小程序数据包教程】
wangluoanquan111的博客
01-26 3570
本节主要讲如何利用burpsuite抓取APP和小程序数据包,希望对你有帮助!接下来我将给各位同学划分一张学习计划表!
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 951
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
【基础教学】使用BurpSuite抓取微信小程序数据包(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
07-23 1548
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 993
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
使用Burpsuite对安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 6518
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
解决burpsuite不能正常抓包 网页代理服务器拒绝连接(没有安全证书)
weixin_45571987的博客
12-01 1万+
给burp配置安全证书以便于抓取https的包出现问题,不能抓https的包解决问题,下载CA证书从burp中导出访问网页下载(但是很奇怪我一开始打不开)在浏览器中配置证书 出现问题,不能抓https的包 解决问题,下载CA证书 从burp中导出 自己选择一个目录放着(怎么方便怎么来) 成功 访问网页下载(但是很奇怪我一开始打不开) 也可以在url中输入http://burp或者127.0.0.1:8080来打开下载页面下载 但是我是这样的,它会跳转到别的页面(跟被劫持了一样) 一开始127.0.
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4203
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
Burpsuite抓包夜神模拟器
Joker_York的博客
07-28 3831
主要记录一下通过Burpsuite来对夜神模拟器模拟(安卓)进行抓包的配置过程。 前置条件 手获得root权限,且进入开发者模式 不知道是不是我这里的个例,夜神模拟器默认的root权限没法抓取流量,需要进入开发者模式才能正常抓包。 打开开发者模式的方法:设置——关于手,点击五下版本号进入开发者模式。 安装Xposed框架 需要通过这一框架安装JustTrustMe,这是一个去掉HTTPS证书校验的Xposed hook插件。(虽然目前还不是很清楚不装会怎么用) 下载链接(包括JTM和Xpose
[网络安全自学篇] 五十.虚拟基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
杨秀璋的专栏
02-28 8798
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。这篇文章将讲解虚拟基础知识,包括XP操作系统安装、文件共享设置、网络快照及网络设置等,最后分享虚拟中安装安全软件进行BBS密码抓取的实验。基础性文章,希望对您有所帮助。
Burpsuite抓取https请求
06-05
Burpsuite默认只能抓取http类型的请求,如果抓取https请求需要另外做配置。
burpsuite抓包神器
12-18
burpsuite抓包神器
PHP配合fiddler抓包抓取微信指数小程序数据的实现方法分析
12-20
本文实例讲述了PHP配合fiddler抓包抓取微信指数小程序数据的实现方法。分享给大家供大家参考,具体如下: 这两天研究了下微信指数这个东西。要抓取呢,按照一般思路的话,那就是使用fiddler抓取包,然后进行分析获取地址然后请求就可以了。 这么想你是没错,如果你果断这么做了,那就是too yang too simple了。大家可以看下,微信抓取有以下几个步骤: 1、开始登陆小程序 2、获取访问需要的令牌 3、那这令牌去获取数据 首先的难点就是小程序的登陆那一步。你得先登陆了微信之后才可以访问小程序,因为小程序是基于微信来运行的。所以,你登录的时候需要用到一个微信内部生成的js_code这
微信小程序Burp抓包
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
01-08 2402
代理工具确实挺不错的,但是流量只能抓到部分,可能是因为流量在转发过程中wechatapp.exe和any一个走burp一个直接走,产生的冲突导致的。tips:推荐用夜神模拟器然后把流量代理到burp。
微信小程序抓包-夜神模拟器结合BurpSuite抓包(可用于现在最新版本微信)
热门推荐
动感超人的博客
09-04 1万+
即可,我看另外一个人的教程计算生成出来的结果和这个一样,可能是统一的吧。这一步好像可以跳过,直接把转换后的per证书名称改为。OpenSSL默认的安装路径我这里是。,然后安装的时候一直下一步即可。安装完成后就要配置运行环境了。安装好微信后登录自己微信。
微信小程序Burp抓包详细教程
wkywky123的博客
01-10 1866
然后打开任务管理器,如果不知道怎么打开就按 Ctrl+Alt+Del 选择任务管理器在进程中找到WeChatAppEx,随便选一个鼠标右键,打开文件位置。,在网上搜的教程都零零散散,还遇见很多坑,这次我就来一个教程,把常常遇见的 坑 都给大家填上。(在群里也帮好多大佬解决了一些问题)。随便打开一个浏览器谷歌或者火狐都可以,输入上面添加的代理端口。为了方便抓取小程序的包,建立一个小程序的规则。下载好后双击打开证书cacer.der。端口),这样防止端口冲突。打开Proxifter,添加一个新的监听端口(
入侵检测——BurpSuite
LainWith的博客
01-13 3548
目录介绍ping测试流量分析规则TCP型流量分析规则 介绍 BurpSuite里面有一个类似DNSlog的功能。它生成的域名中存在.burpcollaborator.net,可以利用此特征防御BurpSuite带外通道攻击。这种攻击方式还是蛮流行的,一周就能收到近10W条告警。 ping测试 普通ping 2. 获取测试结果 流量分析 查看icmp协议的内容,data部分没啥可看的 2. 查看dns协议的内容,及追踪流 看到了访问的地址 规则 规则检测.burpcollaborator.
burpsuite抓的是数据包
11-21
是的,Burp Suite抓取的是HTTP/HTTPS数据包。当你在使用Burp Suite时,它会自动拦截和记录所有的HTTP请求和响应。你可以在Burp Suite中查看这些请求和响应,并进行分析。通过分析这些数据包,你可以发现潜在的漏洞和安全问题,从而提高应用程序的安全性。 如果你想了解如何使用Burp Suite抓取数据包,可以参考以下步骤: 1. 配置代理:在Burp Suite中,选择Proxy选项卡,然后选择Options。在Options窗口中,选择Proxy选项卡,然后将Intercept Client Requests和Intercept Server Responses选项设置为ON。 2. 配置浏览器:在浏览器中,将代理设置为Burp Suite的代理。默认情况下,Burp Suite监听127.0.0.1:8080端口。 3. 抓取数据包:在浏览器中访问应用程序,Burp Suite会自动拦截和记录所有的HTTP请求和响应。你可以在Proxy选项卡中查看这些请求和响应,并进行分析。 ```shell # 代码示例 # 配置代理 1. 进入Burp Suite,选择Proxy选项卡,然后选择Options。 2. 在Options窗口中,选择Proxy选项卡,然后将Intercept Client Requests和Intercept Server Responses选项设置为ON。 # 配置浏览器 1. 打开浏览器,进入设置。 2. 在设置中找到代理设置,将代理设置为Burp Suite的代理。默认情况下,Burp Suite监听127.0.0.1:8080端口。 # 抓取数据包 1. 在浏览器中访问应用程序,Burp Suite会自动拦截和记录所有的HTTP请求和响应。 2. 你可以在Proxy选项卡中查看这些请求和响应,并进行分析。 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值