2023年最新微信小程序抓包教程

这篇具有很好参考价值的文章主要介绍了2023年最新微信小程序抓包教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

01
开门见山

隔一个月发一篇文章,不过分。

首先回顾一下《微信绑定手机号数据库被脱库事件》,我也是第一时间得知了这个消息,然后跟踪了整件事情的经过。下面是这起事件的相关截图以及近日流出的一万条数据样本:

2023年最新微信小程序抓包教程

个人认为这件事也没什么,还不如关注一下之前45亿快递数据查询渠道疑似在近日复活的消息。

2023年最新微信小程序抓包教程

消息是这么传的,真假尚未确定,因为笔者不会冒着查询个人信息意味着账号和个人信息绑定的风险去测试是否为真,但是可以知道的是之前的查询渠道叫“星链”,现在叫做星盾。

2023年最新微信小程序抓包教程

为什么要提起这两件事情,因为我要写的微信小程序抓包教程与第一个事件是有关联的,也可以说是受“旁击侧敲”的启发。从事件发生起,某圈子就迅速流行起了“如何获得某一微信账号的wxid”的问题,并且也有人迅速的给出了思路,方法也很简单,我这里简单复现一遍:

 文章来源地址https://www.toymoban.com/news/detail-419080.html

特别说明: 本次的思路仅限iOS系统(苹果系统)

1.苹果应用商店安装“Stream”软件:

2023年最新微信小程序抓包教程

2.配置代理,安装证书。 内置教程,此处省略。

2023年最新微信小程序抓包教程

3.开始抓包。 (为了方便我用iPad测试)

2023年最新微信小程序抓包教程

4.群里找一个目标,点头像,右上角投诉。

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

任意选一个投诉理由,注意,不是真的投诉,只要获取加载的数据包即可。最后一步的时候不用提交,返回工具页面,点击上传流量查看数据包。

2023年最新微信小程序抓包教程

选择“按域名”查看数据。 一般举报功能都是请求weixin110这个子域。

2023年最新微信小程序抓包教程

选择红框中的POST请求,exposeh5cgi为标识符。

2023年最新微信小程序抓包教程

选择“请求”模块,查看请求的数据包。

2023年最新微信小程序抓包教程

然后下滑点击查看请求主体。

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

箭头处的realChatUser就是“被投诉用户”的wxid了。获得wxid后意味着即使在不知道对方微信名的情况下,也能反查到该用户的手机号码。

 

这也就是我今天要分享的抓包思路,同理,微信小程序也是可以的。我应该不是第一个知道的,但是在真正实战的时候还需要注意一些细节,我等会文章结尾再讲。因为可能有人要反驳我了,微信小程序抓包的思路不是很多吗。确实,你说得对,毫不夸张的说,你懂的思路我都懂,但是问题在于很多思路都容易失效,在这里我列出一些基本思路。

 

第一种:使用Burpsuite配合模拟器抓包

众所周知,Burpsuite是渗透测试必备的抓包工具,对于微信小程序抓包应该也是得心应手的,可以通过在模拟器配置证书进行抓包。

2023年最新微信小程序抓包教程

起初这个思路人人皆知,但是后来微信修改了规则,方法已经失效了,并且前几个月有消息说微信好像禁止在模拟器登录,检测会警告封号处理,消息是否真实仍未证实。当然了,比较专业的同学可以安装类似于“Xposed框架”使得模拟器变得更强大,或者说能够绕过微信检测机制?

 

第二种:使用Fiddler配合微信PC端抓包

Fiddler也是一个强大的抓包工具,或者说是数据包分析工具,可以调试你脑中的HTTP流量。

2023年最新微信小程序抓包教程

有些Burpsuite不能做的事情,它可以,我个人用得比较少。Fiddler不管是对于微信PC端还是模拟器都适用,不过这个思路好像从去年的11月左右就已经失效,具体没有证实。

 

第三种:使用Charles配合微信PC端抓包

根据官网的介绍,Charles是一款HTTP代理兼HTTP监视器工具,主要适用于Web浏览器。

2023年最新微信小程序抓包教程

Charles俗称“花瓶”,应该说是安全圈里一个“后来居上”的抓包工具吧,平时笔者也用得多,因为这款工具能够抓到某些“特殊”的数据包,比如JavaScript触发的数据包? 我也不知道怎么形容。

