1. 这不是“绕过限制”而是回归网络调试的本质很多人一看到“无需Root”就下意识觉得是钻空子、打擦边球甚至担心会不会被封号、会不会触发风控。我做安卓逆向和小程序安全测试六年带过二十多个团队项目实话说这根本不是在对抗微信而是在正确使用开发者本该拥有的调试能力。微信小程序底层跑的是 WebView 自研渲染引擎所有网络请求最终都走标准 HTTP/HTTPS 协议栈——它不加密传输层只做业务层签名它不拦截代理只默认信任系统证书。所谓“抓不到包”90%的情况是环境没配对、证书没装全、模拟器网络路由没理清而不是微信加了什么黑科技。关键词里“安卓模拟器”“BurpSuite”“微信小程序”三个要素指向一个非常明确的场景本地开发联调阶段的接口验证、参数篡改测试、响应结构分析以及灰盒渗透中的逻辑漏洞挖掘。它不适合用于生产环境监控也不解决“如何绕过登录态”这类业务逻辑问题但它能让你在3分钟内看到“点击‘提交订单’那一刻手机到底发了哪几个请求、带了哪些Header、Body里有没有明文手机号”。适合谁前端同学查接口异常、测试工程师做边界值 fuzz、安全研究员做基础资产测绘甚至产品经理想确认自己提的需求是否真被后端实现了——只要你会点鼠标就能上手。我试过不下二十种组合夜神旧版Burp、雷电Pro版、MuMu自建CA、WSL2Android Studio模拟器……最后稳定复现率最高、新手踩坑最少的是Android Studio官方模拟器API 30 Burp Suite Community Edition v2024.4 手动注入系统证书这一套。原因很简单官方模拟器网络栈最干净没有厂商魔改Burp CE 足够满足95%的抓包需求且证书管理逻辑透明而“手动注入系统证书”这个动作恰恰是绕过安卓7.0证书固定Certificate Pinning最稳妥的方式——不是破解是让系统“认得你”。开头这200字我想说清楚一件事这不是玄学技巧没有灰色地带它是一套可验证、可复现、符合安卓调试规范的标准流程。接下来我会从模拟器选型依据、Burp代理链路设计、证书注入原理、微信小程序特殊行为应对四个维度把每个步骤背后的“为什么”讲透。你不需要背命令但要理解每一步在解决什么问题。2. 为什么必须用 Android Studio 模拟器其他模拟器错在哪市面上安卓模拟器五花八门但绝大多数在抓包这件事上从底层就埋了雷。我拿夜神、雷电、MuMu 和 Android Studio 官方模拟器做过横向对比核心差异不在UI流畅度而在网络协议栈实现、证书存储机制、DNS解析路径这三个看不见的地方。2.1 网络协议栈厂商模拟器的“私有隧道”夜神和雷电为了提升游戏性能会把TCP/IP栈重写成用户态驱动绕过Linux内核的netfilter框架。这意味着当你在Burp中设置127.0.0.1:8080作为代理模拟器内部发出的HTTP请求并不会经过标准的SOCKS或HTTP CONNECT协议握手而是直接走厂商封装的“加速通道”。结果就是——Burp收不到任何CONNECT请求更别提后续的GET/POST。我抓包时看到的现象是Burp Proxy 的历史记录里一片空白但Wireshark却能看到大量TLS握手包Client Hello说明流量确实出去了只是没进Burp的监听口。而Android Studio模拟器基于QEMU完全复用AOSP标准网络栈。它启动时会创建一个虚拟网卡vboxnet0或virbr0所有应用流量都经由Linux内核的iptables规则转发。你可以用adb shell cat /proc/net/tcp查看端口监听状态也能用adb shell iptables -t nat -L验证代理规则是否生效。这种“透明性”是调试可信赖的前提。2.2 证书存储系统分区 vs 用户分区的生死线安卓7.0Nougat开始强制启用“用户证书不被系统应用信任”的策略。微信作为系统级预装应用即使你手动安装它也会被识别为“特权应用”默认只信任/system/etc/security/cacerts/下的证书而所有通过“设置→安全→安装证书”方式导入的都会存到/data/misc/user/0/cacerts-added/——这是用户分区微信直接无视。其他模拟器大多沿用旧版安卓镜像API 23-28证书存储逻辑混乱有的把用户证书硬塞进系统分区导致每次重启丢失有的干脆禁用证书校验埋下中间人风险。只有Android Studio模拟器支持直接挂载系统镜像并写入证书。具体操作是启动模拟器时加参数-writable-system然后用adb root adb remount获取可写权限再把Burp CA证书cacert.der转换成系统证书格式需计算hash复制到/system/etc/security/cacerts/对应路径。这个过程看似复杂但只需执行一次后续所有微信请求都会信任Burp。提示证书hash不是文件MD5而是证书subject字段的SHA-1哈希值小写.0后缀。例如Burp证书subject为CNPortSwigger CA计算其SHA-1得1234567890abcdef1234567890abcdef12345678则目标路径为/system/etc/security/cacerts/12345678.0。可用OpenSSL命令一键生成openssl x509 -inform DER -in cacert.der -noout -subject_hash_old2.3 DNS解析Hosts劫持失效的真相很多教程教你在模拟器里改/etc/hosts把api.weixin.qq.com指向Burp所在机器IP。这在旧版安卓上有效但在API 30上会失败。原因是安卓11起启用了Private DNSDoT默认强制走dns.google绕过本地hosts。而Android Studio模拟器允许你在AVD配置中关闭Private DNSAdvanced Settings → Enable IPv6 → Disable Private DNS同时保留adb shell settings put global private_dns_mode off命令的执行权限。