一个能用的微信小程序抓包方式（亲测）

PrimerBlack

今天接到复测微信小程序的任务，需要对微信小程序进行抓包，从上午到现在试了很多方式，分别为Burp+Proxifier、Burp+安卓模拟器、Charles+Burp，甚至尝试了Windows系统代{过}{滤}理+Burp，最后只有Charles+Burp成功抓取，其他的错误有机会再次尝试的时候再一一列举。
先说一下成功抓取的方式。
1.所需要的工具：
Charles-proxy-4.6.2-win64
BurpSuite2023
2.工具安装步骤
BurpSuite下载与安装自行在论坛搜索，Charles-proxy直接next即可。
3.工具配置
首先介绍Charles-proxy的配置，打开Charles-proxy后，依次进行以下步骤：
证书安装：如下图

在弹出的窗口中选择安装证书，然后点击下一步，在弹出的窗口里选择下图里面的选项

后面一直点击，直至完成即可。
————————————————————————————
证书安装完成，接下来继续配置代{过}{滤}理信息，点击proxy选项，选择下面图示内容：

按照下图内容进行配置：

8888端口是默认端口，配置完成后点击ok即可。
接下来点击SSL Proxying Settings：

打开后，按照下图配置（注意两个写*的位置）

写上*是代表抓取任意端口和域名，如果只抓取固定的端口or域名可自行设置。
接下来配置将数据包代{过}{滤}理到BurpSuite的代{过}{滤}理选项：
选择下图选项：

按照下图配置

注意，Web Proxy（HTTP）和Secure Web Peoxy（HTTPS）都需要填写127.0.0.1以及端口（这里填的都是8091），这和后续配置BurpSuite代{过}{滤}理的端口一致。
配置完成点击ok即可。
——————————————————————————————————————————————————
下面配置BurpSuite，与之相比较简单，打开BurpSuite代{过}{滤}理配置选项：
配置刚刚我们绑定的端口

大功告成。
————————————————————————————
下面是一些配置成功后，抓取的记录

测试来之不易，附上CharlesProxy下载连接
下载地址.txt (84 Bytes, 下载次数: 377)

2023-12-2 16:33 上传

点击文件名下载附件
下载链接

hbzy

看不懂干什么用，怎么用的

dagangcool

sunny直接抓

li000yu

厉害，厉害，学习了，以前只会用手机抓包。

Boom6595

先收藏一下，谢谢

PrimerBlack

xiaoql 发表于 2023-10-26 23:54
想请教一下，微信小程序云托管的可以抓他的接口调用吗，尝试了很多次抓到的都是微信加密的东西，还是我的姿 ...

这个没试过，但是可以用这个帖子尝试一下，我之前用的proxifier中转到BurpSuite也是加密的

amdfans

是不是可以把小程序扒下来自行研究。

李佑辰

看起来还不错 支持一下了

Alexwhich

我用这两个可以呀Burp+Proxifier，你只要证书安装正确可以改一下两个的的代{过}{滤}理端口

xiaoql

想请教一下，微信小程序云托管的可以抓他的接口调用吗，尝试了很多次抓到的都是微信加密的东西，还是我的姿势不对

tqjason

为什么要过两层代{过}{滤}理？Charles 不是已经做了 MITM了吗，是什么原理？

tfrist

恩 很像fiddler的程序！