"永远会有更好,眼下便是最好"
0X01 准备工作
需要用到的工具:
微信 3.9.7.29(PC端)ProxyPin(本机安装SSL证书)BurpSuite(本机安装SSL证书)项目地址:https://github.com/wanghongenpin/network_proxy_flutter/
下载地址:https://www.lanzoub.com/iCG6E1ebwkmb流量走向和抓包方案:
电脑(PC)端微信小程序-->通过ProxyPin -->到Burpsuite流量从电脑(PC)端微信小程序通过ProxyPin再走到Burpsuite工具,最后使用Burpsuite来进行修改和重放,其实就是走了一个代理链。
配置抓包环境
第一步 设置ProxyPin监听环境
安装SSL证书到本机
开启HTTPS代理
打开需要抓包的微信小程序
可以看到ProxyPin成功获取到数据包,下一步将流量转发到BurpSuite
在ProxyPin中设置外部代理
第二步 设置Burpsuite
打开Burpsuite
查看监听的端口,注意不要和ProxyPin与其他软件端口相同
在浏览器中安装Burpsuite的证书
http://burp/
下载证书到本地,浏览器设置证书,搜索证书
查看证书
然后导入,下载的证书
到这里Burp suite的设置也完成了, 可以去抓微信小程序的包了
0X03 漏洞挖掘
微信电脑端:打开小程序
仅用于技术交流,请勿用于非法用途。
原文始发于微信公众号(渗透测试):渗透测试之电脑(PC)端小程序抓包教程(建议收藏)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论