2023年最新微信小程序抓包教程

wangqiang

2023年最新微信小程序抓包教程苏雅图潇湘信安 2023-05-22 08:30 发表于湖南
转载自：2023年最新微信小程序抓包教程

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。
请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

本文经作者@苏雅图师傅同意转发至公众号，大家喜欢的可以去看下他的原文和其他文章。
文章来源：博客园（苏雅图）

0x01 开门见山
首先回顾一下《微信绑定手机号数据库被脱库事件》，我也是第一时间得知了这个消息，然后跟踪了整件事情的经过。
下面是这起事件的相关截图以及近日流出的一万条数据样本：

个人认为这件事也没什么，还不如关注一下之前45亿快递数据查询渠道疑似在近日复活的消息。

消息是这么传的，真假尚未确定，因为笔者不会冒着查询个人信息意味着账号和个人信息绑定的风险去测试是否为真，
但是可以知道的是之前的查询渠道叫“星链”，现在叫做星盾。

为什么要提起这两件事情，因为我要写的微信小程序抓包教程与第一个事件是有关联的，也可以说是受“旁击侧敲”的启发。
从事件发生起，某圈子就迅速流行起了“如何获得某一微信账号的wxid”的问题，并且也有人迅速的给出了思路，方法也很简单，我这里简单复现一遍：
特别说明：本次的思路仅限iOS系统(苹果系统)

1. 苹果应用商店安装“Stream”软件：

2. 配置代理，安装证书。内置教程，此处省略。

3. 开始抓包。(为了方便我用iPad测试)

4. 群里找一个目标，点头像，右上角投诉。

任意选一个投诉理由，注意，不是真的投诉，只要获取加载的数据包即可。最后一步的时候不用提交，返回工具页面，点击上传流量查看数据包。

选择“按域名”查看数据。 一般举报功能都是请求weixin110这个子域。

选择红框中的POST请求，exposeh5cgi为标识符。

选择“请求”模块，查看请求的数据包。

然后下滑点击查看请求主体。

箭头处的realChatUser就是“被投诉用户”的wxid了。
获得wxid后意味着即使在不知道对方微信名的情况下，也能反查到该用户的手机号码。
这也就是我今天要分享的抓包思路，同理，微信小程序也是可以的。
我应该不是第一个知道的，但是在真正实战的时候还需要注意一些细节，我等会文章结尾再讲。因为可能有人要反驳我了，微信小程序抓包的思路不是很多吗？
确实，你说得对，毫不夸张的说，你懂的思路我都懂，但是问题在于很多思路都容易失效，在这里我列出一些基本思路。
第一种：使用Burpsuite配合模拟器抓包
众所周知，Burpsuite是渗透测试必备的抓包工具，对于微信小程序抓包应该也是得心应手的，可以通过在模拟器配置证书进行抓包。

起初这个思路人人皆知，但是后来微信修改了规则，方法已经失效了，并且前几个月有消息说微信好像禁止在模拟器登录，检测会警告封号处理，消息是否真实仍未证实。
当然了，比较专业的同学可以安装类似于“Xposed框架”使得模拟器变得更强大，或者说能够绕过微信检测机制？

第二种：使用Fiddler配合微信PC端抓包
Fiddler也是一个强大的抓包工具，或者说是数据包分析工具，可以调试你电脑中的HTTP流量。

有些Burpsuite不能做的事情，它可以，我个人用得比较少。Fiddler不管是对于微信PC端还是模拟器都适用，不过这个思路好像从去年的11月左右就已经失效，具体没有证实。
第三种：使用Charles配合微信PC端抓包
根据官网的介绍，Charles是一款HTTP代理兼HTTP监视器工具，主要适用于Web浏览器。

Charles俗称“花瓶”，应该说是安全圈里一个“后来居上”的抓包工具吧，平时笔者也用得多，因为这款工具能够抓到某些“特殊”的数据包，比如JavaScript触发的数据包？我也不知道怎么形容。

需要补充一下，以上三种思路也可以配合在苹果手机设置“网络代理”，实现用“电脑工具”抓取手机的数据包，具体来说也能实现抓取“微信小程序”或“手机QQ”的一些数据包。
这个思路是笔者亲测过的，但是目前是否仍有效就不清楚了。
第四种：使用Httpcanary配合安卓端抓包
除了以上三(四)种思路，应该还有安卓系统使用 HttpCanary (小黄鸟) 抓取数据包的思路。

小黄鸟算得上是安卓系统最强大的抓包工具了，至少我认为地位如同安卓早期破解圈中的“幸运破̆̈解̆̈器̆̈”，不过人家靠的不是“运气”，而是“实力”。
比如能够修改数据包中的数据实现“破解软件的VIP限制”或“无限签到”。

该思路同样也能配合安卓模拟器进行抓包，笔者亲测有效，目前是否依然有效也不清楚。
对于能否抓取安卓系统微信小程序的数据没有经过实验。文章中所提到的安卓系统和安卓模拟器需要区分一下。
其实抓取微信小程序数据包的思路大同小异，微信小程序大多数都是内嵌网站，部分开发者以为有微信这个“保护伞”就万事大吉，实际上保证足够安全还需“自扫门前雪。”
不管是企业还是国内高校，正因为小程序的安全容易被忽视，所以在渗透测试中，小程序往往成为了一个重要的被攻击目标。
0x02 言归正传
言归正传，补充一些前文提到的细节。用“Stream”抓取微信小程序的数据包时，经过测试，开启抓包之后，打开部分小程序时会卡在加载页面，这时候关闭抓包，
重新打开小程序，等页面加载完成后再开启抓包即可。下面用“肯德基”微信小程序来实战测试：

这时候藤椒风味劲爆大鸡米花就一览无余了，不对，应该是肯德基的CRM客户系统。