本文介绍了在 Windows 环境下使用 ProxyPin 和 BurpSuite 对 PC 端微信小程序进行流量抓包的完整流程。主要步骤包括安装本机 SSL 证书、配置 ProxyPin 开启 HTTPS 代理并转发至 BurpSuite、以及在浏览器中安装 BurpSuite 证书。通过该代理链可拦截并修改小程序的网络请求数据,适用于安全测试与协议分析场景。
需要用到的工具:
微信 3.9.7.29(PC 端)
ProxyPin(本机安装 SSL 证书)
BurpSuite(本机安装 SSL 证书)
项目地址:https://github.com/wanghongenpin/network_proxy_flutter/
电脑(PC)端微信小程序 --> ProxyPin --> BurpSuite
流量从电脑(PC)端微信小程序通过 ProxyPin 再走到 BurpSuite 工具,最后使用 BurpSuite 来进行修改和重放,其实就是走了一个代理链。
安装 SSL 证书到本机
开启 HTTPS 代理
打开需要抓包的微信小程序
可以看到 ProxyPin 成功获取到数据包,下一步将流量转发到 BurpSuite。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
在 ProxyPin 中设置外部代理
打开 BurpSuite
查看监听的端口 注意不要和 ProxyPin 与其他软件端口相同。
在浏览器中安装 BurpSuite 的证书
http://burp/
下载证书到本地,浏览器设置证书,搜索证书
查看证书并导入下载的证书
到这里 Burp Suite 的设置也完成了,可以去抓微信小程序的包了。
微信电脑端:打开小程序
