最近有好兄弟像我请教,关于wx小程序应该怎么抓包测试,他想用Proxifier + Burpsuite联动的方式进行抓包,但是抓到的包不对劲,于是乎就有了这篇文章
今日的文章,我们主要讲的是,如何使用fiddler拦截PC端的小程序流量,而后使用Burpsuite进行抓包测试,关于如何使用模拟器进行抓包,本人在CSDN是有往期文章的,大家感兴趣的可以看一下;搭建虚拟机测试环境事很快的,本人亲测,只需要5分钟皆可以搞定,但是需要注意的是,推荐使用模拟器安卓5版本的虚拟机,微信app的版本不要高于8.26,否则有封号的风险
https://blog.csdn.net/weixin_48421613/article/details/109951567
Fiddler和Burpsuite是什么,我在这里也救不需要过多介绍了,下载的话大家自行下载即可,这里直接讲如何使用,如何联动
首先我们打开fiddler,页面如下图所示
笔者使用的版本较老,但是能用就行,Fiddler默认的代理端口是8888,但是与以往不同的是,我们不需要在微信客户端上做代理设置
我们将证书安装即可完成对https抓包的设置(这块图是笔者csdn的图)
而后设置的就是代理地址,只需要把Burpsuite的代理地址填写即可
此时,Fiddler设置部分就结束了,接下来就是最重要的部分,如何抓包
正如你所看到的那样,只需要点击File->Capture Traffic 即可抓包
我们此时打开微信任意小程序,看一下效果
接下来,就是看一下Burpsuite这边是否可以接收到Fiddler的流量了,我们上面也讲了,在Fiddler设置了Burpsuite的代理,我们看一下效果
Burpsuite成功的接收到了流量,并且可以发包重放
这种玩法除了适用于VX客户端的小程序抓包,同样适用于C/S架构走HTTP流量的场景,在这里就不进行演示了
