微信小程序抓包教程:Burpsuite版 附所需工具

已于 2023-07-20 20:58:02 修改
阅读量3.3w 收藏 231
点赞数 43
分类专栏: 运维 文章标签: 微信小程序 小程序 网络安全
于 2022-10-19 22:53:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45031612/article/details/127416319
版权

身为一名码农,抓包肯定是一项必备技能。工作中遇到很多次需要对小程序进行抓包排查问题。下面分享一下我的抓包方式,使用的是电脑版小程序抓包,跟手机的方式都差不多的。

一、环境

微信版本:3.6.0.18
Burpsuite版本:2.0.11
Proxifier版本:3.21

下载地址:

链接:https://pan.baidu.com/s/1laaXgMKTdDGsZBL4_Z1B2w
提取码:sv2t

二、Burpsuite搭建

1.安装

Burpsuite安装篇

2.证书导出

当我们运行burpsuite,代理后就能抓取http包了,但是像小程序这种走的是https请求,所以我们是抓不到包的,下面先装一下证书。

代理>选项>导入/导出CA证书

在这里插入图片描述在这里插入图片描述在这里插入图片描述

3.证书导入

谷歌浏览器选择设置 > 隐私设置和安全性 > 安全 > 管理证书 > 受信任的根证书颁发机构 > 导入 > 选择步骤二导出的证书(记得文件类型,选择所有)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.开启端口监听,端口输入未被占用端口即可