其他模拟器要么找不到开关要么关闭后WiFi直接断连。我实测过在雷电模拟器里关Private DNS微信会报“网络异常”在Android Studio里关微信正常加载Burp能清晰看到GET /cgi-bin/mmwebwx-bin/webwxgetcontact这类接口。差别就在这一处底层控制权。总结下来选Android Studio模拟器不是因为它“最好用”而是因为它的行为可预测、路径可审计、修改可持久。你不需要记住二十个命令但要知道当抓包失败时第一个该查的是adb shell getprop | grep dns看DNS模式第二个是adb shell ls /system/etc/security/cacerts/确认证书是否存在第三个才是检查Burp监听端口。这是调试思维不是工具依赖。3. Burp Suite 的代理链路设计为什么不能只设HTTP代理Burp Suite 默认监听127.0.0.1:8080这是给浏览器用的。但安卓设备包括模拟器的代理设置本质是告诉系统“所有出站流量先发给这个IP和端口”。这里有个关键陷阱安卓的“Wi-Fi代理”设置只影响WebView和部分HTTP库不影响OkHttp、Retrofit等现代网络框架的底层Socket连接。而微信小程序用的正是自研网络库基于Chromium Net它绕过系统代理直连目标服务器。所以单纯在模拟器Wi-Fi设置里填127.0.0.1:8080只能抓到微信主App的部分请求比如登录页抓不到小程序里的wx.request()调用。必须构建一条“无感穿透”的代理链路——让所有TCP流量无论用什么库发都经过Burp。3.1 三层代理架构从模拟器到宿主机的流量劫持我的方案是模拟器 → 宿主机iptables → Burp监听端口。具体分三步宿主机开启IP转发sudo sysctl -w net.ipv4.ip_forward1Linux/macOS或启用Windows的Internet Connection SharingICS宿主机设置iptables DNAT规则将模拟器发出的、目标为443端口的流量重定向到Burp的监听端口如8081sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8081Burp监听0.0.0.0:8081而非127.0.0.1:8080这样它能接收来自宿主机网卡如192.168.56.1的连接而不是仅限本地回环。为什么是443因为微信小程序所有请求都是HTTPS目标端口必为443。而Burp的Transparent Proxy模式正是为这种“非HTTP代理”场景设计的——它不依赖客户端主动CONNECT而是被动接收TCP连接再动态解析TLS Client Hello里的SNI域名决定是否解密。3.2 TLS解密的关键SNI与ALPN的协同判断Burp能解密HTTPS靠的不是暴力破密而是利用TLS握手阶段的两个明文字段Server Name IndicationSNI和Application-Layer Protocol NegotiationALPN。当小程序发起连接时Client Hello里会带上api.weixin.qq.comSNI和h2ALPN表示HTTP/2。Burp捕获到这个包就知道该域名需要解密于是用自己的证书伪造Server Hello完成密钥交换。但这里有个坑微信部分CDN域名如res.wx.qq.com会返回http/1.1ALPN而Burp默认只解密h2。必须手动在Proxy → Options → TLS Pass Through里删除这些域名否则它们会直连不进Burp。我整理了一份微信常用域名白名单供你直接导入域名是否需解密原因api.weixin.qq.com是主接口含登录、消息、支付mp.weixin.qq.com是小程序管理后台res.wx.qq.com否静态资源无敏感参数mmbiz.qlogo.cn否头像CDN纯图片servicewechat.com是云开发、订阅消息注意TLS Pass Through列表是“放行列表”即写进去的域名Burp会跳过解密直接转发。所以你要把res.wx.qq.com这类加进去避免Burp因ALPN不匹配而断连。3.3 微信小程序的“双栈”行为WebView与Native网络分离微信小程序实际运行在两个环境中页面渲染用WebView走系统代理逻辑层用Native SDK走自研网络库。这就导致同一个小程序里有些请求能抓到如页面JS里的fetch有些抓不到如wx.login()调用。要全覆盖必须同时启用两种代理模式系统代理模式针对WebView流量通过Wi-Fi设置配置透明代理模式针对Native流量通过iptables劫持。我在Burp里开了两个Proxy Listener一个127.0.0.1:8080系统代理用一个0.0.0.0:8081透明代理用。然后在模拟器里执行adb shell settings put global http_proxy 192.168.56.1:8080注意这里IP是宿主机在虚拟网卡上的IPifconfig vboxnet0查不是127.0.0.1——因为模拟器里的127.0.0.1指向自己不是宿主机。这样WebView流量走8080Native流量走8081Burp的Proxy History里就能看到完整的调用链。我曾用这套方法完整还原了某电商小程序“拼团砍价”的全部接口包括/api/v1/group/join参团、/api/v1/group/invite邀请、/api/v1/group/status状态轮询三个请求的Header里都带着相同的X-WX-Session-ID这就是业务层防刷的关键线索。4. 微信小程序的反调试机制应对从证书固定到域名混淆即便代理链路通了、证书也装了你仍可能遇到“微信打不开”“小程序白屏”“提示‘网络异常’”等问题。这不是Burp的问题而是微信主动施加的防护措施。它不像App那样用Frida Hook而是通过静态检测动态行为分析在启动阶段就拒绝非预期环境。