渗透测试小技巧之绕过请在微信客户端打开链接

admin 2024年6月3日09:53:26评论254 views字数 983阅读3分16秒阅读模式
 

前言

现在在渗透测试的过程中,针对微信公众号、微信小程序的测试变得越来越普遍。

但是某些网站限制只能在微信客户端中打开,不利于咱们进行测试,如何绕过“请在微信客户端打开链接”因此变得比较重要。

今天为大家带来几个绕过的小技巧,客官请往下继续查看~~~

检测原理

为了绕过“请在微信客户端打开链接”,咱们得先知道它是怎么检测出来咱不是用微信浏览器打开的。

渗透测试小技巧之绕过请在微信客户端打开链接

虽然样式不同,但是咱们可以通过代码查看到:

渗透测试小技巧之绕过请在微信客户端打开链接

主要是检测userAgent,根据userAgent判断设备,检测通过的话就进入正常程序,如果不是则显示“请在微信客户端打开链接

方式一

知道了检测方式,咱们只需要修改浏览器userAgent,绕过检测。

首先打开浏览器设置,按住F12,选择设备

渗透测试小技巧之绕过请在微信客户端打开链接

添加自定义设备,其中userAgent为:

 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090a1b) XWEB/9129

渗透测试小技巧之绕过请在微信客户端打开链接

选择新建的UA之后,刷新页面,即可绕过检测

渗透测试小技巧之绕过请在微信客户端打开链接

方式二

这个其实有些绕弯路,咱们最终的目的是绕过“请在微信客户端打开链接”,对网页进行测试,咱们的目的是为了抓包,直接使用浏览器抓包只是选择了一个方便的途径。

咱们也可以直接选择使用抓取全局流量包,获取微信的流量数据包转发至Burpsuite上,再进行测试。

这里使用全局流量监听fiddler工具进行转发。(不选择使用微信自带的代理服务器做监听的原因是:直接转发burp可能会影响微信正常流量,导致出现意外。)

下载安装fiddler之后,点击配置网关,设置成burp端口

渗透测试小技巧之绕过请在微信客户端打开链接

此时咱们也可以抓到微信的数据包,然后开始渗透测试即可

渗透测试小技巧之绕过请在微信客户端打开链接

总结

通过修改浏览器UA可以绕过基于js检测的微信客户端检测,其实大多数时候,为了程序更好的运行,可以考虑使用fiddler进行流量转发,此种方法比直接使用安卓模拟器抓包便捷些,对于小程序等的测试也更加方便。

 

原文始发于微信公众号(渗透云记):渗透测试小技巧之绕过“请在微信客户端打开链接”

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月3日09:53:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试小技巧之绕过请在微信客户端打开链接https://cn-sec.com/archives/2807981.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息