微信小程序抓包教程
2023-4-15 06:41:41 Author: 哆啦安全(查看原文) 阅读量:97 收藏

微信小程序已经深入到我们的生活中,一般公司除常见的Web网站、手机App客户端,也会开发对应的微信小程序。常见的Web网站可以使用F12、Fiddler抓包,手机App客户端也可以通过Root后使用Burp、Fiddler抓包,那么我们如何捕捉微信小程序的流量并进行安全测试呢?这里将以Burp + Proxifier 对微信小程序流量抓包。

由于电脑版微信已经支持小程序,故使用mac版微信,对其上运行的小程序进行抓包。微信电脑版到3.4.5之前,小程序可以使用系统代理,3.4.5之后版本小程序流量不会经过系统代理,无法通过电脑的全局代理流量的方法来抓取微信小程序的数据包,本文使用的 3.7.1 版本,故全局代理方式不适用。而使用 Proxifier 代理软件来进行流量中转,从而抓取到微信小程序的数据包。

2.1、Burp 安装

Burpsuite安装这里不过多详细介绍,主要需要下载证书并信任证书

2.2 安装Proxifier

Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器,工作的网络程序能通过HTTPS或socks或代理链。
Proxifier功能:

  • 通过代理服务器运行任何网络应用程序。软件不需要特殊配置,整个过程十分透明。
  • 通过代理服务器网关访问限制网络的互联网。
  • 绕过防火墙限制。
  • 通过代理服务器解析 DNS 名称。
  • 使用带有主机名和应用程序名称通配符的灵活的代理规则。
  • 通过隐藏 IP 地址确保隐私。
  • 使用不同协议通过一组代理服务器链。
  • 实时查看关于当前网络活动(连接,主机,时间,带宽使用等)的信息。
    ... 等等。

去Proxifier官网下载https://www.proxifier.com/ ,其是收费软件,免费试用31天。选择与电脑系统匹配的版本,我这最开始下载的版本太高,不支持,后续下载Proxifier 2.X版本即可正常安全。

2.3 配置Proxies

2.3.1 添加代理 填入 burpSuite 代理 ip 和端口选择 https 保存即可

2.3.2 添加 Rules 过滤规则


通过 command+shift+G 可以通过访达 输入指定路径并打开,mac 的微信小程序位置都是如下位置

/Applications/WeChat.app/Contents/MacOS

![](https://files.mdnice.com/user/4899/cca42d8d-f1fb-49c1-97c0-9dec59096d1a.png)

用电脑微信打开小程序,发现出现网络连接失败,此时微信退出重新打开就好了

此时发现已经可以正常抓到接口流量了,可以愉快的进行安全测试了

总的来说,对小程序抓包还是比较简单的,我们日常对安卓App测试抓包,对于安卓7.0以上的,由于不信任用户代理,都需要Root后才可进行抓包。此时我们可以把重点放在小程序上,一般来说小程序主要功能也都有。但此时相信你应该会发现其他问题。例如现在一般重要的接口都会有签名,防止重放,通过小程序如何找到签名规律呢?电脑版微信小程序安装包文件已经加密,此时如何逆向并找出小程序签名逻辑呢,下篇文章会详细介绍此功能。

推荐阅读

移动端APP防抓包

常见抓包方法汇总

Android使用iptables抓包的姿势
eCapture|Android https明文抓包

干货|移动安全之APP各种抓包教程详解

Android上基于透明代理对特定APP抓包技巧


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NzUzNzk1Mw==&mid=2247495464&idx=1&sn=50b8946b677926aeb068a22b8e341c23&chksm=ceb8aa66f9cf2370849027975264f50715e3e405deee6b9001d65c2bd76df145683f8537d583#rd
如有侵权请联系:admin#unsafe.sh