本文使用的工具 DudeSuite(Dude Suite Web Security Tools)
https://github.com/x364e3ab6/DudeSuite
DudeSuite是一款轻量化集成化的Web渗透测试工具集程序,程序包含了多种常见的渗透测试场景适用的工具除经典的请求重放、请求爆破、漏洞验证、流量劫持、端口扫描、远程管理核心功能外不定时的更新常用的功能插件如:常见的编码解码、加密破解、网络空间资产搜索、域名爆破、JWT构造爆破、SQL注入等。可高效地对Web应用程序进行合规渗透测试及漏洞挖掘验证,复现Web应用中的安全隐患,排除信息信息系统潜在安全风险。适用于HW行动、红队大佬、渗透团队、安全评估测评机构等,当然也适合蓝队自查(能自查?要不去当红队吧)。目前支持桌面端Windows及MacOS。
本文重点介绍使用“流量劫持”功能对https及微信小程序的数据包的抓取及重放。先聊聊传统微信小程序调试手法,目前微信小程序调试手法还是挺多的,如:反编译审计代码、强开F12DevTools、Hook进程各种骚操作、当然最流行的还是BurpSuite+Proxy代理这种方式。总的来说条条大路通罗马姿势总不是千篇一律的,偶尔换换姿势也是可以学到很多东西。但是谁不想一键日卫星呢?来来来... 先看VCR:
大佬表示截个图不就行咯,当数据包出来的那一瞬间可以关视频了,毫无难度。
小白表示,嗯,这啥意思?WebAPI?和网站一样的?
对。就是和网站一样,直接复制请求进行改包重放,该注入注入、该上传上传、该遍历遍历,调试门槛直接拉低几个档次,再也不需要开几个工具各种设置、也不需要反编译组合参数、更不需要
原文始发于微信公众号(小艾搞安全):一键解锁攻防演练小程序渗透新姿势 | 红队小白不再被劝退
评论