1. Toy模板网首页
  2. > Toy博客

利用burp抓取app和小程序的http包

7月前 作者:dayouziei 分类:Toy博客 阅读(53) 违法举报

这篇具有很好参考价值的文章主要介绍了利用burp抓取app和小程序的http包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

为了开展C/S的渗透测试,主要是针对web的测试,需要截取客户端的访问流量,这里整理几种常见的抓取app和小程序包的方法

目录

一、proxifier + burpsuite 结合抓取

1、proxifier的安装

2、burp配置

3、配置Proxifier

4、抓取微信小程序的配置

二、手机模拟器 + burpsuite 结合抓取

三、手机 +  burpsuite 结合抓取

一、proxifier + burpsuite 结合抓取

1、proxifier的安装

下载proxifier(可免费试用一个月):https://www.proxifier.com/download/

注册机:GitHub - y9nhjy/Proxifier-Keygen: Proxifier注册机

2、burp配置

设置监听端口,测试不是在本机不要用环回地址127.0.0.1, 用可访问的网卡IP

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

3、配置Proxifier

首先配置Proxifier代理服务器,也就是Proxifer拦截到的流量转发到burp

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

设置代理规则,选中要拦截的app,设置目标IP和端口,默认Any

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

4、抓取微信小程序的配置

代理服务器配置同上,这里主要是代理规则的配置

微信小程序应用路径配置:随便打开一个小程序

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

然后打开任务管理器,如果不知道怎么打开就按 Ctrl+Alt+Del  或者 Ctrl + Shift+Esc选择任务管理器
在进程中找到WeChatAppEx,随便选一个鼠标右键,打开文件位置

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

在 Proxifier 中,“Resolve hostname through proxy” 功能用于控制域名解析(DNS 解析)过程。默认情况下,应用程序在进行网络连接时会首先解析主机名或域名为 IP 地址,然后建立连接。在普通情况下,DNS 解析会通过本地 DNS 服务器进行,这意味着 DNS 请求可能不会经过代理服务器。

  1. 隐私和安全:通过代理服务器传输 DNS 请求可以保护用户的隐私,因为本地 DNS 服务器不会记录请求。

  2. 绕过地区限制:一些地区可能会限制访问特定域名的 DNS 解析。如果通过代理服务器进行 DNS 请求,就可以绕过这些限制。

  3. 统一流量管理:当 DNS 请求和其他网络流量都通过代理进行传输时,可以实现统一的流量管理和控制。

启用 "Resolve hostname through proxy" 功能可以确保所有网络流量,包括 DNS 请求,都通过代理进行传输,从而提高隐私和安全性

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

Proxifier 的高级功能之一是 "Handle Direct Connections",这个功能的作用是处理应用程序直接连接到互联网的情况。这是一个非常重要的功能,因为它允许用户决定哪些网络流量应该通过代理传输,哪些应该直接通过互联网连接。

这个功能有几个关键作用:

  1. 控制直接连接:用户可以选择允许或阻止应用程序直接连接到互联网。通过 Proxifier 配置,用户可以设置规则来决定哪些应用程序或进程的流量必须通过代理传输,哪些可以直接连接。

  2. 网络隔离和管理:通过控制直接连接,用户可以确保特定应用程序或进程的网络流量始终通过代理传输。这可以提高安全性和隐私,特别是对于一些需要严格控制流量的网络环境。

  3. 防止绕过代理:一些应用程序可能尝试绕过代理直接连接到互联网,通过启用 "Handle Direct Connections" 功能,用户可以确保所有流量都按照配置的规则进行处理。

  4. 灵活配置:用户可以根据需要自定义规则,决定哪些连接可以直接进行,哪些需要通过代理。这提供了很大的灵活性和控制能力。

通过使用 "Handle Direct Connections" 功能,用户可以更好地管理和控制网络流量,确保代理配置的有效性,避免应用程序绕过代理直接连接到互联网。

二、手机模拟器 + burpsuite 结合抓取

测试环境:夜神模拟器(安卓7.1  32bit 环境)

首先设置模拟器的无线代理

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

配置好,浏览器打开http://burp 下载证书

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

打开设置--安全--从SD卡安装证书,选中刚刚保存的证书,根据提示安装即可

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

三、手机 +  burpsuite 结合抓取

1、安卓手机的配置同上述一致,让手机和pc处于同一局域网即可

2、针对苹果手机,通过上述步骤配置无线代理后,下载到证书,需要管理证书

首先打开设置->通用->关于本机->描述文件

在里面配置好下载的证书

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包

然后在关于本机->证书信任设置里面开启信任

burp抓手机端微信小程序,渗透,网络,burp代理,小程序抓包,app抓包文章来源地址https://www.toymoban.com/news/detail-856065.html

到了这里,关于利用burp抓取app和小程序的http包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Fiddler利用Edxposed框架+TrustMeAlready来突破SSL pinning抓取手机APP数据