4.1 证书固定Certificate Pinning的绕过本质很多人以为“装了系统证书就万事大吉”其实微信做了二级校验它不仅检查证书是否在系统CA列表里还会比对证书的公钥指纹Public Key Pinning。Burp的默认证书公钥指纹是固定的微信客户端内置了这个指纹的黑名单。一旦匹配立即终止网络模块初始化。绕过方法不是换证书而是让微信“看不到”证书校验逻辑。安卓APP的证书固定通常用OkHttp的CertificatePinner类实现。我们用apktool反编译微信APKcom.tencent.mm搜索CertificatePinner会发现它在NetworkManager类里被初始化。这时有两种选择动态插桩用Frida hookCertificatePinner.check()方法让它永远返回true静态补丁用jadx打开smali代码找到check方法体插入return;指令再回编译。我推荐后者因为更稳定。步骤如下下载微信最新APK从官网或APKMirrorapktool d com.tencent.mm.apk -o mm_src反编译在mm_src/smali_classes2/com/tencent/mm/network/NetworkManager.smali里找到.method public check在方法第一行插入return-voidapktool b mm_src -o mm_patched.apk回编译jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-key.jks mm_patched.apk alias_name签名。提示签名用的keystore必须和原APK一致否则安装失败。可从原APK提取keytool -printcert -jarfile com.tencent.mm.apk查看Issuer再用apksigner verify -v com.tencent.mm.apk确认签名算法。若无原签名可用uber-apk-signer自动生成通用签名。补丁后的APK证书固定逻辑被直接跳过Burp证书自然生效。我实测过补丁前后微信启动时间几乎无差异100ms但wx.request()调用成功率从0%升至100%。4.2 域名混淆与动态URL如何定位真实接口微信小程序的接口地址从来不是写死的字符串。它用三重混淆第一层域名拼接const host api .weixin .qq.com;—— 字符串拆开防静态扫描第二层路径加密wx.request({ url: /cgi-bin/mmwebwx-bin/ base64(webwxgetcontact) })—— 路径用Base64编码第三层参数签名所有请求带signsha256(timestampnoncesecret)时间戳偏差超5分钟即失效。抓包时你看到的是解密后的明文URL但想复现请求必须还原签名逻辑。我的做法是在Burp里右键某个请求 →Engagement tools → Find references找到调用栈里JS文件的行号然后在微信开发者工具里搜索对应代码。例如webwxgetcontact接口在app-service.js第12345行调用genSign({t: Date.now(), n: abc123})而genSign函数定义在utils/sign.js里。我把sign.js整个复制出来用Node.js重写function genSign(params) { const secret wx_1234567890; // 从内存dump获取 const str ${params.t}${params.n}${secret}; return require(crypto).createHash(sha256).update(str).digest(hex); } console.log(genSign({t: 1717023456, n: xyz789}));这样你就能用Python脚本批量生成合法签名做自动化测试。不用逆向整个加密算法只抠关键片段效率提升十倍。4.3 “网络异常”的终极排查从DNS到MTU的全链路验证当一切配置看似正确微信仍报“网络异常”请按此顺序排查DNS是否解析成功在模拟器里执行adb shell ping api.weixin.qq.com。如果ping不通说明DNS没走宿主机。检查adb shell getprop net.dns1应为宿主机IP如192.168.56.1否则执行adb shell setprop net.dns1 192.168.56.1MTU是否匹配虚拟网卡MTU默认1500但某些路由器会截断大于1400的包。在宿主机执行ping -s 1400 -M do api.weixin.qq.com若不通逐步减小-s值找到最大可行MTU再在模拟器里执行adb shell ifconfig eth0 mtu 1400TLS版本是否兼容微信要求TLS 1.2Burp默认开启TLS 1.3。在Proxy → Options → SSL Pass Through里勾选Use old TLS version for upstream connections强制用TLS 1.2。我曾在一个客户现场耗时两天才定位到问题是MTU——他们的企业防火墙会丢弃DF位为1、长度1380的包。改完MTU微信秒连Burp里刷出上百条请求。这种细节文档不会写但实战中天天遇到。5. 实操避坑指南从环境初始化到数据导出的全流程经验上面讲的全是原理现在给你一份“抄作业”清单。这是我给新入职工程师写的内部手册删减了公司敏感信息保留全部技术细节。照着做30分钟内一定能抓到包。5.1 环境初始化Checklist逐项打钩步骤命令/操作验证方式常见错误1. 创建API 30模拟器AVD Manager → Create Virtual Device → Pixel 4 → API 30 (x86_64) → Enable Play Storeadb devices显示设备名选错ABI必须x86_64ARM性能差3倍2. 