小程序/移动端渗透环境配置

已于 2024-07-26 11:34:14 修改
阅读量1k 收藏 4
点赞数 15
文章标签: https 网络协议 http 网络安全 web安全
于 2024-07-24 12:30:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69602647/article/details/140659016
版权

工具准备: Proxifier, mumu模拟器, MT管理器, Burp Suite 

Proxifier:

官网下载:

关于激活:在网上可以找一个激活码 激活非常轻松

mumu模拟器

官网下载

打开设置->开启磁盘可写

开启手机root权限:

MT管理器

下载安装到mumu模拟器 并赋予超级权限

Burp Suite

配置代理:

添加代理:

打开Proxifier:设置Proxifier:代理

修改流量规则:

将默认开启的两个删掉remove:

添加新的:

配置mumu模拟器的流量出口:

application选择这三个exe:

D:\Program Files\Netease\MuMu Player 12\shell\MuMuPlayer.exe

D:\Program Files\Netease\MuMu Player 12\shell\crashpad handler.exe

C:\Program Files\MuMuVMMVbox\Hypervisor\MuMuVMMHeadless.exe

导出BP证书:

使用openssl转换burpsuite证书格式:

打开并进入kali:

将BP导出的证书移动到kali 使用命令:

openssl x509 -inform DER -in 111.cer -out 111.pem

获取主题哈希值

openssl x509 -inform PEM -subject_hash_old -in 111.pem

重命名文件:

mv 1111.pem 9a5ba575.0

打开mumu模拟器文件传输 将弄好的9a5ba575.0 复制到模拟器中

打开mumu模拟器的 MT管理器移动证书到系统目录

/system/etc/security/cacerts/

要有777权限:

现在就可以进行移动端渗透测试啦~

雾魈
关注
记我第一次的安卓模拟器安装及配置过程-做移动端渗透测试
lynnez_dd的博客
02-22 2095
安卓模拟器的安装配置相关 1、Genymotion的安装与使用(附百度云盘下载地址,全套都有,无需注册Genymotion即可使用)https://blog.csdn.net/Scythe666/article/details/70216144   途中出现问题: unable to load virtualbox engine 解决方法如下:设置了一下virtualbox 的host-...
再谈字节小程序
YZcoder的博客
10-22 1783
作者:字节小程序基础技术团队-杨德立 前言 如今,全网小程序数量已超700w+个,细分行业200+个,开发者数量超500w个,作为移动互联网的重要新基建小程序互联网已成型,用户习惯已经养成。 字节小程序身处大的生态之中,基于字节APP而建。围绕开放场景、开放接口、开放信任关系搭建的一套以小程序为最终落地的技术载体连接外部企业主体所提供服务的全链路生态解决方案。方案在主要提供和具备多页应用级形态的开发和运行模式同时,还提供了单页、卡片等的开发和运行模式,可支持多形态和运行模式间的运行时打通和联动。目前已经覆盖
IOS&Android;渗透测试环境搭建常用命令方法
02-07
移动安全搭建渗透测试环境搭建常用命令方法,非常的细致和全面,强烈推荐!
微信小程序渗透测试
weixin_41308444的博客
10-14 3811
微信小程序渗透测试
微信小程序渗透测试方案,从零基础到精通,收藏这篇就够了!_小程序安全测试
最新发布
yy1715713348的博客
04-03 476
微信小程序作为一种轻量级的应用程序,因其无需下载、即用即走的特点,迅速获得了广大用户的青睐。然而,随着小程序应用的普及,其安全性问题也日益凸显。为了确保小程序安全运行,保护用户数据和隐私,进行微信小程序渗透测试显得尤为重要。本文将深入探讨微信小程序渗透测试的方案,从测试准备、测试方法、测试步骤到漏洞修复,全方位解析如何有效地进行渗透测试。
渗透测试】深度解析微信小程序漏洞挖掘!黑客技术零基础入门到精通教程建议收藏!
白帽阿叁的博客
11-27 3623
今天讲讲微信小程序渗透,无论是护网、src挖掘、攻防演练,微信小程序都可以成为突破口微信小程序和普通网页渗透相比有以下不同点:1、抓包方式不同,不能直接进行抓包2、不能直接进行调试,如果遇到小程序进行了加密传输,这种情况就比较棘手3、微信小程序有自己特有的漏洞4、某些微信小程序会进行一些限制,增加了测试难度针对以上情况,我会分为四个章节逐一进行解答:抓包篇、逆向篇、漏洞篇、技巧篇微信小程序渗透本质和浏览器网页渗透没啥区别,解决了这些不同点就可以像正常网页一样测试了。
针对微信小程序渗透测试
热门推荐
None安全团队
10-18 3万+
2020.9.19凌晨3点23 深夜难眠,回想起今天waf上一大堆误报和寥寥无几的告警,甲方爸爸提供的两荤一素已经换成了白粥榨菜,农夫已经换成了怡宝,猪肉换成了榨菜,或许我们是时长一个月实习生的身份,已经彻底暴露了,明天不知道是不是只能吃开水泡面了。唉,明天又要穿上白衬衫,继续假装自己是5年工作经验的安全专家,今晚终于认清现实,活捉红队0day依然是我们遥不可及的梦。 生而为人,我很抱歉。材料准备: burp suite、模拟器(把微信装好)、node.js、wxappUnpacker、ro...
浅谈微信小程序渗透
dys的博客
11-15 2712
浅谈微信小程序渗透
微信小程序移动端电商项目开发全流程解析
### 微信小程序的开发环境 微信小程序的开发涉及一系列的工具和技术: 1. **开发者工具**:微信官方提供的开发工具,用于代码编辑、预览、调试和真机调试。 2. **WXML**(WeiXin Markup Language):微信小程序的...
055-微信小程序-飞机大战.zip
06-11
- 项目配置:开发者需要在小程序后台进行AppID的申请和配置,设置小程序的基本信息,如名称、图标等。 - 资源管理:包括图片、音频、视频等素材的上传和管理,确保游戏资源的正常加载和运行。 - 测试与审核:完成...
微信小程序渗透学习
weixin_45794666的博客
02-22 1312
微信小程序 小程序测试流程 分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。 搜索目标小程序 目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。 小程序主体信息确认 查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息 小程序包获取 PC端 首先在微信中搜索到小程序,并打开简单浏览 然后在自己
实战|微信小程序渗透测试
logic1001的博客
11-29 1397
burpsuite、夜神模拟器(把微信装好)、node.js、wxappUnpacker1、配置Burp和模拟器(模拟器需导入ca证书),打开模拟器的WLAN–>高级设置–>输入物理机的ip以及一个没被占用的端口,Burp用于代理该端口,我使用的模拟器安卓版本为5.0。(长按wifi为高级设置)3、打开/data/data/com.tencent.mm/MicroMsg/目录,把该目录下所有文件删除,再打开微信,打开任意一个小程序
【微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 1万+
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
针对微信小程序渗透测试实战
Python_0011的博客
03-23 2755
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值