    Fiddler利用Edxposed框架+TrustMeAlready来突破SSL pinning抓取手机APP数据

    在使用 fiddler 做代理抓取应用数据包时,如果要抓取到 HTTPS数据,需要将fiddler证书导入到浏览器或手机。 浏览器或手机设置好fiddler的代理地址,即可抓取到https 数据包。 如果 APP 应用采用证书锁定后,将无法抓取到 https 数据,因为此时 APP 应用校验证书不通过,通常APP应用

    2024年01月16日
    浏览(43)
  • 如何用burp抓取手机模拟器的包

    如何用burp抓取手机模拟器的包

    没营养,可以直接看正文,前两天试了一下软考中级信息安全工程师,感觉废了,下午让我手写防火墙命令,我是没有想到,害,怎么说呢,给我的感受就是考试环境很优美,试卷印刷很好看,监考老师很和蔼,明年还会再次光临的。 上次简单的写了一下burp的原理,有兴趣

    2024年02月11日
    浏览(49)
  • Burp Suite抓包工具配置代理手机抓取数据包

    Burp Suite抓包工具配置代理手机抓取数据包

    工作中很多手机上的问题因为环境差异导致无法在pc设备上完整的模拟真实物理手机,因此需要方法能抓取到手机设备上所有数据包发送详情。发现了这个好用的数据包抓取工具Burp Suite。 一.配置流程: 1.在Burp Suite官网下载通用ca(我安装的chrome),导入到软件中 https://portswigge

    2024年02月12日
    浏览(34)
  • 微信新旧手机聊天数据备份迁移&pc端微信数据备份迁移至手机

    微信新旧手机聊天数据备份迁移&pc端微信数据备份迁移至手机

    我相信,微信这个app已经深入大家的工作生活了,微信的数据日积月累肯定是相当大的,而我们的电子产品(手机)的更新迭代相当频繁,新的手机如何将旧手机的微信数据迁移过来呢?阅读这篇博文,你将深入了解2种迁移方案,以后妈妈再也不怕我新手机没有微信聊天数据

    2024年04月15日
    浏览(40)
  • uniapp分享微信提示由于不支持的分享类型无法分享到微信,App分享为微信小程序方法,由于不支持的分享类型无法分享到微信,由于应用和小程序未绑定在同意微信开放平台账号,无法分享到微信.

    uniapp分享微信提示由于不支持的分享类型无法分享到微信,App分享为微信小程序方法,由于不支持的分享类型无法分享到微信,由于应用和小程序未绑定在同意微信开放平台账号,无法分享到微信.

    在使用uniapp开发App分享微信,提示 由于不支持的分享类型无法分享到微信 ,就很苦恼,明明已经按照文档,该配置的都配置了,结果兴致勃勃的分享一下,结果提示一个这种错误,记录一下解决方案。 配置关联小程序 登录微信开放平台 https://open.weixin.qq.com/ 点击直达 在 管

    2024年02月09日
    浏览(76)
  • 利用appium抓取app中的信息

    利用appium抓取app中的信息

    2024年02月14日
    浏览(36)
  • Fiddler抓取手机app包

    Fiddler抓取手机app包

    大前提:手机和Fiddler所在的主机在同一网段,且能够互相访问 点击即可下载 进入网页后填写邮箱、选择国家以及选择用途即可下载 打开软件后,点击Tools - Options进行配置。配置内容如下。from remote clients only是只抓远程包,不抓取本机的包,也就是手机app的包。 做如下配置

    2024年02月11日
    浏览(58)
  • app授权和小程序授权

    app授权和小程序授权

    (1)小程序端调用 wx.login方法获取用户登录凭证code,将code发送给小程序后台服务器;服务器调用登录凭证校验接口(需要传参appid+appsecret+code),进而换取用户登录态信息,包括用户的唯一标识(openid)及本次登录的会话密钥(session_key)等,将这些信息存入缓存中。 (2)点

    2024年03月18日
    浏览(39)
  • 使用Jmeter抓取手机APP报文并进行APP接口测试

    使用Jmeter抓取手机APP报文并进行APP接口测试

    Jmeter是一个比较常用的接口测试工具,尤其是接口性能测试。当然它也可以用来测试手机APP的HTTP接口,我在Fiddler抓取手机APP报文 和 接口测试代理工具charles mock测试 分别介绍了Fiddler和charles 如何抓取APP报文,本文介绍使用Jmeter来抓取APP报文以及进行手机APP接口测试。 使用

    2024年02月02日
    浏览(46)
  • fiddler抓包pc端微信小程序

    fiddler抓包pc端微信小程序

    首先对fiddler设置: 点击tools中的options 这里出现的证书弹窗全部同意就行。 下面的端口可以自行修改。 然后fiddle设置好了之后,登录微信。 在电脑上登录微信之前,将网络代理开启设置127.0.0.1,端口号8888. 然后就可以抓包了。 如果不能抓到的话: 将下面这个打开试试。 出

    2024年02月08日
    浏览(80)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包