01 抓包环境配置 本文抓包环境 Win10,微信(PC版本) v3.9.2.20,Burp Suite v1.7.32,Proxifier v3.42 【不使用安卓模拟器】 一、下载安装好Burp ...
微信小程序Mac版抓包
测试了网上使用Proxifier的方法,折腾了半天发现都抓不到了,这里分享个简单粗暴的点开系统设置选择 网络 -> Wi-Fi点开详细信息,设置代理,把http和https代理都设置上...
APP渗透—微信小程序、解包反编译、数据抓包
0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,最近的这个APP系列知识更新完,后续将更新内网或者工具类。0.1.免责声明传播、利用本公众号剁椒鱼头没剁椒所提供的信息而造成的任何直接或者间...
微信小程序渗透——反编译小程序
作者:骁隆,转载于作者博客来源:https://www.onctf.com/1、介绍微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,一般就是要么用电脑上的安卓模...
[AOH 022]微信小程序自动化提取与扫描实践
一、前言深受阿里白帽大会depy师傅分享的议题《攻防演练中非传统web攻击面自动化利用与发现》的启发,尝试开发类似可以实现自动化提取分析的工具,于此文,分享我取得的进展。二、实践为保护知识成果,仅从自...
记一次超骚的SRC漏洞挖掘思路
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!前言在这家SRC漏洞挖掘...
针对小程序的漏洞挖掘
0x00 前言承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环...
针对小程序的漏洞挖掘
0x00 前言承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环...
微信小程序的任意用户登录实战
NO.1 小程序开放数据获取基本流程 小程序可以通过各种前端接口获取微信提供的开放数据。考虑到开发者服务端也需要获取这些开放数据,微信提供了两...
利用模拟器抓取微信小程序及APP包
本文仅用于记录自身学习过程。条件:抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且...
微信小程序测试_反编译_一键化工具py2_wxapp
前言最近测试微信小程序的时候没有找到那种一键化的工具。每次都是他运行一下,另一个运行一下。单包的时候还好说,最近遇到很多分包的情况。差点累死。然后写了这个聚合工具。介绍py2_wxapp_V1.1版本...
一次微信小程序的测前准备
作为一名后勤人员,工作的首要任务就是帮兄弟们做好战前准备工作。这不来了一个微信小程序的活。还好抓包兄弟们那边没有问题。主要是加密破解问题。1.wxapkg 包的获取与反编译在这之前先大概介绍一下小程序...
9