《吐血整理》高级系列教程-吃透Fiddler抓包教程(34)-Fiddler如何抓取微信小程序的包-上篇

吐血,整理,高级,系列,教程,吃透,fiddler,如何,抓取,程序,上篇 · 浏览次数 : 3589

小编点评

**1.简介** 一些小伙伴或者是童鞋们说小程序抓不到包,该怎么办了?其实苹果手机如果按照宏哥前边的抓取APP包的设置方式设置好了,应该可以轻松就抓到包了。那么安卓手机小程序就比较困难,不是那么友好了。所以今天宏哥重点说一下安卓手机小程序抓包。 **2.前言** 首先看下是否满足以下条件小程序无法抓包原因 : *安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 *安卓系统 7.0 以上版本,微信 7.0 以上版本,微信会信任系统提供的证书 *安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表 **3.实战一** 1. 手机和电脑要在同一个局域网中。 2. 完成fiddler的基本配置,与web端抓包一样: * TOOLS-->options–>connections–>1、设置端口; * 勾选2/3/4选项:3.指定代理端口,勾选指定项 * 3.2手机代理设置1.手机设置代理:(1)设置端口与fiddler的端口保持一致:8888; * 3.3安装https证书需要那种证书,自己安装那种证书即可,但是系统证书需要Root权限安装,据听说这种好像也不靠谱容易导致微信封号,没有亲身实验过,有兴趣的可以自己试一下。 * 3.3.1用户证书如果小程序或者APP端需要抓取HTTPS的请求消息,必须在手机上安装fiddle的证书,其安装步骤: *步骤一:在手机端打打开浏览器,输入网址–》http://PC的IP:fiddler的端口号 *步骤二:点击超级链接:FidderRoot certificate超级链接 *步骤三:点击下载的证书文件,进行安装,安装成功,就可以抓取HTTPS的消息了 *如果无法自动安装,安卓版本7.0以下的:则进入手机设置-》安全和隐私-》安全拼争存储-》从存储设备安装,找到下载好的证书目录,确认即可,安装完成后,查看信任凭证,用户证书里是否可以看到刚才的证书。 * 3.3.2系统证书关于系统证书的安装: *步骤可以看宏哥这篇文章,里边有详细的步骤。 **4.实战二** 既然手机微信7.0以上版本不让抓,我们换条路,从电脑上抓取小程序的包。这种方法和抓取web端的包有点相似。 1. 打开电脑端小程序:退出微信,登录微信时设置代理,如下图所示: 2. 打开微信pc版,点击左侧箭头,会弹出右侧小程序列表,如下图所示: 3. 开始抓包,鼠标选中小红书APP,右击打开文件所在的位置,打开后看下文件路径里面有没有 WMPFRuntime 这个文件夹,如果没有这个文件夹就不要继续操作了,这个办法不适合你第三步、如果你找到了这个文件夹,如下图所示,先把电脑上登录的微信全部退出,然后把 WMPFRuntime 文件夹里面的全部删除,删除完成后重新登录微信,如果你不先退出微信,这个文件夹会提示你被占用无法删除的。 4.只要删除了这个缓存的文件夹,再重新登录微信打开小程序,用fiddle就可以轻松抓包了。 -每天学习一点,今后必成大神-往期推荐:Appium自动化系列,耗时80天打造的从搭建环境到实际应用精品教程测试Python接口自动化测试教程,熬夜87天整理出这一份上万字的超全学习指南  Python+Selenium自动化系列,通宵700天从无到有搭建一个自动化测试框架Java+Selenium自动化系列,仿照Python趁热打铁呕心沥血317天搭建价值好几K的自动化测试框架Jmeter工具从基础->进阶->高级,费时2年多整理出这一份全网超详细的入门到精通教程Pycharm工具基础使用教程。

正文

1.简介

有些小伙伴或者是童鞋们说小程序抓不到包,该怎么办了???其实苹果手机如果按照宏哥前边的抓取APP包的设置方式设置好了,应该可以轻松就抓到包了。那么安卓手机小程序就比较困难,不是那么友好了。所以今天宏哥重点说一下安卓手机小程序抓包。

2.前言

首先看下是否满足以下条件
小程序无法抓包原因 :

安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书
安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书
安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表

微信6.6.7版本:http://dldir1.qq.com/weixin/android/weixin667android1320.apk

首先我们从上边的原因前两点可以看出都需要信任系统证书,因此我们都需要手机的Root权限才能将Fiddler的证书安装成系统证书,这个过程和原因宏哥在前边的文章中已经说过了,这里就不再赘述。但是从第三点可以看出微信7.0后由于证书问题都不支持https抓包了,你也可以去微信开放社区看一下有关这个问题讨论。

3.实战一

3.1Fiddler配置

1.手机和电脑要在同一个局域网中。

2.完成fiddler的基本配置,与web端抓包一样:TOOLS-->options–>connections–>1、设置端口;2、勾选2/3/4选项:

在这里插入图片描述

3.指定代理端口,勾选指定项
在这里插入图片描述

3.2手机代理设置

1.手机设置代理:

