Reqable + BurpSuite无需Wifi代理攻击微信小程序

admin 2024年7月13日13:31:55评论288 views字数 1425阅读4分45秒阅读模式

微信公众号:[在下小白]关注容器技术、关注网络安全。问题或建议,请公众号留言

前言

在我订外卖的时候,看着学校食堂外卖的小程序,突然想到我还没打过它!回到寝室,开启我的BurpSuite打算愉快的抓一个包,然后看着我手机的移动网络愣住了。

BurpSuite想要抓包需要先设置代理和配置证书,然后BurpSuite才会作为中间人劫持流量。基本上网上所有关于BurpSuite抓取小程序包,要么用实机要么用模拟器,不过他们都是给Wifi上代理实现BurpSuite的抓包。但是因为我的校园网只有两个端口,其中一个还给学长用了,现在只有一个端口,意味着我无法两个设备同时使用Wifi。

就当我一筹莫展的时候,翻到了以前用的手机抓包工具Reqable。在配置好证书,设置VPN后就可以对手机进行流量抓包。不过我们这里要用到的是它的远程协同功能,这个功能可以实现在移动端开启抓包,连接远程Windows客户端后,将移动端的流量转发给Windows客户端。

那么现在我就可以手机开启移动热点;电脑连接热点;电脑开启Reqable客户端;手机开启远程协同连接,将抓取的流量转发给电脑客户端;电脑客户端设置二级代理,再将流量转发给BurpSuite。

实现流程

为了演示方便,我将手机内容投屏到电脑上进行查看。

Reqable 安卓移动端

安卓移动端官网: https://reqable.com/zh-CN/android

如果用的是IOS也可以去App Store下载。

下载完后,点击左上角,在出现的界面找到辅助服务

Reqable + BurpSuite无需Wifi代理攻击微信小程序

根据提示进行安装。安装后,打开辅助服务

Reqable + BurpSuite无需Wifi代理攻击微信小程序

回到Reqable,打开辅助服务

Reqable + BurpSuite无需Wifi代理攻击微信小程序

此时就可以抓HTTP的包了,不过因为没配置CA证书的原因,无法抓HTTPS的包。证书等会儿设置。

Reqable Windows端

Windows端官网: https://reqable.com/zh-CN/windows

下载安装后打开

Reqable + BurpSuite无需Wifi代理攻击微信小程序

点击上方的证书,在里面选择安装根证书到Android设备

Reqable + BurpSuite无需Wifi代理攻击微信小程序

点击进去,选择合适自己的方式,根据教程安装。

Reqable + BurpSuite无需Wifi代理攻击微信小程序

我这里是装的Magisk模块。将模块上传到手机,安装模块即可

Reqable + BurpSuite无需Wifi代理攻击微信小程序

Reqable 远程协同

Windows端点击上面的手机符号,选择和手机同一LAN下的IP,会生成一个二维码

Reqable + BurpSuite无需Wifi代理攻击微信小程序

移动端进去Reqable菜单,选择远程设备

Reqable + BurpSuite无需Wifi代理攻击微信小程序

点击进去,点击右上角的加号,点击扫描二维码,扫描Windows上的二维码,扫描成功后会添加设备

Reqable + BurpSuite无需Wifi代理攻击微信小程序

返回,可以在菜单里发现多了一个远程设备

Reqable + BurpSuite无需Wifi代理攻击微信小程序

点击进去,显示设备已连接即可。

Reqable + BurpSuite无需Wifi代理攻击微信小程序

此时就可以正常的抓包了,抓取的流量都会转发到电脑上

Reqable 二级代理BurpSuite

点击Windows客户端上方菜单栏的代理,找到二级代理即可设置代理。

Reqable + BurpSuite无需Wifi代理攻击微信小程序

不过此时由于手机没有配置BurpSuite的证书,所以是抓不了HTTPS流量的。

BurpSuite证书设置

这就老生常谈了,网上一堆教程。

在BurpSuite证书设置完成后,就可以用BurpSuite愉快的抓取手机流量了。

实战测试

抓包效果测试

手机点击右上角,可以选择要抓什么程序的数据包

Reqable + BurpSuite无需Wifi代理攻击微信小程序

点击进去,这里选择微信

Reqable + BurpSuite无需Wifi代理攻击微信小程序

返回,点击右下角开始抓包

Reqable + BurpSuite无需Wifi代理攻击微信小程序

看看效果

Reqable + BurpSuite无需Wifi代理攻击微信小程序

成功。

渗透测试

打开我们要测的小程序。观察BurpSuite

Reqable + BurpSuite无需Wifi代理攻击微信小程序

发现/api/miniapp下多个带有JSON格式的POST请求,发到Repeater测试。

Reqable + BurpSuite无需Wifi代理攻击微信小程序

存在报错型SQL注入,跑一遍sqlmap

Reqable + BurpSuite无需Wifi代理攻击微信小程序

成功爆出数据库。


原文始发于微信公众号(实战安全研究):Reqable + BurpSuite无需Wifi代理攻击微信小程序

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月13日13:31:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Reqable + BurpSuite无需Wifi代理攻击微信小程序https://cn-sec.com/archives/2950243.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息