简介
还简介啥,哪个做web安全的不用burp。
Fiddler+burp抓取微信明文报文
参考链接:
- Fiddler下载:https://www.telerik.com/fiddler#download-trial-file
- https://zhuanlan.zhihu.com/p/302905423
2021年9月24日
在针对微信小程序抓包进行渗透测试的时候,我记得用Windows微信挂burp代理后,抓到的内容全是加密的,根本无法进行测试。
解决办法就是Fiddler+burp抓取微信明文报文,首先下载并安装Fiddler(burp安装使用就不用说了)。安装完成后,启动Fiddler,点击标题栏中Tools,选择Options设置选项,打开设置界面。选择Options页面中的HTTPS选项卡,将所有复选框选中,复选框中文内容如下(图片来自知乎):
然后将HTTPS证书导出,英文版点击右侧的Actions按钮,中文版点击右侧操作按钮,选择将证书导出至桌面。
接下来使用谷歌浏览器或ie浏览器进行证书安装,这两个浏览器的证书是一样的,火狐浏览器区别于他俩。
接下来是Fiddler与burp联动。
还是Fiddler的设置选项卡,选择网关(Gateway)选项卡,选择手动代理设置(Manual Proxy Configuration),点击ok。
微信挂代理登录,fiddler默认端口为8888。
测试。登录成功后,打开微信小程序摩点,在burp中可以看到明文的请求报文信息。
具体原理是什么,我不是很确定,不能乱说。
其他
设置分配内存大小
java -jvar -Xmx2048M /your_burpsuite_path/burpsuite.jar
单位可以是M,也可以是G。
IPv6
burp suite不支持IPv6地址进行数据通信,在cmd下会抛出如下异常:
java.net.SocketException: Permission denied
添加对IPv4的指定后:
java -jar -Xmx2G -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar
通过 -Djava.net.preferIPv4Stack=true参数的设置,告诉Java运行环境,使用IPv4协议栈进行数据通信,IPv6协议将会被禁止使用。
取消success.txt
参考链接: