利用模拟器抓取微信小程序及APP包

admin 2023年1月24日10:12:34移动安全评论18 views812字阅读2分42秒阅读模式
本文仅用于记录自身学习过程。

条件:

抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且安装老版本也会强制用户升级,且微信只信任系统及自身内置的证书。

安卓系统7.0以下:微信的任意版本,都会信任用户提供的证书。

安卓系统7.0以上:微信7.0以上版本,微信只信任系统及自身内置的证书

微信7.0以下版本,微信会信任用户提供的证书

准备工具:

1、夜神模拟器

2、BurpSuite

3、XPosed

4、justTruseMe

环境配置:

安装XPosed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务绕过SSL 证书验证。使用这种方法进行抓包的时候要求安卓手机必须需要ROOT。

1.直接在模拟器搜索Xposed进行安装

利用模拟器抓取微信小程序及APP包

2.安装/更新最新版本

利用模拟器抓取微信小程序及APP包

3.添加模块JustTrustMe.apk

https://github.com/Fuzion24/JustTrustMe/releases/tag/v.2

利用模拟器抓取微信小程序及APP包

4.此时设置burpsuite证书,设置代理以及代理端口。

利用模拟器抓取微信小程序及APP包

5.使用安卓模拟器访问浏览器,http://burp/ 下载证书,改名字,将后缀改为.cer

利用模拟器抓取微信小程序及APP包

6.模拟器安装证书

利用模拟器抓取微信小程序及APP包

7.burpsuite设置监听,最好设置本地ip,至此可以发挥你的技术了。

利用模拟器抓取微信小程序及APP包

本文作者:niubilityA , 转自FreeBuf.COM

扫码加好友拉你进交流群(请备注)
利用模拟器抓取微信小程序及APP包

关注公众号,后台回复关键词获取安全相关资源:

【 1868 】 :弱口令字典

 6956 】 :Windows提权工具包

【 1762 】 :渗透辅助综合工具

【 2595 】 :应急响应工具集
【 1346 】 :CTF入门到提升视频教程

原文始发于微信公众号(菜鸟学安全):利用模拟器抓取微信小程序及APP包

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月24日10:12:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  利用模拟器抓取微信小程序及APP包 http://cn-sec.com/archives/1524918.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: