微信小程序抓包教程:Burpsuite版 附所需工具

已于 2023-07-20 20:58:02 修改
阅读量3.8w 收藏 257
点赞数 51
分类专栏: 运维 文章标签: 微信小程序 小程序 网络安全
于 2022-10-19 22:53:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45031612/article/details/127416319
版权
本文详细介绍了如何在电脑上使用Burpsuite和Proxifier进行微信小程序的抓包,包括环境配置、证书导入、代理设置、Proxifier配置等步骤,适用于排查小程序问题的码农必备。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

身为一名码农,抓包肯定是一项必备技能。工作中遇到很多次需要对小程序进行抓包排查问题。下面分享一下我的抓包方式,使用的是电脑版小程序抓包,跟手机的方式都差不多的。

一、环境

微信版本:3.6.0.18
Burpsuite版本:2.0.11
Proxifier版本:3.21

下载地址:

链接:https://pan.baidu.com/s/1laaXgMKTdDGsZBL4_Z1B2w
提取码:sv2t

二、Burpsuite搭建

1.安装

Burpsuite安装篇

2.证书导出

当我们运行burpsuite,代理后就能抓取http包了,但是像小程序这种走的是https请求,所以我们是抓不到包的,下面先装一下证书。

代理>选项>导入/导出CA证书

在这里插入图片描述在这里插入图片描述在这里插入图片描述

3.证书导入

谷歌浏览器选择设置 > 隐私设置和安全性 > 安全 > 管理证书 > 受信任的根证书颁发机构 > 导入 > 选择步骤二导出的证书(记得文件类型,选择所有)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.开启端口监听,端口输入未被占用端口即可

在这里插入图片描述在这里插入图片描述状态为拦截请求代表时,会将https或http包拦截掉,此时请求是还没发出去的,一直被拦截在本地。

在这里插入图片描述

5.代理设置

电脑搜索 internet 选择,选择局域网设置,将本地地址跟刚才burpsuite监听的端口号输入进来
在这里插入图片描述在这里插入图片描述

6.测试

打开浏览器,输入https://www.baidu.com,步骤4中的拦截请求,要关闭掉,把包放出去才能打开网页哦。

在这里插入图片描述

三、Proxifer搭建

1.打开安装包、一直下一步、下一步。

这里不演示了

2.打开proxifier,选择配置文件 > 配置代理服务器

在这里插入图片描述
地址是你本机地址,ipconfig命令可以查ip。端口号是我们burpsuite开启监听的端口
在这里插入图片描述

2.配置代理规则,选择配置文件>配置代理规则

将默认规则勾选为Direct
在这里插入图片描述##### 3.打开要抓包的小程序。

在这里插入图片描述

4.打开任务管理器,选择小程序进程,找到所在程序目录

在这里插入图片描述在这里插入图片描述

5.复制一下目录,打开Proxifier

在这里插入图片描述在这里插入图片描述

在这里插入图片描述

四、测试

在这里插入图片描述

【渗透测试利器】Proxifier配合抓包工具抓取小程序数据包
夜风的博客
02-23 484
关注公众号,回复免费获取网盘资源,不定时分享各种工具资料。Proxifier。
实战案例分享:微信小程序抓包(简单详细易上手
m0_37867238的博客
02-27 739
这个时候是全局抓包 也就是你电脑上所有的流量包,虽然数据包比较多,但只需关注一下最新的流量包,再对应一下响应包里的内容与小程序界面的内容对应即可。7.下载证书文件时要注意将.pem后缀去掉,留下“yakit证书.crt” 直接双击即可安装。打开微信,搜索小程序的名称,直接打开涉案的小程序,在软件界面里查看到最新时间的流量包。4.这边会提示“证书”未配置,我们先点击“启动劫持”按钮即可下载安装证书。需要注意的是你抓包完成后要点击停用,不然你的电脑没法用网络。1.点击软件界面左上角点击 系统设置-系统代理。
微信小程序的测试方法,抓包,模拟
最新发布
2501_91100273的博客
04-01 464
本文将分享一些实用的微信小程序测试技巧,特别是关于抓包和模拟测试的经验。随着微信安全机制的不断升级,传统的抓包工具如Fiddler已经无法直接抓取微信小程序的网络请求。对于需要深入分析网络请求的开发者,建议使用专业的抓包工具如Sniff Master。Sniff Master的优势在于能够自动解析HTTPS流量,无需复杂的证书配置,大大提高了测试效率。Sniff Master的场景模拟器可以预设各种参数组合,极大提高了测试覆盖率。掌握这些工具和技巧,可以显著提升微信小程序的测试效率和质量保证水平。
看完即会,抓取微信小程序数据包教程
热门推荐
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-08 1万+
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者Charles这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。一般电脑和移动端设备连接到同一个WiFi热点(路由器),就可以保证是在同一局域网中,这里我们可以通过手机设置->无线局域网->选择对应热点,查看设备IP地址:在电脑端通过ping命令去检测下电脑是否能够连接IOS设备:
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2163
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Burp Suite抓包微信小程序、网页数据实践
爱发梦的小赤佬的博客
10-21 5546
上一个章节记录了破解的Burp Suite的安装与环境配置,这章节记录一下使用Burp Suite实操抓包微信小程序与网页的数据信息。想了解如何安装配置Burp Suite,可以看一下我上一个章节的文章。
使用Burpsuite对安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 8493
微信Windows软件,必须是3.6.0—3.7.0本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2537
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
burpsuite抓包微信小程序
07-27
- *1* [微信小程序抓包教程Burpsuite 所需工具](https://blog.csdn.net/weixin_45031612/article/details/127416319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...
微信小程序抓包burp
01-19
为了使 Burp Suite 能够拦截来自微信小程序的流量,在 Burp Suite 中需正确配置代理设置。进入 `Proxy` -> `Options` 页面,确认监听接口已启用并设定了合适的本地 IP 地址以及未被占用的端口号[^4]。 #### 安装 CA...
小红书抓取,微信小程序抓包工具
01-27
xiaohongshu 小红书抓取,微信小程序抓包工具 1,工具mitmdump使用,获取headers具体加密参数信息 2,csv实时表格插入,判断不重复插入头信息
微信小程序安全测试指南
07-07
在开发背景方面,微信小程序适合初创团队使用,因为它试错成本较低,开发时间较短,所需资金也相对较少。而传统App应用则更适合成熟的商业大公司,尤其是对品牌要求较高的企业。 测试指南强调,微信小程序的测试应...
小程序 burpsuite
07-28
- *1* *2* [微信小程序抓包教程Burpsuite 所需工具](https://blog.csdn.net/weixin_45031612/article/details/127416319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
burpsuite抓包放包
08-16
- *1* *2* [微信小程序抓包教程Burpsuite 所需工具](https://blog.csdn.net/weixin_45031612/article/details/127416319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
微信小程序抓包(burp + proxifier)
qq_61081478的博客
10-17 2064
proxifier下载地址:https://www.proxifier.com/download/设置完成后打开burp,不用开启抓包,在HTTP history中即可看到数据包。微信小程序位置可任意打开小程序后,在任务管理器中右击查看文件位置。地址和端口为burp代理的设置,添加完成后测试代理连通性。成功使用Proxifier代理时运行小程序能看到正在连接。
Burpsuite抓取APP、小程序数据包教程
heike_Ch的博客
06-18 1808
本节主要讲如何利用burpsuite抓取APP和小程序数据包,希望对你有帮助!
评论 45
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@猪大肠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值