本文重点介绍使用“流量劫持”功能对https及微信小程序的数据包的抓取及重放。先聊聊传统微信小程序调试手法,目前微信小程序调试手法还是挺多的,如:反编译审计代码、强开F12DevTools、Hook进程各种骚操作、当然最流行的还是BurpSuite+Proxy代理这种方式。总的来说条条大路通罗马姿势总不是千篇一律的,偶尔换换姿势也是可以学到很多东西。但是谁不想一键日卫星呢?解放双手呢!
更新日志(v1.2.0.1)
1. 新增“流量劫持”功能,win免配置一键劫持抓取指定或任意https加密流量(系统程序、小程序、公众号基于webapi加密通讯调试不再难)macOS需配置系统代理
2. 多项优化改进
安装说明
- Windows版本:支持win7及更高版本操作系统,解压即可使用,无组件依赖。
- macOS版本:支持macOS Sierra及更高版本操作系统,加载DMG镜像后直接将DudeSuite.app拖拽至应用程序目录(Applications、应用程序)即可
- macOS版本如出现“DudeSuite.app已损坏,无法打开”是因为程序没有苹果签名,解决方法控制台:
1.允许安装第三方来源APP:sudo spctl --master-disable
2.删除程序隔离属性:sudo xattr -r -d com.apple.quarantine /Applications/DudeSuite.app
下载地址:
https://github.com/x364e3ab6/DudeSuite
原文始发于微信公众号(锐鉴安全):【工具分享】解放双手的渗透工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论