前言
现在在渗透测试的过程中,针对微信公众号、微信小程序的测试变得越来越普遍。
但是某些网站限制只能在微信客户端中打开,不利于咱们进行测试,如何绕过“请在微信客户端打开链接”因此变得比较重要。
今天为大家带来几个绕过的小技巧,客官请往下继续查看~~~
检测原理
为了绕过“请在微信客户端打开链接”,咱们得先知道它是怎么检测出来咱不是用微信浏览器打开的。
虽然样式不同,但是咱们可以通过代码查看到:
主要是检测userAgent,根据userAgent判断设备,检测通过的话就进入正常程序,如果不是则显示“请在微信客户端打开链接”
方式一
知道了检测方式,咱们只需要修改浏览器userAgent,绕过检测。
首先打开浏览器设置,按住F12,选择设备
添加自定义设备,其中userAgent为:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090a1b) XWEB/9129
选择新建的UA之后,刷新页面,即可绕过检测
方式二
这个其实有些绕弯路,咱们最终的目的是绕过“请在微信客户端打开链接”,对网页进行测试,咱们的目的是为了抓包,直接使用浏览器抓包只是选择了一个方便的途径。
咱们也可以直接选择使用抓取全局流量包,获取微信的流量数据包转发至Burpsuite上,再进行测试。
这里使用全局流量监听fiddler工具进行转发。(不选择使用微信自带的代理服务器做监听的原因是:直接转发burp可能会影响微信正常流量,导致出现意外。)
下载安装fiddler之后,点击配置网关,设置成burp端口
此时咱们也可以抓到微信的数据包,然后开始渗透测试即可
总结
通过修改浏览器UA可以绕过基于js检测的微信客户端检测,其实大多数时候,为了程序更好的运行,可以考虑使用fiddler进行流量转发,此种方法比直接使用安卓模拟器抓包便捷些,对于小程序等的测试也更加方便。
原文始发于微信公众号(渗透云记):渗透测试小技巧之绕过“请在微信客户端打开链接”
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论