weixin小程序和公众号抓包方法分享

已于 2022-12-03 23:12:24 修改
阅读量1.5w 收藏 88
点赞数 26
分类专栏: WEB安全 文章标签: 微信公众平台 网络安全
于 2022-12-03 23:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64551911/article/details/128167068
版权

文章目录

前言

由于在工作中涉及了微信小程序的渗透测试,参考了一些文章,感觉代理的设置大都太麻烦,甚至还有人用模拟器或者手机登陆微信再抓内网IP的数据包,按照app渗透测试的思路来抓取本在电脑上就能直接运行的应用程序的数据包,实在是没必要。因此自己鼓捣了一种简单的抓包方法,直接用proxifier工具来抓指定进程的数据包,转发给burp就可以了。

一、工具准备及相关设置

我本人用的是proxifier汉化版,可以直接从百度去找,也可以点击下方链接下载:
https://pan.baidu.com/s/1Kf5IVDAgVmCgsXU9rRlJXw?pwd=fsuj
提取码:fsuj
工具下载好以后直接傻瓜式安装即可,然后双击运行,顺利的话会见到如下界面:
在这里插入图片描述
依次点击菜单栏中的配置文件->代理服务器->添加
在这里插入图片描述
填写内容如下,其中端口应与burp的监听端口一致:
在这里插入图片描述
这里协议注意选https,我们只要抓https协议相关的数据包(包含了http),而socks5包含了其他协议的内容,burp不能处理,因此这里不能选socks5
接着在主界面点击配置文件->代理规则->添加,然后设置内容如下:
在这里插入图片描述

注:WeChatAppEx.exeWechatBrowser.exe分别是微信小程序和公众号通用的进程。
之后将小程序前面的复选框打钩:
在这里插入图片描述

二、burp抓包演示

现在我分别找个公众号和小程序演示。例如最近比较火的羊了个羊小程序:
在这里插入图片描述
江南雨上公众号:
在这里插入图片描述

三、扩展操作

大型企业经常会规定禁止内外网互联,因此如果连了公司网线,再连自己的热点就属于典型的内外网互联,而如果连公司的wifi,则因为连接人数太多往往很卡。幸好我所在的公司提供了内网代理服务器,连接上以后就可以上网了。下面分享通过proxifier工具开启全局代理的方法:
按照如下图所示进行设置:
在这里插入图片描述
这里的IP应为内网中代理服务器的地址和端口,这里我们公司提供的是192.168.25.25:6666,你们可根据自己实际情况修改。注意添加用户名和密码,因为内网代理服务器一般需要验证用户身份。当然不添加的话,也可以,只是后面肯会有弹窗要求填写账户密码进行身份验证。
然后在代理规则中设置如下:
在这里插入图片描述
这样就可以把全局所有未额外设置代理的进程流量全部导入代理服务器了。可能有人会问,这个时候假设打开了谷歌浏览器,访问了一个站点,想要用burp抓它的数据包,该怎么办呢?这个时候要注意,不要在浏览器里设置代理,直接在proxifier工具的代理规则添加一条规则如下:
在这里插入图片描述
检查该规则是否已启用:
在这里插入图片描述
这样的话,小程序、公众号和谷歌浏览器的流量就会被导入到本地的127.0.0.18080端口,就可以使用burp去拦截数据包,而burp的出口走的是代理服务器的ip和端口,因此并不影响它们访问外网,这样就实现了在内网环境下设置全局代理和burp拦截数据包两不误了。
同样的方法可以拦截到各种指定进程的数据包,比如拦截御剑工具的数据包,看看它在爆破的时候都发了些什么请求:
在这里插入图片描述
在这里插入图片描述

四、小结

本文主要分享了使用proxifier工具进行代理设置拦截微信小程序和公众号数据包的方法,同时扩展了其他进程数据包的拦截方法,若是本文对读者学习相关的技术起到了一定的参考意义,望能给本文点个赞,谢谢!

