文章目录

  • 前言
  • 一、工具准备及相关设置
  • 二、burp抓包演示
  • 三、扩展操作
  • 四、小结

前言

由于在工作中涉及了微信小程序的渗透测试,参考了一些文章,感觉代理的设置大都太麻烦,甚至还有人用模拟器或者手机登陆微信再抓内网IP的数据包,按照app渗透测试的思路来抓取本在电脑上就能直接运行的应用程序的数据包,实在是没必要。因此自己鼓捣了一种简单的抓包方法,直接用proxifier工具来抓指定进程的数据包,转发给burp就可以了。

一、工具准备及相关设置

我本人用的是proxifier汉化版,可以直接从百度去找,也可以点击下方链接下载:
https://pan.baidu.com/s/1Kf5IVDAgVmCgsXU9rRlJXw?pwd=fsuj
提取码:fsuj
工具下载好以后直接傻瓜式安装即可,然后双击运行,顺利的话会见到如下界面:

依次点击菜单栏中的配置文件->代理服务器->添加

填写内容如下,其中端口应与burp的监听端口一致:

这里协议注意选https,我们只要抓https协议相关的数据包(包含了http),而socks5包含了其他协议的内容,burp不能处理,因此这里不能选socks5
接着在主界面点击配置文件->代理规则->添加,然后设置内容如下:

注:WeChatAppEx.exeWechatBrowser.exe分别是微信小程序和公众号通用的进程。
之后将小程序前面的复选框打钩:

二、burp抓包演示

现在我分别找个公众号和小程序演示。例如最近比较火的羊了个羊小程序:

江南雨上公众号:

三、扩展操作

大型企业经常会规定禁止内外网互联,因此如果连了公司网线,再连自己的热点就属于典型的内外网互联,而如果连公司的wifi,则因为连接人数太多往往很卡。幸好我所在的公司提供了内网代理服务器,连接上以后就可以上网了。下面分享通过proxifier工具开启全局代理的方法:
按照如下图所示进行设置:

这里的IP应为内网中代理服务器的地址和端口,这里我们公司提供的是192.168.25.25:6666,你们可根据自己实际情况修改。注意添加用户名和密码,因为内网代理服务器一般需要验证用户身份。当然不添加的话,也可以,只是后面肯会有弹窗要求填写账户密码进行身份验证。
然后在代理规则中设置如下:

这样就可以把全局所有未额外设置代理的进程流量全部导入代理服务器了。可能有人会问,这个时候假设打开了谷歌浏览器,访问了一个站点,想要用burp抓它的数据包,该怎么办呢?这个时候要注意,不要在浏览器里设置代理,直接在proxifier工具的代理规则添加一条规则如下:

检查该规则是否已启用:

这样的话,小程序、公众号和谷歌浏览器的流量就会被导入到本地的127.0.0.18080端口,就可以使用burp去拦截数据包,而burp的出口走的是代理服务器的ip和端口,因此并不影响它们访问外网,这样就实现了在内网环境下设置全局代理和burp拦截数据包两不误了。
同样的方法可以拦截到各种指定进程的数据包,比如拦截御剑工具的数据包,看看它在爆破的时候都发了些什么请求:

四、小结

本文主要分享了使用proxifier工具进行代理设置拦截微信小程序和公众号数据包的方法,同时扩展了其他进程数据包的拦截方法,若是本文对读者学习相关的技术起到了一定的参考意义,望能给本文点个赞,谢谢!

weixin小程序和公众号抓包方法分享相关推荐

  1. burp直接抓取windows微信小程序与公众号数据包

    做了个视频,懒得打字了,直接看视频吧 https://www.bilibili.com/video/av79384091/

  2. 服务器和微信公众号的区别,微信小程序和公众号的区别,看这三点就懂了

    原标题:微信小程序和公众号的区别,看这三点就懂了 第一点就是定位不同,小程序主要用来面向产品和服务,而公众号则是用于销售和传递信息.小程序在功能上和公众号有本质的区别(不支持关注,没有粉丝体系.消息推 ...

