文章目录
前言
因为微信小程序基本都是基于HTTPS的,所以抓取HTTPS数据包就是最关键的一步,通过自身实践,推荐使用Proxifier+Burp的方式进行抓包。
一、Proxifier介绍
Proxifier是一款代理客户端软件,可以让不支持代理服务器工作的程序变的可行。支持各种操作系统和各代理协议,它的运行模式可以指定端口,指定程序的特点。
二、下载及安装
官网下载: http://proxifier.com/download/
Github: https://github.com/topics/proxifier
按步骤安装即可!
三、使用配置
打开Proxifier->配置文件->代理服务器
在代理服务器,选择添加,将服务器地址和端口设为127.0.0.1,8080(这里与Burp代理设置同样即可),协议选择HTTPS,点击检测,然后确认。
在微信PC端打开任意小程序,在任务管理器进程中就可以看到运行了一个WeChatAppEx
该应用所在位置
C:\Users\Administrator\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\RadiumWMPF\6545\extracted\runtime
在Proxifier配置文件->找到代理规则,选择添加,输入名称(这里直接使用小程序名称),应用程序选择浏览,通过路径找到WeChatAppEx并确认,动作设置为我们刚刚的HTTPS代理。
这个时候我们基本都设置完成了,接下来进行抓包验证。
Proxifier可以看到代理流量,Burp中可以看到数据包
接下来就可以继续对微信小程序进行渗透测试啦!!!