渗透实战-抓取微信小程序流量包
Posted beirry
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了渗透实战-抓取微信小程序流量包相关的知识,希望对你有一定的参考价值。
渗透实战-抓取微信小程序流量包
前言
现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。
接下来我将对微信小程序来进行抓包发送给burpsuit。
Proxifier使用
Proxifier是一款功能非常强大的代理客户端。我们将用此软件来抓取微信小程序的流量包。
Proxifier官网:https://www.proxifier.com
启用HTTPProxy服务器
勾选Enable HTTP proxy servers support
设置监听地址
选择proxy Servers
添加监听地址
设置代理规则
点击此按钮,设置规则
添加规则
以下是添加规则
利用Proxifier抓取微信小程序
以小程序肯德基(疯狂星期四YYDS)为例,先打开小程序,再打开任务管理器,找到小程序肯德基+的进程,右键打开文件所在的位置。
WeChatAppEx则就是我们想要的目标应用
如果有指定hosts和ports则填写(如果打开了多个小程序,可以设置hosts和ports精确化小程序)。
点击ok后则添加成功
打开burpsuit,可以看到已经抓取成功!
微信小程序之小红书旅行频道
有时候抓取微信小程序(腾讯强制所有的小程序都使用https协议)作为数据来源,会给我们带来极大的便利。
本篇文章通过抓取小红书,来演示小程序抓取的流程。
阅读流程
- 效果演示
- 项目地址
- 抓包分析
- 温馨提示
- 总结
效果演示
项目地址
抓包分析
- 抓取微信小程序和抓取其他http协议的流程是一致的。下面看下我们的抓取报文。
- 模拟请求报文即可
温馨提示
- 由于微信会缓存小程序的内容,如果第二次抓包的时候没有找到报文,请先杀死微信app。
总结
- 通过微信小程序,我们还可以抓取小红书大V的个人信息,更多的内容大家尝试下。
- 有时候有的app采用的是类rpc协议,导致不太容易抓包和逆向。那么如果有小程序来抓取,也会给我们带来极大的便利。
以上是关于渗透实战-抓取微信小程序流量包的主要内容,如果未能解决你的问题,请参考以下文章
使用charls抓包微信小程序的解决方案(终极解决,各种坑不怕,亲测可用,不服来战!)