【渗透干货-移动端】APP应用和微信小程序渗透测试环境搭建

1、打开Burpsuite软件并设置代理。

通过ipconfig命令查看确定本机IP地址为192.168.8.159

2、打开夜神模拟器，配置好代理。

把刚才设置的代理地址填进去，保存。

3.在夜神模拟器自带的浏览器内，按图依次点击进行配置给模拟器安装burp证书。

进入浏览器“设置”——》选择“隐私和安全”

将此选项的勾去掉。

在浏览器地址栏输入：http://burp   进行下载安装证书

下载完成后按照下图依次操作找到下载好的文件。

在系统设置里点击安全模块。

选择下载并更改名字的证书文件。

完成配置，打开个APP应用抓包测试下，成功抓到APP的数据包。

注意：Windows版微信软件，必须是3.6.0—3.7.0版本。同时提前安装好Proxifier软件

1、老样子，先配置burp的代理。

2、给电脑主机安装burp证书

在浏览器的扩展插件里下载Proxy SwitchyOmega插件后，按下图所示进行相应的配置。然后再在浏览器里下载证书，浏览器里输入http://burp    右上角下载证书

安装下载好的证书。

3、证书安装完成后，对Proxifier软件配置。

代理服务器地址跟burp软件配置的代理地址一致，点击检查。

结果如下图所示为配置成功。

随便打开一个微信小程序后，打开任务管理器。

可以看到WeChatApp.exe就是微信小程序的进程。设置代理规则。

按下图配置进行设置。将WeChatApp.exe加入到代理规则里，这样就只会抓取到微信小程序的数据包了。

最后，测试下burpsuite是否抓到了微信小程序的数据包。

      其实不管是APP还是微信小程序，环境搭建时总体思路就是配置bp软件代理设置—>安装证书—>抓包测试。看似简单但在实际工作中会发现，稍微重视安全防护的应用都会对模拟器进行检测拦截的，这样就需要我们对其进行绕过。由于篇幅有限，下篇文章会带大家讲解如何绕过模拟器检测和常见的移动端渗透思路。

Burpsuite软件、夜神模拟器、Proxifier软件安装包、

微信3.6.0—3.7.0版本