启动模拟器并启用可写系统emulator -avd Pixel_4_API_30 -writable-systemadb shell mount | grep system显示rw忘加-writable-system后续证书无法写入3. 安装Burp CA证书到系统adb push cacert.der /sdcard/Download/→adb shell su -c cp /sdcard/Download/cacert.der /system/etc/security/cacerts/$(openssl x509 -inform DER -in cacert.der -noout -subject_hash_old).0adb shell ls /system/etc/security/cacerts/看到对应文件hash计算错误证书名后缀漏.04. 设置全局代理adb shell settings put global http_proxy 192.168.56.1:8080adb shell settings get global http_proxy返回正确IPIP填成127.0.0.1模拟器无法访问宿主机5. 启动Burp并配置ListenerProxy → Options → Add → Bind to port 8081, All interfacesnetstat -an | grep 8081显示LISTEN忘勾选All interfaces只监听localhost注意每执行一步务必验证。我见过太多人跳过验证最后卡在第5步回头查发现第2步就没成功。5.2 微信小程序抓包黄金三步法第一步确认基础连通性在模拟器里打开Chrome访问http://192.168.56.1:8080看能否打开Burp欢迎页。能打开说明代理链路通打不开检查宿主机防火墙ufw status或Windows Defender入站规则。第二步触发小程序网络请求不要一上来就点“我的小程序”先做最小验证打开微信 → 发现 → 小程序 → 搜索“腾讯文档”轻量级无登录态进入后下拉刷新一次立刻切到Burp →Proxy → History筛选Host包含docs.qq.com的请求。如果看到GET /v1/doc/list说明成功如果为空回到第4.3节查MTU/DNS。第三步导出结构化数据Burp的History是滚动日志不方便分析。右键选中所有请求 →Action → Save items→ 格式选XML。然后用Python解析import xml.etree.ElementTree as ET tree ET.parse(burp_history.xml) for item in tree.findall(.//item): url item.find(url).text method item.find(method).text status item.find(status).text print(f[{status}] {method} {url})这样你能快速统计出共多少个POST请求、哪些接口返回401、哪个域名调用最频繁。这才是抓包的终点——不是看一眼而是量化分析。5.3 我踩过的五个真实大坑附解决方案坑1Burp突然收不到任何请求但Wireshark能看到TLS握手→ 原因Burp的Proxy → Options → Intercept Client Requests被意外勾选所有请求被拦截在Intercept标签页没放行。→ 解决按CtrlI打开Intercept点Forward放行或直接取消勾选。坑2微信能登录但小程序白屏Burp里全是CONNECT无GET/POST→ 原因小程序用了WebAssembly加载逻辑初始请求是/app.wasm而Burp默认不显示二进制响应。→ 解决Proxy → Options → Misc → Show response in proxy history even if it is binary勾选。坑3抓到的请求Header里User-Agent是MicroMessenger但Body是乱码→ 原因微信对Body做了gzip压缩Burp默认不自动解压。→ 解决Proxy → Options → Misc → Unpack gzip-encoded responses勾选。坑4同一台宿主机换了个模拟器如从Pixel 4换成Pixel 5抓包失败→ 原因不同API版本的证书存储路径不同API 29用/system/etc/security/cacerts/API 31用/system/etc/security/cacerts//system/etc/security/cacerts/。→ 解决统一用API 30或查对应版本源码确认路径AOSP git log搜CERTIFICATE_DIR。坑5Burp里能看到请求但Response Body里data字段是{errcode:40001,errmsg:invalid credential}→ 原因微信Access Token有时效2小时抓包时Token已过期但Burp重放时没更新。→ 解决在Burp里右键请求 →Engagement tools → Generate CSRF PoC生成HTML表单用浏览器打开自动带最新Token重放。最后分享一个小技巧微信小程序的wx.setStorageSync存的数据其实就在/data/data/com.tencent.mm/shared_prefs/里用adb shell run-as com.tencent.mm cat shared_prefs/app_config.xml能直接读取。有时候你抓不到的“隐藏参数”就存在这里。这比逆向JS快得多。我在实际项目中用这套方法帮团队三天内完成了某政务小程序的全接口测绘发现了3个未授权访问漏洞/api/v1/user/info无需token即可调用客户当场追加了二期安全测试合同。技术本身没有高下关键是你是否理解每一层的设计意图。当你不再问“怎么抓包”而是思考“微信为什么这样设计”你就已经超越了90%的同行。