  3. 小程序关注公众号组件

    小程序关联公众号组件 使用方法 使用组件前,需前往小程序后台,在"设置"->"接口设置"->"公众号关注组件"中设置要展示的公众 ...

  4. 利用二维码实现小程序或公众号推广功能

    利用二维码推广小程序或者公众号,比如A分享给B.C等多人,别人扫码后,给A增加一定积分,思路如下: 链接可以做成: http://www.tianyutaoquan.com?uid=123  ,然后把 ...

  5. fiddler使用教程+抓包实践+filder抓包APP+HTTPS,PC微信小程序公众号抓包笔记,fidder插件

    fiddler使用教程+抓包实践+filder抓包APP+HTTPS,PC微信小程序公众号抓包笔记,fidder插件 fiddler使用教程 界面 File->captur traffic 开启 ...

  6. 微信小程序的测试方法,抓包,模拟

    微信小程序的测试,抓包,模拟 不仅仅只是测试同学需要完整的对我们的程序进行测试,同时也需要我们的开发同学对如何进行微信小程序的测试有一定的了解,接下来,我们来对一些特殊场景的微信小程序进行测试. 目录 ...

  7. tp5 微信小程序 实现公众号模板推送(同一主体)

    小程序与公众号同一主体 微信小程序用户已关注公众号 /*** 模板消息 发送* @param $touser* @param $arr*/public function send_temp($open ...

  8. 浅析微信支付:微信支付简单介绍(小程序、公众号、App、H5)

    本文是[浅析微信支付]系列文章的第二篇,主要讲解一下普通商户接入的支付方式以及其中的不同之处. 上篇文章讲了本系列的大纲,没有看过的朋友们可以看一下. 浅析微信支付:前篇大纲 微信支付是集成在微信客户 ...

  9. 小程序内嵌H5、H5回跳至小程序、小程序打开公众号中的文章

    一.小程序内嵌H5 1.前期准备:在微信公众平台小程序开发  -->  开发管理  -->   开发设置中配置业务域名. 2.语句: <web-view src="&quo ...

最新文章

  1. 好雨云帮近期问答集锦(1.16~2.5)
  2. python安装库-python 安装库
  3. Nodejs--url模块
  4. 微信小程序外卖增长402%,茶饮下单最活跃
  5. websocket导致spring boot 项目单元测试启动失败的问题解决
  6. mybatis表关联彻底理解
  7. java基础工具VisualVM介绍与详细使用
  8. “Null 是价值十亿美元的错误!”
  9. 数据挖掘导论 第五章 重点习题解答
  10. css 魔方,css 3d旋转魔方
  11. matlab风应力工具包,MSATSI:结合可靠经典方法的新简化用户处理及可视化工具的应力反演MATLAB软件包.pdf...
  12. 5分钟带你了解Prosody XMPP Server
  13. Django~1 一 什么是web框架?
  14. 学习Linux有哪些工作方向?
  15. 火狐、chrome浏览器过滤网页广告设置过程
  16. Android Studio制作简易微信界面
  17. 31省消费水平--聚类分析
  18. 基于 SIMULINK 平面五杆机构运动学仿真
  19. 电脑怎么录屏?推荐2款录制电脑屏幕的软件!
  20. 一个 IDB 中的多个文件

热门文章

  1. k8s.io/client-go@v0.20.2/tools/cache/reflector.go:167: Failed to watch *v1beta1.Ingress: failed to l
  2. Directional库的学习记录
  3. unity中的渲染优化技术
  4. CSS字体、行高等其他样式
  5. suse 15破解root密码
  6. 【测试】bug的生命周期和组成部分
  7. 网站面包屑导航对SEO优化重要性
  8. 读书笔记-大颠狂(非同寻常的大众幻想与群众性癫狂)
  9. 知学云Classcool 教育产品分析报告
  10. 基因表达半衰期 | mRNA Half-Life