mac版本微信小程序抓包学习

原创 crowsec 乌鸦安全 2025-01-02 04:08

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

1. 环境准备

• macos intel

• 微信 Version. 3.8.9 (28564)

• proxifier V3.12

• burpsuite pro

2. 环境配置

2.1 坑点

在去年的7月的时候，其实我在文章里面介绍过几种抓微信小程序的方法，在文章里面我也介绍了使用proxifier和burpsuite抓包的方法（因为我环境配置错了，菜），但是因为我配置有问题，导致抓包不顺利。（菜）

当时确实是我的本地环境有问题：

前一段时间，学习其他的师傅发了很多关于这个的文章，但是到我这里，果然不出所料，我还是抓不到包。。。

其实在这个代理链流程里面，其实很简单了：

小程序的流量被proxifier
转发给burpsuite
，burpsuite
再将流量转到外面，其实就是上面文章里面师傅画的拓扑图。

但是问题就出在burpsuite将流量转到外面这个过程上，我测试的过程中发现burpsuite收到从proxifier转发过来的流量之后，没有返回包，经过测试才发现，如果你有隧道类工具的话，记得关闭你的系统代理功能：

2.2 环境简单配置

直接按照这个师傅文章里面的配置就行了：

https://mp.weixin.qq.com/s/xaqlShbuCdwani10BJ8dIQ

burpsuite：

proxifier：

至此，环境准备工作就结束了了。

3. 小程序简单抓包实战

前段时间，小*书某博主在推一个租房的小程序，经过其授权同意后，对其进行简单的漏洞挖掘：

这个小程序的逻辑如下：
– 求租客可以免费发布租房需求，可以留下电话号码给房东联系，请注意，这个号码不会对外展示

• 房东需要注册认证，认证通过之后，就可以查看求租客的需求，如果有需要的话，可以通过求租客留下的电话联系求租客

• 房东获取电话这一步是需要收费的，有次数限制

3.1 小程序反编译

直接在mac的文件夹下获取到小程序的文件，然后直接进行反编译即可：

至于反编译的过程，可以看我以前的文章
，也可以从网上找一下教程，教程满天飞，非常多。

3.2 简单漏洞1—小程序地图ak泄露

这个ak泄露甚至都不算是漏洞，在小程序案例里面太多太多了，大部分src甚至都不收。

定位ak泄露，分别在小程序源码和url中泄露：

随意修改坐标：

3.3 简单漏洞2-任意文件上传漏洞

通过反编译的源码存在文件文件上传的点：

burpsuite抓包看下：

但是在这里面对文件做了限制，应该是非图片类文件，无法解析的话，直接让你下载下来了：

但是突然想起来这后端是一个java部署的，修改为jsp试试看：

至此证明，该小程序存在任意文件上传漏洞。

3.4 简单漏洞3-求租客敏感信息泄露

在小程序的逻辑里面，房东是需要认证通过之后，通过充值获取求租客电话的：

但是通过直接抓包求租客模块，可获取到求租客的电话信息：

提取url地址：

通过遍历url的id值，即可获取到所有用户的电话号码：