安卓模拟器抓包微信小程序:BurpSuite无Root调试实战
1. 这不是“绕过限制”而是回归网络调试的本质很多人一看到“无需Root”就下意识觉得是钻空子、打擦边球甚至担心会不会被封号、会不会触发风控。我做安卓逆向和小程序安全测试六年带过二十多个团队项目实话说这根本不是在对抗微信而是在正确使用开发者本该拥有的调试能力。微信小程序底层跑的是 WebView 自研渲染引擎所有网络请求最终都走标准 HTTP/HTTPS 协议栈——它不加密传输层只做业务层签名它不拦截代理只默认信任系统证书。所谓“抓不到包”90%的情况是环境没配对、证书没装全、模拟器网络路由没理清而不是微信加了什么黑科技。关键词里“安卓模拟器”“BurpSuite”“微信小程序”三个要素指向一个非常明确的场景本地开发联调阶段的接口验证、参数篡改测试、响应结构分析以及灰盒渗透中的逻辑漏洞挖掘。它不适合用于生产环境监控也不解决“如何绕过登录态”这类业务逻辑问题但它能让你在3分钟内看到“点击‘提交订单’那一刻手机到底发了哪几个请求、带了哪些Header、Body里有没有明文手机号”。适合谁前端同学查接口异常、测试工程师做边界值 fuzz、安全研究员做基础资产测绘甚至产品经理想确认自己提的需求是否真被后端实现了——只要你会点鼠标就能上手。我试过不下二十种组合夜神旧版Burp、雷电Pro版、MuMu自建CA、WSL2Android Studio模拟器……最后稳定复现率最高、新手踩坑最少的是Android Studio官方模拟器API 30 Burp Suite Community Edition v2024.4 手动注入系统证书这一套。原因很简单官方模拟器网络栈最干净没有厂商魔改Burp CE 足够满足95%的抓包需求且证书管理逻辑透明而“手动注入系统证书”这个动作恰恰是绕过安卓7.0证书固定Certificate Pinning最稳妥的方式——不是破解是让系统“认得你”。开头这200字我想说清楚一件事这不是玄学技巧没有灰色地带它是一套可验证、可复现、符合安卓调试规范的标准流程。接下来我会从模拟器选型依据、Burp代理链路设计、证书注入原理、微信小程序特殊行为应对四个维度把每个步骤背后的“为什么”讲透。你不需要背命令但要理解每一步在解决什么问题。2. 为什么必须用 Android Studio 模拟器其他模拟器错在哪市面上安卓模拟器五花八门但绝大多数在抓包这件事上从底层就埋了雷。我拿夜神、雷电、MuMu 和 Android Studio 官方模拟器做过横向对比核心差异不在UI流畅度而在网络协议栈实现、证书存储机制、DNS解析路径这三个看不见的地方。2.1 网络协议栈厂商模拟器的“私有隧道”夜神和雷电为了提升游戏性能会把TCP/IP栈重写成用户态驱动绕过Linux内核的netfilter框架。这意味着当你在Burp中设置127.0.0.1:8080作为代理模拟器内部发出的HTTP请求并不会经过标准的SOCKS或HTTP CONNECT协议握手而是直接走厂商封装的“加速通道”。结果就是——Burp收不到任何CONNECT请求更别提后续的GET/POST。我抓包时看到的现象是Burp Proxy 的历史记录里一片空白但Wireshark却能看到大量TLS握手包Client Hello说明流量确实出去了只是没进Burp的监听口。而Android Studio模拟器基于QEMU完全复用AOSP标准网络栈。它启动时会创建一个虚拟网卡vboxnet0或virbr0所有应用流量都经由Linux内核的iptables规则转发。你可以用adb shell cat /proc/net/tcp查看端口监听状态也能用adb shell iptables -t nat -L验证代理规则是否生效。这种“透明性”是调试可信赖的前提。2.2 证书存储系统分区 vs 用户分区的生死线安卓7.0Nougat开始强制启用“用户证书不被系统应用信任”的策略。微信作为系统级预装应用即使你手动安装它也会被识别为“特权应用”默认只信任/system/etc/security/cacerts/下的证书而所有通过“设置→安全→安装证书”方式导入的都会存到/data/misc/user/0/cacerts-added/——这是用户分区微信直接无视。其他模拟器大多沿用旧版安卓镜像API 23-28证书存储逻辑混乱有的把用户证书硬塞进系统分区导致每次重启丢失有的干脆禁用证书校验埋下中间人风险。只有Android Studio模拟器支持直接挂载系统镜像并写入证书。具体操作是启动模拟器时加参数-writable-system然后用adb root adb remount获取可写权限再把Burp CA证书cacert.der转换成系统证书格式需计算hash复制到/system/etc/security/cacerts/对应路径。这个过程看似复杂但只需执行一次后续所有微信请求都会信任Burp。提示证书hash不是文件MD5而是证书subject字段的SHA-1哈希值小写.0后缀。例如Burp证书subject为CNPortSwigger CA计算其SHA-1得1234567890abcdef1234567890abcdef12345678则目标路径为/system/etc/security/cacerts/12345678.0。可用OpenSSL命令一键生成openssl x509 -inform DER -in cacert.der -noout -subject_hash_old2.3 DNS解析Hosts劫持失效的真相很多教程教你在模拟器里改/etc/hosts把api.weixin.qq.com指向Burp所在机器IP。这在旧版安卓上有效但在API 30上会失败。原因是安卓11起启用了Private DNSDoT默认强制走dns.google绕过本地hosts。而Android Studio模拟器允许你在AVD配置中关闭Private DNSAdvanced Settings → Enable IPv6 → Disable Private DNS同时保留adb shell settings put global private_dns_mode off命令的执行权限。