Mr.95
关注
专栏目录
通过抓包工具实现公众号文章爬虫
04-23
要求会抓包的使用!!!可转换为pdf
微信公众号抓包
AI_SumSky的博客
10-02 797
2.打开burp,打开公众号
微信小程序数据包教程抓取,看完就是学会
2301_77645750的博客
09-19 2962
有很多粉丝小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过或者Charles这些主流的都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。
抓取微信小程序公众号数据包
m0_73720136的博客
06-17 708
自己在工作中遇到过需要测试APP的项目,后来网上搜了一些教程,各种环境搭建最后还是很难绕过放代理机制,所以就把自己踩过坑的绕过给分享一期。
看完即会,抓取微信小程序数据包教程
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-08 1万+
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者Charles这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。一般电脑和移动端设备连接到同一个WiFi热点(路由器),就可以保证是在同一局域网中,这里我们可以通过手机设置->无线局域网->选择对应热点,查看设备IP地址:在电脑端通过ping命令去检测下电脑是否能够连接IOS设备:
Python爬取微信公众号文章
风中的承诺
01-09 6306
本篇文章使用到的技术: mitmdump + 电脑版微信 先分析 打开可视化抓包工具, 勾选https代理。然后打开电脑版微信 任意点击一个公众号,再点击查看历史消息 打开后这样 向下滑动右侧的滚动条,同时观察抓包软件,有新的数据加载即可停止滑动,仔细分析抓包软件的数据 呐,接口已经找到了。 下面来分析它的请求参数 上面这些参数我们后面通过mitmdump抓到就可以使用,关键点在于如何构...
微信公众号内容如何获取,python教你抓包分析并保存数据
aliYz的博客
03-06 2712
今天来教大家如何使用Fiddler抓包工具,获取公众号(PC客户端)的数据。Fiddler是位于客户端和服务器端的HTTP代理,是目前最常用的http抓包工具之一。
(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包
Arched的博客
01-24 1万+
Charles+Burp+手机联动抓取WX小程序/公众号数据包
Fiddler抓取微信公众号数据
不安分的猿人的专栏
02-02 3万+
写这篇博文的主要目的,记录我使用Fiddler 抓包工具完成公众号请求信息的抓取,并解析抓取的数据的全过程。 准备工作: 下载:Fiddler_5.0.20173.49666_Setup.exe 官网链接:https://www.telerik.com/download/fiddler 1.安装Fiddler_5.0.20173.49666_Setup.exe,很简...
利用fiddler 截获微信传输数据 (方便抓取公众号信息)
热门推荐
lhorse003的博客
05-18 10万+
前言:本文章是搭配《批量获取微信公众号》一文,介于群里朋友很热情,我就趁着上班测完bug 来撰写该文章,那么读完本文,你会学习到什么呢? 什么是fiddler,他和其他抓包软件有什么区别,如何使用fiddler进行抓包如何利用fiddler抓取https 的流量,如何安装证书实战:利用fiddler配合按键精灵批量刷微信公众号的文章页(经测试语音也可以) 好的,小葵花妈妈咳咳 我们开课
Python爬虫 Fiddler抓包工具教学,获取公众号(pc客户端)数据
想学习python欢迎在评论区留言,我看到都会用心回复
06-30 2018
今天来教大家如何使用Fiddler抓包工具,获取公众号(PC客户端)的数据。Fiddler是位于客户端和服务器端的HTTP代理,是目前最常用的http抓包工具之一。
fiddler自动抓取微信公众号历史文章
07-17
利用fiddler抓包工具,抓取微信公众号历史文章数据。再配合脚本精灵等工具实现自动化抓取数据
Python如何爬取微信公众号文章和评论(基于 Fiddler 抓包分析)
01-20
背景说明 感觉微信公众号算得是比较难爬的平台之一,不过一番折腾之后还是小有收获的。没有用Scrapy(估计爬太快也有反爬限制),但后面会开始整理写一些实战出来。简单介绍下本次的开发环境: python3 requests psycopg2 (操作postgres数据库) 抓包分析 本次实战对抓取的公众号没有限制,但不同公众号每次抓取之前都要进行分析。打开Fiddler,将手机配置好相关代理,为避免干扰过多,这里给Fiddler加个过滤规则,只需要指定微信域名mp.weixin.qq.com就好: Fiddler配置Filter规则 平时关注的公众号也比较多,本次实战以“36氪
