一、前言在日常安全测试、接口调试、漏洞挖掘过程中微信小程序抓包是非常常见的需求。由于微信开发者工具、小程序客户端默认不会直接走系统代理因此仅使用 Burp Suite 往往无法成功抓包。这时候就需要Burp Suite负责拦截、修改、重放数据包懂的都懂Proxifier可以使不支持代理服务器的程序通过 SOCKS 或 HTTP 代理进行连接即强制指定程序走代理的工具微信开发者工具 / PC微信实现小程序请求 → Proxifier转发 → Burp Suite代理 → 成功抓包本篇文章将从原理环境配置代理设置HTTPS证书常见问题实战技巧完整讲解。二、抓包原理正常情况下微信小程序 → 直接联网 → 服务器Burp 无法截获。而通过 Proxifier 后微信小程序 ↓ Proxifier 强制代理 ↓ 127.0.0.1:8080 ↓ Burp Suite ↓ 目标服务器因此所有流量都会经过 Burp可以查看请求修改参数重放数据包测试接口漏洞三、环境准备1. 所需软件Burp Suite这个软件没啥好说的。官网下载路径PortSwigger Burp Suite当然走业内各位前辈和安全界的大佬们分享的盘里下载或许更为方便。ProxifierProxifier 是一款 Windows/macOS 平台的全局代理 / 流量转发工具核心作用是让本身不支持代理的软件强制走代理并能按程序、域名、端口做精细化分流。官网下载Proxifier Official Website下载好后是当然我这里下载的是汉化版的。链接是https://www.cckyedu.com/software/13717.html当然下载汉化版的风险需要自己承担毕竟是二开的软件。建议是走正版的渠道。笔者的分享两种版本都会介绍。微信开发者工具其实没必要下载这个严谨的话可以用但是推荐跳过官网下载微信开发者工具反正笔者没下载。四、配置 Burp Suite1. 打开代理监听进入Proxy → Options确认127.0.0.1:8080 Running如果没有点击Add添加Bind to port: 8080 Bind to address: 127.0.0.12. 关闭拦截建议否则请求会卡住。进入Proxy → Intercept点击Intercept is off五、配置 Proxifier1. 添加代理服务器打开 ProxifierProfile → Proxy Servers汉化版就是配置文件打开代理服务器。点击Add填写Address: 127.0.0.1也可以填自己的wifi地址或者IP池服务器 Port: 8080与BP对应 Protocol: HTTPSipconfig后无线局域网适配器 WLAN是接wifi的IP地址。如果接的是网线的话是以太网适配器 以太网 2。这里笔者没接网线。点击Check这里已经开始了。如果显示Proxy is ready to work说明成功。2. 添加代理规则进入Profile → Proxification Rules第二个这个Localhost是要取消勾选的。点击Add写上WeChatAppEx.exe;WechatBrowser.exe再改动作默认规则还要选Direct。Rule Name这里可以跳过因为这里的步骤前面已经放进去了这里只是告诉读者是怎么找的。WeChat或者WeixinApplications选择WeChatAppEx.exe或者微信开发者工具.exeAction选择Proxy HTTPS 127.0.0.1保存。就是刚刚那个新建步骤这里发现已经抓到包了。六、安装 Burp HTTPS 证书否则 HTTPS 会失败。1. 下载证书浏览器访问http://burp点击CA Certificate下载cacert.der2. Windows 导入证书双击证书安装证书选择本地计算机然后将所有的证书放入下列存储选择受信任的根证书颁发机构完成导入。七、开始抓包1. 打开微信开发者工具运行小程序。2. 查看 Burp进入Proxy → HTTP history即可看到GET请求POST请求JSON数据CookieTokenHeader八、修改请求实战1. 发送到 Repeater右键请求Send to Repeater2. 修改参数例如原请求{uid:1001}修改{uid:1002}观察是否越权是否存在IDOR是否未授权访问九、常见问题1. 无法抓到包原因Proxifier规则没生效程序没走代理代理地址错误解决127.0.0.1:8080重新检查。2. HTTPS失败原因没安装Burp证书解决重新导入cacert.der3. 小程序提示网络错误可能原因Burp开启了拦截TLS握手失败证书问题建议Intercept Off4. 微信开发者工具无法联网进入设置 → 代理关闭不使用系统代理十、实战技巧1. 配合插件推荐AutorizeJSON BeautifierLogger2. 自动替换请求进入Proxy → Options → Match and Replace可以替换Token替换UA自动加Header3. 批量测试接口配合IntruderTurbo Intruder测试爆破越权参数遍历十一、安全测试重点微信小程序常见漏洞漏洞类型说明越权访问修改uid读取他人数据未授权接口无token即可访问JWT伪造token校验不严参数污染多参数绕过文件上传任意文件上传SQL注入后端过滤不严SSRF图片下载接口信息泄露返回调试信息十二、总结通过Burp SuiteProxifierHTTPS证书即可实现✅ 微信小程序抓包✅ HTTPS解密✅ 请求修改✅ 接口调试✅ 安全测试这是进行渗透测试小程序审计API分析漏洞挖掘的基础技能之一。十三、免责声明本文仅用于合法授权测试安全研究学习交流禁止用于非法入侵未授权测试违法用途请遵守当地法律法规。