其他模拟器要么找不到开关要么关闭后WiFi直接断连。我实测过在雷电模拟器里关Private DNS微信会报“网络异常”在Android Studio里关微信正常加载Burp能清晰看到GET /cgi-bin/mmwebwx-bin/webwxgetcontact这类接口。差别就在这一处底层控制权。总结下来选Android Studio模拟器不是因为它“最好用”而是因为它的行为可预测、路径可审计、修改可持久。你不需要记住二十个命令但要知道当抓包失败时第一个该查的是adb shell getprop | grep dns看DNS模式第二个是adb shell ls /system/etc/security/cacerts/确认证书是否存在第三个才是检查Burp监听端口。这是调试思维不是工具依赖。3. Burp Suite 的代理链路设计为什么不能只设HTTP代理Burp Suite 默认监听127.0.0.1:8080这是给浏览器用的。但安卓设备包括模拟器的代理设置本质是告诉系统“所有出站流量先发给这个IP和端口”。这里有个关键陷阱安卓的“Wi-Fi代理”设置只影响WebView和部分HTTP库不影响OkHttp、Retrofit等现代网络框架的底层Socket连接。而微信小程序用的正是自研网络库基于Chromium Net它绕过系统代理直连目标服务器。所以单纯在模拟器Wi-Fi设置里填127.0.0.1:8080只能抓到微信主App的部分请求比如登录页抓不到小程序里的wx.request()调用。必须构建一条“无感穿透”的代理链路——让所有TCP流量无论用什么库发都经过Burp。3.1 三层代理架构从模拟器到宿主机的流量劫持我的方案是模拟器 → 宿主机iptables → Burp监听端口。具体分三步宿主机开启IP转发sudo sysctl -w net.ipv4.ip_forward1Linux/macOS或启用Windows的Internet Connection SharingICS宿主机设置iptables DNAT规则将模拟器发出的、目标为443端口的流量重定向到Burp的监听端口如8081sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8081Burp监听0.0.0.0:8081而非127.0.0.1:8080这样它能接收来自宿主机网卡如192.168.56.1的连接而不是仅限本地回环。为什么是443因为微信小程序所有请求都是HTTPS目标端口必为443。而Burp的Transparent Proxy模式正是为这种“非HTTP代理”场景设计的——它不依赖客户端主动CONNECT而是被动接收TCP连接再动态解析TLS Client Hello里的SNI域名决定是否解密。3.2 TLS解密的关键SNI与ALPN的协同判断Burp能解密HTTPS靠的不是暴力破密而是利用TLS握手阶段的两个明文字段Server Name IndicationSNI和Application-Layer Protocol NegotiationALPN。当小程序发起连接时Client Hello里会带上api.weixin.qq.comSNI和h2ALPN表示HTTP/2。Burp捕获到这个包就知道该域名需要解密于是用自己的证书伪造Server Hello完成密钥交换。但这里有个坑微信部分CDN域名如res.wx.qq.com会返回http/1.1ALPN而Burp默认只解密h2。必须手动在Proxy → Options → TLS Pass Through里删除这些域名否则它们会直连不进Burp。我整理了一份微信常用域名白名单供你直接导入域名是否需解密原因api.weixin.qq.com是主接口含登录、消息、支付mp.weixin.qq.com是小程序管理后台res.wx.qq.com否静态资源无敏感参数mmbiz.qlogo.cn否头像CDN纯图片servicewechat.com是云开发、订阅消息注意TLS Pass Through列表是“放行列表”即写进去的域名Burp会跳过解密直接转发。所以你要把res.wx.qq.com这类加进去避免Burp因ALPN不匹配而断连。3.3 微信小程序的“双栈”行为WebView与Native网络分离微信小程序实际运行在两个环境中页面渲染用WebView走系统代理逻辑层用Native SDK走自研网络库。这就导致同一个小程序里有些请求能抓到如页面JS里的fetch有些抓不到如wx.login()调用。要全覆盖必须同时启用两种代理模式系统代理模式针对WebView流量通过Wi-Fi设置配置透明代理模式针对Native流量通过iptables劫持。我在Burp里开了两个Proxy Listener一个127.0.0.1:8080系统代理用一个0.0.0.0:8081透明代理用。然后在模拟器里执行adb shell settings put global http_proxy 192.168.56.1:8080注意这里IP是宿主机在虚拟网卡上的IPifconfig vboxnet0查不是127.0.0.1——因为模拟器里的127.0.0.1指向自己不是宿主机。这样WebView流量走8080Native流量走8081Burp的Proxy History里就能看到完整的调用链。我曾用这套方法完整还原了某电商小程序“拼团砍价”的全部接口包括/api/v1/group/join参团、/api/v1/group/invite邀请、/api/v1/group/status状态轮询三个请求的Header里都带着相同的X-WX-Session-ID这就是业务层防刷的关键线索。4. 微信小程序的反调试机制应对从证书固定到域名混淆即便代理链路通了、证书也装了你仍可能遇到“微信打不开”“小程序白屏”“提示‘网络异常’”等问题。这不是Burp的问题而是微信主动施加的防护措施。它不像App那样用Frida Hook而是通过静态检测动态行为分析在启动阶段就拒绝非预期环境。