小林渗透入门:burpsuite+proxifier抓取小程序流量

目录

前提:

代理:

proxifier:

步骤:

bp证书安装

bp设置代理端口:

proxifier设置规则:

proxifier应用规则:

结果:


前提:

在介绍这两个工具具体实现方法之前,有个很重要的技术必须要大概了解才行---代理。

代理:

个人觉得代理,简而言之,就是在你和服务器中间的一个中间人,来转达信息。那为什么要代理呢,因为这里的burpsuite要抓包,burpsuite只有做为中间代理人才可以进行拦截或者放行然后方便你对拦截到的包进行修改做进一步的渗透。

proxifier:

这个工具是干啥的嘞?说来也奇怪,它的功能与burp suite类似也是用于代理的。问题来了既然功能类似那为什么还要联动去抓小程序的流量呢?这是因为burp suite一般是用来做http和https的代理的,其他的是默认不代理的。而应用程序可能不是走http和https而是通过tcp-sockets进行传输的,或者走的端口不是bp所监听的,这就导致bp不能直接拦截到应用程序。这个时候就需要proxifier了,这个工具可以控制应用程序使用代理,把他们代理到bp那里,从而实现联动。基于此接下来介绍具体的步骤

步骤:

bp证书安装

1.bp与电脑本机安装证书。这个我这儿就不细说了大家自行百度很多教程。

bp设置代理端口:

这里专门监听本地的8888端口,专门为应用程序准备。

proxifier设置规则:

proxifier应用规则:

这里的wechatappex.exe是微信小程序的专门的进程,至于路径要点那个browse大家自己想办法找找。这里确认后就已经配置好了。接下来看结果就行。

结果:

这里可以发现proxifier已经成功显示有流量经过,而且可以发现,有且只有小程序的流量。然后我们可以用bp抓包试试。

相关推荐
@insist12310 小时前
系统规划与管理师-信息安全规划概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
xixixi7777720 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_4665252920 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz5678920 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
一孤程20 小时前
Airtest自动化测试第五篇:小程序与Web测试——跨平台自动化全覆盖
前端·自动化测试·小程序·自动化·测试·airtest
2603_9547083121 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
其实防守也摸鱼21 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
冰茶丿1 天前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
CRMEB定制开发1 天前
开源商城源码下载后怎么搭建?五步走通完整流程
小程序·开源·商城系统·私域运营
长风2301 天前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全