Burp Suite + Proxifier 实现微信小程序抓包实战教程
一、前言在日常安全测试、接口调试、漏洞挖掘过程中微信小程序抓包是非常常见的需求。由于微信开发者工具、小程序客户端默认不会直接走系统代理因此仅使用 Burp Suite 往往无法成功抓包。这时候就需要Burp Suite负责拦截、修改、重放数据包懂的都懂Proxifier可以使不支持代理服务器的程序通过 SOCKS 或 HTTP 代理进行连接即强制指定程序走代理的工具微信开发者工具 / PC微信实现小程序请求 → Proxifier转发 → Burp Suite代理 → 成功抓包本篇文章将从原理环境配置代理设置HTTPS证书常见问题实战技巧完整讲解。二、抓包原理正常情况下微信小程序 → 直接联网 → 服务器Burp 无法截获。而通过 Proxifier 后微信小程序 ↓ Proxifier 强制代理 ↓ 127.0.0.1:8080 ↓ Burp Suite ↓ 目标服务器因此所有流量都会经过 Burp可以查看请求修改参数重放数据包测试接口漏洞三、环境准备1. 所需软件Burp Suite这个软件没啥好说的。官网下载路径PortSwigger Burp Suite当然走业内各位前辈和安全界的大佬们分享的盘里下载或许更为方便。ProxifierProxifier 是一款 Windows/macOS 平台的全局代理 / 流量转发工具核心作用是让本身不支持代理的软件强制走代理并能按程序、域名、端口做精细化分流。官网下载Proxifier Official Website下载好后是当然我这里下载的是汉化版的。链接是https://www.cckyedu.com/software/13717.html当然下载汉化版的风险需要自己承担毕竟是二开的软件。建议是走正版的渠道。笔者的分享两种版本都会介绍。微信开发者工具其实没必要下载这个严谨的话可以用但是推荐跳过官网下载微信开发者工具反正笔者没下载。四、配置 Burp Suite1. 打开代理监听进入Proxy → Options确认127.0.0.1:8080 Running如果没有点击Add添加Bind to port: 8080 Bind to address: 127.0.0.12. 关闭拦截建议否则请求会卡住。进入Proxy → Intercept点击Intercept is off五、配置 Proxifier1. 添加代理服务器打开 ProxifierProfile → Proxy Servers汉化版就是配置文件打开代理服务器。点击Add填写Address: 127.0.0.1也可以填自己的wifi地址或者IP池服务器 Port: 8080与BP对应 Protocol: HTTPSipconfig后无线局域网适配器 WLAN是接wifi的IP地址。如果接的是网线的话是以太网适配器 以太网 2。这里笔者没接网线。点击Check这里已经开始了。如果显示Proxy is ready to work说明成功。2. 添加代理规则进入Profile → Proxification Rules第二个这个Localhost是要取消勾选的。点击Add写上WeChatAppEx.exe;WechatBrowser.exe再改动作默认规则还要选Direct。Rule Name这里可以跳过因为这里的步骤前面已经放进去了这里只是告诉读者是怎么找的。WeChat或者WeixinApplications选择WeChatAppEx.exe或者微信开发者工具.exeAction选择Proxy HTTPS 127.0.0.1保存。就是刚刚那个新建步骤这里发现已经抓到包了。六、安装 Burp HTTPS 证书否则 HTTPS 会失败。1. 下载证书浏览器访问http://burp点击CA Certificate下载cacert.der2. Windows 导入证书双击证书安装证书选择本地计算机然后将所有的证书放入下列存储选择受信任的根证书颁发机构完成导入。七、开始抓包1. 打开微信开发者工具运行小程序。2. 查看 Burp进入Proxy → HTTP history即可看到GET请求POST请求JSON数据CookieTokenHeader八、修改请求实战1. 发送到 Repeater右键请求Send to Repeater2. 修改参数例如原请求{uid:1001}修改{uid:1002}观察是否越权是否存在IDOR是否未授权访问九、常见问题1. 无法抓到包原因Proxifier规则没生效程序没走代理代理地址错误解决127.0.0.1:8080重新检查。2. HTTPS失败原因没安装Burp证书解决重新导入cacert.der3. 小程序提示网络错误可能原因Burp开启了拦截TLS握手失败证书问题建议Intercept Off4. 微信开发者工具无法联网进入设置 → 代理关闭不使用系统代理十、实战技巧1. 配合插件推荐AutorizeJSON BeautifierLogger2. 自动替换请求进入Proxy → Options → Match and Replace可以替换Token替换UA自动加Header3. 批量测试接口配合IntruderTurbo Intruder测试爆破越权参数遍历十一、安全测试重点微信小程序常见漏洞漏洞类型说明越权访问修改uid读取他人数据未授权接口无token即可访问JWT伪造token校验不严参数污染多参数绕过文件上传任意文件上传SQL注入后端过滤不严SSRF图片下载接口信息泄露返回调试信息十二、总结通过Burp SuiteProxifierHTTPS证书即可实现✅ 微信小程序抓包✅ HTTPS解密✅ 请求修改✅ 接口调试✅ 安全测试这是进行渗透测试小程序审计API分析漏洞挖掘的基础技能之一。十三、免责声明本文仅用于合法授权测试安全研究学习交流禁止用于非法入侵未授权测试违法用途请遵守当地法律法规。
