1. 环境准备

• macos intel
• 微信 Version. 3.8.9 (28564)
• proxifier V3.12
• burpsuite pro

2. 环境配置

2.1 坑点

在去年的7月的时候，其实我在文章里面介绍过几种抓微信小程序的方法，在文章里面我也介绍了使用proxifier和burpsuite抓包的方法（因为我环境配置错了，菜），但是因为我配置有问题，导致抓包不顺利。（菜）

当时确实是我的本地环境有问题：

前一段时间，学习其他的师傅发了很多关于这个的文章，但是到我这里，果然不出所料，我还是抓不到包。。。

其实在这个代理链流程里面，其实很简单了：

小程序的流量被proxifier转发给burpsuite，burpsuite再将流量转到外面，其实就是上面文章里面师傅画的拓扑图。

但是问题就出在burpsuite将流量转到外面这个过程上，我测试的过程中发现burpsuite收到从proxifier转发过来的流量之后，没有返回包，经过测试才发现，如果你有隧道类工具的话，记得关闭你的系统代理功能：

2.2 环境简单配置

直接按照这个师傅文章里面的配置就行了：

https://mp.weixin.qq.com/s/xaqlShbuCdwani10BJ8dIQ

burpsuite：

proxifier：

至此，环境准备工作就结束了了。

3. 小程序简单抓包实战

前段时间，小*书某博主在推一个租房的小程序，经过其授权同意后，对其进行简单的漏洞挖掘：

这个小程序的逻辑如下：

• 求租客可以免费发布租房需求，可以留下电话号码给房东联系，请注意，这个号码不会对外展示
• 房东需要注册认证，认证通过之后，就可以查看求租客的需求，如果有需要的话，可以通过求租客留下的电话联系求租客
• 房东获取电话这一步是需要收费的，有次数限制

3.1 小程序反编译

直接在mac的文件夹下获取到小程序的文件，然后直接进行反编译即可：

至于反编译的过程，可以看我以前的文章，也可以从网上找一下教程，教程满天飞，非常多。

3.2 简单漏洞1—小程序地图ak泄露

这个ak泄露甚至都不算是漏洞，在小程序案例里面太多太多了，大部分src甚至都不收。

定位ak泄露，分别在小程序源码和url中泄露：

随意修改坐标：

3.3 简单漏洞2-任意文件上传漏洞

通过反编译的源码存在文件文件上传的点：

burpsuite抓包看下：

但是在这里面对文件做了限制，应该是非图片类文件，无法解析的话，直接让你下载下来了：

但是突然想起来这后端是一个java部署的，修改为jsp试试看：

至此证明，该小程序存在任意文件上传漏洞。

3.4 简单漏洞3-求租客敏感信息泄露

在小程序的逻辑里面，房东是需要认证通过之后，通过充值获取求租客电话的：

但是通过直接抓包求租客模块，可获取到求租客的电话信息：

提取url地址：

通过遍历url的id值，即可获取到所有用户的电话号码：