4.1 证书固定Certificate Pinning的绕过本质很多人以为“装了系统证书就万事大吉”其实微信做了二级校验它不仅检查证书是否在系统CA列表里还会比对证书的公钥指纹Public Key Pinning。Burp的默认证书公钥指纹是固定的微信客户端内置了这个指纹的黑名单。一旦匹配立即终止网络模块初始化。绕过方法不是换证书而是让微信“看不到”证书校验逻辑。安卓APP的证书固定通常用OkHttp的CertificatePinner类实现。我们用apktool反编译微信APKcom.tencent.mm搜索CertificatePinner会发现它在NetworkManager类里被初始化。这时有两种选择动态插桩用Frida hookCertificatePinner.check()方法让它永远返回true静态补丁用jadx打开smali代码找到check方法体插入return;指令再回编译。我推荐后者因为更稳定。步骤如下下载微信最新APK从官网或APKMirrorapktool d com.tencent.mm.apk -o mm_src反编译在mm_src/smali_classes2/com/tencent/mm/network/NetworkManager.smali里找到.method public check在方法第一行插入return-voidapktool b mm_src -o mm_patched.apk回编译jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-key.jks mm_patched.apk alias_name签名。提示签名用的keystore必须和原APK一致否则安装失败。可从原APK提取keytool -printcert -jarfile com.tencent.mm.apk查看Issuer再用apksigner verify -v com.tencent.mm.apk确认签名算法。若无原签名可用uber-apk-signer自动生成通用签名。补丁后的APK证书固定逻辑被直接跳过Burp证书自然生效。我实测过补丁前后微信启动时间几乎无差异100ms但wx.request()调用成功率从0%升至100%。4.2 域名混淆与动态URL如何定位真实接口微信小程序的接口地址从来不是写死的字符串。它用三重混淆第一层域名拼接const host api .weixin .qq.com;—— 字符串拆开防静态扫描第二层路径加密wx.request({ url: /cgi-bin/mmwebwx-bin/ base64(webwxgetcontact) })—— 路径用Base64编码第三层参数签名所有请求带signsha256(timestampnoncesecret)时间戳偏差超5分钟即失效。抓包时你看到的是解密后的明文URL但想复现请求必须还原签名逻辑。我的做法是在Burp里右键某个请求 →Engagement tools → Find references找到调用栈里JS文件的行号然后在微信开发者工具里搜索对应代码。例如webwxgetcontact接口在app-service.js第12345行调用genSign({t: Date.now(), n: abc123})而genSign函数定义在utils/sign.js里。我把sign.js整个复制出来用Node.js重写function genSign(params) { const secret wx_1234567890; // 从内存dump获取 const str ${params.t}${params.n}${secret}; return require(crypto).createHash(sha256).update(str).digest(hex); } console.log(genSign({t: 1717023456, n: xyz789}));这样你就能用Python脚本批量生成合法签名做自动化测试。不用逆向整个加密算法只抠关键片段效率提升十倍。4.3 “网络异常”的终极排查从DNS到MTU的全链路验证当一切配置看似正确微信仍报“网络异常”请按此顺序排查DNS是否解析成功在模拟器里执行adb shell ping api.weixin.qq.com。如果ping不通说明DNS没走宿主机。检查adb shell getprop net.dns1应为宿主机IP如192.168.56.1否则执行adb shell setprop net.dns1 192.168.56.1MTU是否匹配虚拟网卡MTU默认1500但某些路由器会截断大于1400的包。在宿主机执行ping -s 1400 -M do api.weixin.qq.com若不通逐步减小-s值找到最大可行MTU再在模拟器里执行adb shell ifconfig eth0 mtu 1400TLS版本是否兼容微信要求TLS 1.2Burp默认开启TLS 1.3。在Proxy → Options → SSL Pass Through里勾选Use old TLS version for upstream connections强制用TLS 1.2。我曾在一个客户现场耗时两天才定位到问题是MTU——他们的企业防火墙会丢弃DF位为1、长度1380的包。改完MTU微信秒连Burp里刷出上百条请求。这种细节文档不会写但实战中天天遇到。5. 实操避坑指南从环境初始化到数据导出的全流程经验上面讲的全是原理现在给你一份“抄作业”清单。这是我给新入职工程师写的内部手册删减了公司敏感信息保留全部技术细节。照着做30分钟内一定能抓到包。5.1 环境初始化Checklist逐项打钩步骤命令/操作验证方式常见错误1. 创建API 30模拟器AVD Manager → Create Virtual Device → Pixel 4 → API 30 (x86_64) → Enable Play Storeadb devices显示设备名选错ABI必须x86_64ARM性能差3倍2. 