在这里插入图片描述在这里插入图片描述状态为拦截请求代表时,会将https或http包拦截掉,此时请求是还没发出去的,一直被拦截在本地。

在这里插入图片描述

5.代理设置

电脑搜索 internet 选择,选择局域网设置,将本地地址跟刚才burpsuite监听的端口号输入进来
在这里插入图片描述在这里插入图片描述

6.测试

打开浏览器,输入https://www.baidu.com,步骤4中的拦截请求,要关闭掉,把包放出去才能打开网页哦。

在这里插入图片描述

三、Proxifer搭建

1.打开安装包、一直下一步、下一步。

这里不演示了

2.打开proxifier,选择配置文件 > 配置代理服务器

在这里插入图片描述
地址是你本机地址,ipconfig命令可以查ip。端口号是我们burpsuite开启监听的端口
在这里插入图片描述

2.配置代理规则,选择配置文件>配置代理规则

将默认规则勾选为Direct
在这里插入图片描述##### 3.打开要抓包的小程序。

在这里插入图片描述

4.打开任务管理器,选择小程序进程,找到所在程序目录

在这里插入图片描述在这里插入图片描述

5.复制一下目录,打开Proxifier

在这里插入图片描述在这里插入图片描述

在这里插入图片描述

四、测试

在这里插入图片描述

@猪大肠
关注
  • 43
    点赞
  • 231
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 44
    评论
专栏目录
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
小红书抓取,微信小程序抓包工具
01-27
xiaohongshu 小红书抓取,微信小程序抓包工具 1,工具mitmdump使用,获取headers具体加密参数信息 2,csv实时表格插入,判断不重复插入头信息
小程序抓包(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
05-01 2705
在做App或者小程序渗透的时候,很多时候要用到模拟器或者手机来进行渗透测试,那么用手机做渗透测试是最好的,每个手机都有自己的设备代理方式,如果你不会设置那么就会在哪里卡半天,也一事无成,那么这里就是记录一次自己用OPPO R9S 抓包代理的过程【PS:第一次搞了一个多小时才抓到包,一度以为是手机有问题,后来才发现是自己设置有问题】网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。那么我就分享一下我用了两年多的小程序抓包手法吧。
Fiddler 微信小程序抓图教程(傻瓜式|汉化|狗看了都直呼内行)
HaushoLin的博客
05-10 1万+
给大家详细讲解如何用Fiddler爬取微信小程序的图片,内容图文并茂,流程非常简单。
(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包
Arched的博客
01-24 1万+
Charles+Burp+手机联动抓取WX小程序/公众号数据包
微信小程序Burp抓包详细教程
wkywky123的博客
01-10 1601
然后打开任务管理器,如果不知道怎么打开就按 Ctrl+Alt+Del 选择任务管理器在进程中找到WeChatAppEx,随便选一个鼠标右键,打开文件位置。,在网上搜的教程都零零散散,还遇见很多坑,这次我就来一个教程,把常常遇见的 坑 都给大家填上。(在群里也帮好多大佬解决了一些问题)。随便打开一个浏览器谷歌或者火狐都可以,输入上面添加的代理端口。为了方便抓取小程序的包,建立一个小程序的规则。下载好后双击打开证书cacer.der。端口),这样防止端口冲突。打开Proxifter,添加一个新的监听端口(
微信小程序抓包(手把手教你,保姆级教程)+原理分析
热门推荐
qq_68064663的博客
10-21 2万+
之前一直会抓包的操作,但是不懂为什么,这次理解了,写篇博客记录一下。
2023年最新微信小程序抓包及测试案例
渗透测试研究中心
12-14 2412
网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式。
一文解决APP+小程序+电脑端小程序抓https数据包问题
akucoco的博客
08-04 3999
最近有很多朋友问我APP和小程序应该怎么抓包,为什么抓不了https请求包,网上说法很多这里就一篇文章统一解决下大家的问题。
windows对微信及小程序抓包:Burp+Fiddler+Proxifier
zkaqlaoniao的博客
03-21 826
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。然后网关手动代理配置,这里的代理就是burp的代理,和burp中option的代理地址端口记得一致;环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。找到文件所属目录后,在代理规则的应用程序里浏览选择它,动作记得选上配置的代理服务器,名称任意即可;将流量走向配置为:微信|小程序—>Fiddler—>burp。
WeChatOpenDevTools---划时代的小程序抓包工具
2301_79445611的博客
10-06 6032
寄了
Burpsuite抓取https请求
06-05
Burpsuite默认只能抓取http类型的请求,如果抓取https请求要另外做配置。
微信小程序-毕设期末大作业】微信小程序源码麻将骰子:附详细教程.zip
05-06
微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大...
微信小程序 麻将骰子:附详细教程 (源码)
05-31
在这个“麻将骰子:附详细教程”的项目中,我们将深入探讨如何利用微信小程序的开发工具和编程语言(WXML和WXSS)来创建一个功能完善的麻将骰子应用。 首先,我们要了解微信小程序的基本结构。每个小程序由多个页面...
微信小程序-麻将骰子:附教程.zip
04-20
在这个“微信小程序-麻将骰子:附教程.zip”压缩包中,包含了一个用于创建麻将骰子游戏的小程序模板,以及一个详细的教学指南,帮助开发者了解并学习如何构建类似应用。 1. 微信小程序基础: 微信小程序的开发基于...
fiddler抓取微信小程序
jnszstmei的博客
04-12 4911
最近看了看一些公众号上的文章,发现一个用fiddler抓取羊了个羊的教程。对我这种小白来说,这种实验既有吸引力复现难度也不高,所以打算自己动手实操一下😍😍😍以下内容是对本次实验的复现最开始的时候,发现作者使用了fiddler这个工具,当时没听说过这个工具,很好奇和burp、wireshark有什么区别,后来在实际应用中呢,发现它好像综合了burp和wireshark,fiddler可以将网络传输发送与接收的数据包进行截获、重发、编辑和转存等操作;
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 8574
微信小程序手机抓包方案
可用的微信小程序抓包方式(Charles + bp)
最新发布
小司机的奥拓
06-28 1078
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包
抓包教程微信小程序精准流量抓包教程(超详细 保姆级教程 BP安装证书手把手教)
qq_47493625的博客
01-03 5536
1.打开浏览器,右上角打开设置。搜索代理我们点击最后一个,打开计算机的代理设置。自动跳转到设置界面。按照如下图配置这里的地址和端口要和我们BP中的一致,我们要打开bp看看。
burpsuite抓包微信小程序
07-27
使用Burpsuite抓包微信小程序的步骤如下: 1. 首先,确保你已经安装了微信客户端和Burpsuite,并且两者都是最新本。 2. 打开Burpsuite,并在Proxy选项卡下的Options子选项卡中,确保Proxy listeners处于启用状态,并且监听的端口号是你想要使用的端口号。 3. 在微信客户端中,进入小程序,并找到你想要抓包的目标小程序。 4. 在电脑上打开Proxifier,并在Profiles菜单中选择Proxies。 5. 在Proxies窗口中,点击Add按钮,添加一个新的代理规则。 6. 在新的代理规则中,将微信小程序的流量代理到Burpsuite。你可以通过指定微信客户端的可执行文件路径来实现。如果你想代理所有微信的流量,也可以将微信的流量代理到Burpsuite。 7. 确保代理规则已经生效,并且Proxifier正在运行。 8. 返回Burpsuite,你应该能够看到微信小程序的流量开始出现在Proxy选项卡下的Proxy history窗口中。 通过以上步骤,你就可以使用Burpsuite成功抓包微信小程序了。请注意,抓包是一项技术活,要一定的技术基础和经验。在进行抓包操作时,请确保你已经获得了合法的授权,并且遵守相关法律法规。 #### 引用[.reference_title] - *1* [微信小程序抓包教程Burpsuite 附所工具](https://blog.csdn.net/weixin_45031612/article/details/127416319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【Burpsuite抓取APP、小程序数据包教程】](https://blog.csdn.net/qq_61872115/article/details/130101662)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 44
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@猪大肠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值