微信小程序抓包工具及其配套教程
08-30
抓包后自动代挂关注微信公众号:网寻星 葫芦娃登录 示例:葫芦娃登录,130aaaabbbb,新联惠购,eyJxxxxxx 葫芦娃查询账号信息 示例:葫芦娃查询账号信息,130aaaabbbb 葫芦娃执行日志 示例:葫芦娃执行日志,130...
最完整app、小程序公众号抓包图文教程
Cwillchris的博客
09-06 501
WechatPlayer.exe,这包含了微信小程序公众号、浏览器及播放器等,目标主机和端口选任意,动作选刚才建的代理服务器proxy https 10.105.23.68:8888,点击确定,在上一级窗口点击确定。选择将所有的证书都放在下列存储,点击浏览,选择收信人的根证书颁发机构,点击确定,在上一级窗口点击下一步。点击添加——输入物理机ip和端口(与burp设置一致),选择HTTPS,点确定,在上一级窗口也点确定。代理选择手动,主机名为物理机IP,端口和burp一致,点击保存。
渗透实战-抓取微信小程序流量包
beirry的博客
12-04 2505
现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序微信公众号进行测试。 接下来我将对微信小程序来进行抓包发送给burpsuit。Proxifier是一款功能非常强大的代理客户端。我们将用此软件来抓取微信小程序的流量包。 勾选Enable HTTP proxy servers support 选择proxy Servers 添加监听地址 点击此按钮,设置规则 添加规则 以下是添加规则 以小程序肯德基(疯狂星期四YYDS)为例,先打开小程序,再打开任务管理器,找到小程序肯德基+的进程,右键打
Ccharles 爬取微信公众号小程序
冰丶heart
04-02 2017
Ccharles 爬取微信公众号小程序 1.下载Charles 下载地址 1.charles上通过proxy->proxy setting进入代理设置,入口如下图所示 点击后进入如下所示界面 记住此处的port,默认为8888,也可以进行修改,只要不冲突就可以,勾选上Enable transparent HTTP proxying,到此为止完成charles上的初步设置。 手机设置 ...
第三十五:Fiddler抓包-抓取微信小程序的包(二)
欢迎来到本博客!这里是一个充满惊喜与挑战的世界。我们将为你带来如爆炸般震撼的观点、故事和体验。每一篇文章都像是一颗威力十足的炸弹,在你的思维世界里引爆,激发无限的思考与感悟。 独特的视角、精彩的内容,如磁石般吸引着每一位读者。无论是深度的分析、动人的情感表
02-13 144
【代码】第三十五:Fiddler抓包-抓取微信小程序的包(二)
Python爬虫实战系列:微信公众号文章爬取的5种技术方案总结及代码示例!
最新发布
2301_78217634的博客
10-09 4319
本文只是基于近期搜索调研了一些内容后的抛砖引玉总结,具体一些方案详细技术实现大家可私下自己尝试。
微信小程序开发公众号
07-27
微信小程序开发公众号需要进行以下几个步骤: 1. 首先,你需要申请微信公众号小程序微信公众号小程序可以通过微信官方网站进行申请。 2. 接下来,你需要将微信小程序公众号进行关联。这是为了实现消息推送功能。关联的过程需要在微信公众号开发平台进行操作。 3. 在小程序的后端管理界面登录并查看小程序的appid和secret。这些信息将在与微信进行请求交互时使用。 4. 为了实现与微信的请求交互,你需要使用https,并建议使用域名来实现。你还需要准备好对应的https证书,并在小程序的后端开发中配置好外网端口。 5. 如果你想实现微信推送功能,你需要成功关联微信公众号,并将你的IP添加到白名单中,以便获取token。 6. 如果你想实现图片上传功能,建议使用图片服务器,并将图片路径返回给前端。在使用Nginx时,需要注意设置传输大小。 7. 小程序的打包体积不能超过2M,其他资源(包括图片等)应放在后端的静态服务器中。 8. 在进行小程序体验版自测时,你需要在微信管理后台添加相应的开发人员,并在登录小程序时使用开发调试功能。同时,体验版的网络和后端服务的网需要在同一局域网才能进行访问。 9. 如果你想升级和上线小程序,需要提前提交审核申请。初次审核可能需要较长时间,一般需要提前进行准备。在上线前,你需要在微信公众号开发平台添加获取token的白名单,并确保后端服务开启了外网访问权限。 以上是关于微信小程序开发公众号的一些流程和步骤。你可以参考微信官方文档和API文档获取更详细的信息。 #### 引用[.reference_title] - *1* *2* *3* [手记系列之一 ----- 关于微信公众号小程序的开发流程](https://blog.csdn.net/qazwsxpcm/article/details/127600663)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值