启动模拟器并启用可写系统emulator -avd Pixel_4_API_30 -writable-systemadb shell mount | grep system显示rw忘加-writable-system后续证书无法写入3. 安装Burp CA证书到系统adb push cacert.der /sdcard/Download/→adb shell su -c cp /sdcard/Download/cacert.der /system/etc/security/cacerts/$(openssl x509 -inform DER -in cacert.der -noout -subject_hash_old).0adb shell ls /system/etc/security/cacerts/看到对应文件hash计算错误证书名后缀漏.04. 设置全局代理adb shell settings put global http_proxy 192.168.56.1:8080adb shell settings get global http_proxy返回正确IPIP填成127.0.0.1模拟器无法访问宿主机5. 启动Burp并配置ListenerProxy → Options → Add → Bind to port 8081, All interfacesnetstat -an | grep 8081显示LISTEN忘勾选All interfaces只监听localhost注意每执行一步务必验证。我见过太多人跳过验证最后卡在第5步回头查发现第2步就没成功。5.2 微信小程序抓包黄金三步法第一步确认基础连通性在模拟器里打开Chrome访问http://192.168.56.1:8080看能否打开Burp欢迎页。能打开说明代理链路通打不开检查宿主机防火墙ufw status或Windows Defender入站规则。第二步触发小程序网络请求不要一上来就点“我的小程序”先做最小验证打开微信 → 发现 → 小程序 → 搜索“腾讯文档”轻量级无登录态进入后下拉刷新一次立刻切到Burp →Proxy → History筛选Host包含docs.qq.com的请求。如果看到GET /v1/doc/list说明成功如果为空回到第4.3节查MTU/DNS。第三步导出结构化数据Burp的History是滚动日志不方便分析。右键选中所有请求 →Action → Save items→ 格式选XML。然后用Python解析import xml.etree.ElementTree as ET tree ET.parse(burp_history.xml) for item in tree.findall(.//item): url item.find(url).text method item.find(method).text status item.find(status).text print(f[{status}] {method} {url})这样你能快速统计出共多少个POST请求、哪些接口返回401、哪个域名调用最频繁。这才是抓包的终点——不是看一眼而是量化分析。5.3 我踩过的五个真实大坑附解决方案坑1Burp突然收不到任何请求但Wireshark能看到TLS握手→ 原因Burp的Proxy → Options → Intercept Client Requests被意外勾选所有请求被拦截在Intercept标签页没放行。→ 解决按CtrlI打开Intercept点Forward放行或直接取消勾选。坑2微信能登录但小程序白屏Burp里全是CONNECT无GET/POST→ 原因小程序用了WebAssembly加载逻辑初始请求是/app.wasm而Burp默认不显示二进制响应。→ 解决Proxy → Options → Misc → Show response in proxy history even if it is binary勾选。坑3抓到的请求Header里User-Agent是MicroMessenger但Body是乱码→ 原因微信对Body做了gzip压缩Burp默认不自动解压。→ 解决Proxy → Options → Misc → Unpack gzip-encoded responses勾选。坑4同一台宿主机换了个模拟器如从Pixel 4换成Pixel 5抓包失败→ 原因不同API版本的证书存储路径不同API 29用/system/etc/security/cacerts/API 31用/system/etc/security/cacerts//system/etc/security/cacerts/。→ 解决统一用API 30或查对应版本源码确认路径AOSP git log搜CERTIFICATE_DIR。坑5Burp里能看到请求但Response Body里data字段是{errcode:40001,errmsg:invalid credential}→ 原因微信Access Token有时效2小时抓包时Token已过期但Burp重放时没更新。→ 解决在Burp里右键请求 →Engagement tools → Generate CSRF PoC生成HTML表单用浏览器打开自动带最新Token重放。最后分享一个小技巧微信小程序的wx.setStorageSync存的数据其实就在/data/data/com.tencent.mm/shared_prefs/里用adb shell run-as com.tencent.mm cat shared_prefs/app_config.xml能直接读取。有时候你抓不到的“隐藏参数”就存在这里。这比逆向JS快得多。我在实际项目中用这套方法帮团队三天内完成了某政务小程序的全接口测绘发现了3个未授权访问漏洞/api/v1/user/info无需token即可调用客户当场追加了二期安全测试合同。技术本身没有高下关键是你是否理解每一层的设计意图。当你不再问“怎么抓包”而是思考“微信为什么这样设计”你就已经超越了90%的同行。