2023年最新微信小程序抓包教程

图片来源: https://blog.csdn.net/pengxurui

需要补充一下,以上三种思路也可以配合在苹果手机设置“网络代理”,实现用“电脑工具”抓取手机的数据包,具体来说也能实现抓取“微信小程序”或“手机QQ”的一些数据包。这个思路是笔者亲测过的,但是目前是否仍有效就不清楚了。

 

第四种:使用Httpcanary配合安卓端抓包

除了以上三(四)种思路,应该还有安卓系统使用 HttpCanary (小黄鸟) 抓取数据包的思路。

2023年最新微信小程序抓包教程

小黄鸟算得上是安卓系统最强大的抓包工具了,至少我认为地位如同安卓早期破解圈中的“幸运破̆̈解̆̈器̆̈”,不过人家靠的不是“运气”,而是“实力”。比如能够修改数据包中的数据实现“破解软件的VIP限制”或“无限签到”。

2023年最新微信小程序抓包教程

图片来源: https://blog.csdn.net/weixin_53891182

该思路同样也能配合安卓模拟器进行抓包,笔者亲测有效,目前是否依然有效也不清楚。对于能否抓取安卓系统微信小程序的数据没有经过实验。 文章中所提到的安卓系统和安卓模拟器需要区分一下。

 

其实抓取微信小程序数据包的思路大同小异,微信小程序大多数都是内嵌网站,部分开发者以为有微信这个“保护伞”就万事大吉,实际上保证足够安全还需“自扫门前雪。” 不管是企业还是国内高校,正因为小程序的安全容易被忽视,所以在渗透测试中,小程序往往成为了一个重要的被攻击目标。

 

02
言归正传

言归正传,补充一些前文提到的细节。用“Stream”抓取微信小程序的数据包时,经过测试,开启抓包之后,打开部分小程序时会卡在加载页面,这时候关闭抓包,重新打开小程序,等页面加载完成后再开启抓包即可。

 

下面用“肯德基”微信小程序来实战测试: 

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

2023年最新微信小程序抓包教程

这时候藤椒风味劲爆大鸡米花就一览无余了,不对,应该是肯德基的CRM客户系统。

 

一份神秘代码,帮我破解一下可以吗?

 

⣀⣆⣰⣒⣒⡀⢀⠔⠠⠤⡦⠤⠄⢴⠤⠤⠤⢴⠄

⢰⣒⣒⣒⣲⠄⠠⡎⠸⠽⠽⠽⠄⠼⡭⠭⠭⡽⠄

⢸⠒⠒⢒⣺⠄⠄⡇⡍⣝⣩⢫⠄⣊⣒⣺⣒⣊⡂

⢠⠤⠴⠤⠤⠄⢐⢔⠐⠒⡖⠒⠄

⣹⢸⢍⢉⢽⠄⢀⢼⠠⠤⡧⠤⠄

⡜⡸⠔⠑⠜⡄⠠⡸⢀⣀⣇⣀⠄

⢰⣒⣒⣒⣲⠄⠠⡦⢴⠄⡖⢲⠄⡖⢲⠒⢲⠒⡆

⢸⣒⣲⣒⣚⠄⠄⡯⢽⠄⣏⣹⠄⡇⡸⠄⢸⣀⡇

⣑⣒⣺⣒⣒⡀⢈⠍⠩⣡⠃⣸⠄⣏⣀⣀⣀⣀⡇

⡄   ⡄⠐⢲⠒⠄⡆⠢⠄⡤⠤⠄⢀⠤⢄

⢱⢰⠁⠈⢹⣉⠉⡏⡍⠄⠗⠒⡄⢸    ⢸

  ⠇   ⠈⣹⢀⡠⠺⡰⠄⠢⠤⠃⠘.. .⠜

 

到了这里,关于2023年最新微信小程序抓包教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 抓包微信小程序openid的教程

    windows 电脑 1、下载安装Charles,官网版有30天试用。地址:https://www.charlesproxy.com/download/ 或者自行找方法安装该软件即可。 2、打开Charles软件,同时打开微信电脑版并登录。 3、设置 Charles 开启https抓包。点击Proxy - SSL Proxying Settings 在弹出的窗口中,在左侧的 include 中添加 * :

