簡介
還簡介啥,哪個做web安全的不用burp。
Fiddler+burp抓取微信明文報文
參考鏈接:
- Fiddler下載:https://www.telerik.com/fiddler#download-trial-file
- https://zhuanlan.zhihu.com/p/302905423
2021年9月24日
在針對微信小程序抓包進行滲透測試的時候,我記得用Windows微信掛burp代理后,抓到的內容全是加密的,根本無法進行測試。
解決辦法就是Fiddler+burp抓取微信明文報文,首先下載並安裝Fiddler(burp安裝使用就不用說了)。安裝完成后,啟動Fiddler,點擊標題欄中Tools,選擇Options設置選項,打開設置界面。選擇Options頁面中的HTTPS選項卡,將所有復選框選中,復選框中文內容如下(圖片來自知乎):
然后將HTTPS證書導出,英文版點擊右側的Actions按鈕,中文版點擊右側操作按鈕,選擇將證書導出至桌面。
接下來使用谷歌瀏覽器或ie瀏覽器進行證書安裝,這兩個瀏覽器的證書是一樣的,火狐瀏覽器區別於他倆。
接下來是Fiddler與burp聯動。
還是Fiddler的設置選項卡,選擇網關(Gateway)選項卡,選擇手動代理設置(Manual Proxy Configuration),點擊ok。
微信掛代理登錄,fiddler默認端口為8888。
測試。登錄成功后,打開微信小程序摩點,在burp中可以看到明文的請求報文信息。
具體原理是什么,我不是很確定,不能亂說。
其他
設置分配內存大小
java -jvar -Xmx2048M /your_burpsuite_path/burpsuite.jar
單位可以是M,也可以是G。
IPv6
burp suite不支持IPv6地址進行數據通信,在cmd下會拋出如下異常:
java.net.SocketException: Permission denied
添加對IPv4的指定后:
java -jar -Xmx2G -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar
通過 -Djava.net.preferIPv4Stack=true參數的設置,告訴Java運行環境,使用IPv4協議棧進行數據通信,IPv6協議將會被禁止使用。
取消success.txt
參考鏈接: