事由
甲方布置了个测试任务过来,测试企业微信上的应用,原本以为会高高兴兴的,可惜事与愿违。
1.企业微信的应用不能直接在电脑上打开,一条省(懒)事(惰)的方法被堵死,如图:
2.使用自己的手机(iphone 6s 版本13.6 未越狱)+burpsuite /fiddler抓包测试,并未成功
3.使用夜神模拟器+xposed+JustTrustMe插件+burpsuite /fiddler抓包测试,并未成功
4.问了一圈朋(大)友(佬),都没得到解决方法
转机
搞了半天,抓了一圈的数据包,可是没返回的数据值的。刚好同事有一部已经root过的安卓机,于是就拿来做最好搏一搏(垂死挣扎)。
解决过程
测试环境:
-
已经root过的Galaxy S5 安卓6.0.1(还是真机牛逼!)
-
xposed+JustTrustMe插件
-
burpsuite /fiddler(后面发现fiddler更强,抓的包更多)
-
电脑和手机连接同一个网络环境
-
微信7.0.20(企业微信的应用有些需要跳转到微信鉴权,这个是企业微信最低的版本要求,惨痛的经验告诉我,Galaxy S5 安卓6.0.1不能直接安装最高版的,只能一个个试)
过程:
本机打开fiddler,电脑和手机连接同一个网络环境,默认监听端口8888(另外,记得在安卓手机添加fiddler的证书)
这个位置可以设置仅显示那些网站的数据包,避免干扰
手机上设置本机的地址和8888端口为代理,在微信应用操作即可查看到数据包了。
本文始发于微信公众号(Khan安全攻防实验室):《如何抓取企业微信上的应用》
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论