    2024年02月10日
    浏览(60)
  • 微信小程序Burp+Proxifter抓包详细教程

    在日常渗透工作中,有时需要对 微信小程序进行抓包 渗透。最近在群里跟各位大佬技术交流的时候发现很多人还不会小程序抓包,在网上搜的教程都零零散散,还遇见很多坑,这次我就来一个教程,把常常遇见的 坑 都给大家填上。(在群里也帮好多大佬解决了一些问题)。

    2024年02月05日
    浏览(37)
  • 2023最新使用微信小程序完成一键授权登录

    前言: 使用开发工具:小程序。在我这一篇已经详细介绍了小程序的安装介绍今天我给大家带来的是微信的一键授权登录,保存用户信息,退出的功能!!!希望看完了这篇博客能够对你有帮助!!! 效果: 登录获取到用户信息: 思路 :点击按钮获取到用户信息(调用方

    2024年02月08日
    浏览(74)
  • 【抓包教程】微信小程序精准流量抓包教程(超详细 保姆级教程 BP安装证书手把手教)

    1.打开浏览器,右上角打开设置。搜索代理 我们点击最后一个,打开计算机的代理设置。自动跳转到设置界面。 按照如下图配置 这里的地址和端口要和我们BP中的一致,我们需要打开bp看看。 这里配置相同后,我们打开浏览器,输入以下内容,下载证书 点击右上角,会自动下

    2024年02月21日
    浏览(52)
  • 【2023最新】微信小程序中微信授权登录功能和退出登录功能实现讲解

    教学视频地址: 视频地址 大家要跟着我的教学视频去配套着看代码,了解整个登录流程的实现思路最重要! 以上是我列出的 主要实现代码 , 页面样式那些根据自己需求去实现 ,我这就不贴了。

    2024年02月08日
    浏览(61)
  • 微信小程序导入Vant Weapp ui组件库2023年最新版

    写这篇文章的原因是Vant Weapp的官方文档快速上手是有一定的问题的,没错,我就是那个试错的人,弄了一下午才发现问题所在,所以写了一篇正确的导入教程。 第一步:在项目所在目录打开控制台 第二步:查看自己电脑npm的版本,如果有会有版本号显示,没有则需要去下载

    2024年02月09日
    浏览(56)
  • 微信小程序 - 2023 年最新授权获取用户手机号详细教程,完美解决 getPhoneNumber 获取不到 code 的问题(老项目使用手机号快速验证组件,打印授权后没有code字段,拿不到cod)

    由于官方修改了 “获取用户手机号” 规则,导致网上几乎所有教程全部失效,本文来做最新详细教程。 2023年8月往后(官方废弃了原来 “免费” 获取用户手机号的相关方法 API,导致了大量小程序原获取手机号的方式失效报错),本文是最新微信小程序 “收费” 获取用户手

    2024年02月17日
    浏览(106)
  • 《吐血整理》高级系列教程-吃透Fiddler抓包教程-Fiddler如何抓取微信小程序的包

    1.简介 有些小伙伴或者是童鞋们说小程序抓不到包,该怎么办了???其实苹果手机如果按照宏哥前边的抓取APP包的设置方式设置好了,应该可以轻松就抓到包了。那么安卓手机小程序就比较困难,不是那么友好了。所以今天宏哥重点说一下安卓手机小程序抓包。 2.前言 首先

    2024年02月12日
    浏览(52)
  • 《吐血整理》高级系列教程-吃透Fiddler抓包教程(34)-Fiddler如何抓取微信小程序的包-上篇

    有些小伙伴或者是童鞋们说小程序抓不到包,该怎么办了???其实苹果手机如果按照宏哥前边的抓取APP包的设置方式设置好了,应该可以轻松就抓到包了。那么安卓手机小程序就比较困难,不是那么友好了。所以今天宏哥重点说一下安卓手机小程序抓包。 首先看下是否满足

    2024年02月04日
    浏览(57)
  • 2023年最新微信小程序获取用户openid、头像昵称的填写能力和方法原生写法

    大家好,下面是我身为小白分享给小白哈, 不懂就问相互学习共同进步! 亲测自用原生代码,感谢大神指点赐教鼓励勿喷; 只需9个一键复制粘贴步骤一气呵成; 先来 本文最终主要实现效果 : 获取微信小程序用户头像昵称的填写能力和方法原生写法 一:先捋一捋思路逻辑

    2024年02月08日
    浏览(84)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包