利用模拟器抓取微信小程序及APP包

电子说

1.3w人已加入

描述

本文仅用于记录自身学习过程。

条件:

抓取微信小程序数据包的关键点,就是SSL证书绑定的问题。在安卓系统7.0以下的版本,不管微信是什么版本,都会信任系统提供的证书,而现在微信版本已经到了8.0.16 且安装老版本也会强制用户升级,且微信只信任系统及自身内置的证书。

安卓系统7.0以下:微信的任意版本,都会信任用户提供的证书。

安卓系统7.0以上:微信7.0以上版本,微信只信任系统及自身内置的证书

微信7.0以下版本,微信会信任用户提供的证书

准备工具:

1、夜神模拟器

2、BurpSuite

3、XPosed

4、justTruseMe

环境配置:

安装XPosed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务绕过SSL 证书验证。使用这种方法进行抓包的时候要求安卓手机必须需要ROOT。

1.直接在模拟器搜索Xposed进行安装

模拟器

2.安装/更新最新版本

模拟器

3.添加模块JustTrustMe.apk

https://github.com/Fuzion24/JustTrustMe/releases/tag/v.2

模拟器

4.此时设置burpsuite证书,设置代理以及代理端口。

模拟器

5.使用安卓模拟器访问浏览器,http://burp/ 下载证书,改名字,将后缀改为.cer

模拟器

6.模拟器安装证书

模拟器

7.burpsuite设置监听,最好设置本地ip,至此可以发挥你的技术了。

模拟器

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分