(1)设置端口与fiddler的端口保持一致:8888;2、设置IP地址与PC机的IP保持一致
在这里插入图片描述

3.3安装https证书

需要那种证书,自己安装那种证书即可,但是系统证书需要Root权限安装,据听说这种好像也不靠谱容易导致微信封号,没有亲身实验过,有兴趣的可以自己试一下。

3.3.1用户证书

如果小程序或者APP端需要抓取HTTPS的请求消息,必须在手机上安装fiddle的证书,其安装步骤:

步骤一:在手机端打打开浏览器,输入网址–》http://PC的IP:fiddler的端口号

步骤二:点击超级链接:FidderRoot certificate超级链接

步骤三:点击下载的证书文件,进行安装,安装成功,就可以抓取HTTPS的消息了
如果无法自动安装,安卓版本7.0以下的:则进入手机设置-》安全和隐私-》安全拼争存储-》从存储设备安装,找到下载好的证书目录,确认即可,安装完成后,查看信任凭证,用户证书里是否可以看到刚才的证书。

3.3.2系统证书

关于系统证书的安装:步骤可以看宏哥这篇文章,里边有详细的步骤。

《吐血整理》高级系列教程-吃透Fiddler抓包教程(27)-Fiddler如何抓取Android7.0以上的Https包-中篇 

3.4开始抓包

然后就可以进行抓包了,抓包完成之后,需要关掉手机的代理,否则,手机无法上网。

4.实战二

既然手机微信7.0以上版本不让抓,我们换条路,从电脑上抓取小程序的包。这种方法和抓取web端的包有点相似。

1.打开电脑端小程序:退出微信,登录微信时设置代理,如下图所示:

2.打开微信pc版,点击左侧箭头,会弹出右侧小程序列表,如下图所示:

3.开始抓包,打开fidder,选择列表内需要抓包的小程序,在小程序页面上进行操作,这时候fidder里已经有很多请求信息了,如下图所示:

4.寻找目标请求,这里暂逐一对各个链接进行检查,选择一个可能是目标链接的请求,查看请求头和返回数据

返回数据里显示乱码,点击返回数据区域上的“Responsebody is encode。。。”转换编码格式

 转换后发现,返回值跟当前页面的信息是不是很像,没错,就是这个请求

tips:

笔者的手机andoroid 版本8.0,微信版本7.0,证书安装成功依然无法抓取https的请求。

宏哥PC的端的微信版本是3.5,听说3.7也有的小程序抓不到包了,这个宏哥没有亲自尝试,有兴趣的小伙伴或者童鞋们,可以更新一下微信到3.7实践一下。

5.小结

随着互联网技术的发展以及各类APP或者小程序的完善,版本越高抓包越难,要想好好的抓包最笨的办法就是降低版本。

5.1Fiddler抓不到pc端微信小程序包解决方案

第一步、微信里面先打开我们需要抓包的小程序,然后启动任务管理器,下面以小红书为例点击进程,找到 WeChat Miniprogram Framework 里面的小红书APP,如下图所示

第二步、鼠标选中小红书APP,右击打开文件所在的位置,打开后看下文件路径里面有没有 WMPFRuntime 这个文件夹,如果没有这个文件夹就不要继续操作了,这个办法不适合你

第三步、如果你找到了这个文件夹,如下图所示,先把电脑上登录的微信全部退出,然后把 WMPFRuntime 文件夹里面的全部删除,删除完成后重新登录微信,如果你不先退出微信,这个文件夹会提示你被占用无法删除的。

只要删除了这个缓存的文件夹,再重新登录微信打开小程序,用fiddle就可以轻松抓包了。

-每天学习一点,今后必成大神-

往期推荐:

Appium自动化系列,耗时80天打造的从搭建环境到实际应用精品教程测试

Python接口自动化测试教程,熬夜87天整理出这一份上万字的超全学习指南  

Python+Selenium自动化系列,通宵700天从无到有搭建一个自动化测试框架

Java+Selenium自动化系列,仿照Python趁热打铁呕心沥血317天搭建价值好几K的自动化测试框架

Jmeter工具从基础->进阶->高级,费时2年多整理出这一份全网超详细的入门到精通教程

Fiddler工具从基础->进阶->高级,费时100多天吐血整理出这一份全网超详细的入门到精通教程

Pycharm工具基础使用教程

与《吐血整理》高级系列教程-吃透Fiddler抓包教程(34)-Fiddler如何抓取微信小程序的包-上篇相似的内容:

《吐血整理》高级系列教程-吃透Fiddler抓包教程(32)-Fiddler如何抓取IOS系统中Flutter应用程序的包

1.简介 上一篇讲解了安卓手机可以通过VPN代理来抓取Flutter应用程序的包,iOS(iphone)同样使用上一篇中VPN方法(原理与android是一致的),同样需要使用到VPN,在iOS也有许多与drony功能类似的软件,大家可以自己选择自己喜欢的使用,宏哥这里使用的是Shadowrocke

《吐血整理》高级系列教程-吃透Fiddler抓包教程(33)-Fiddler如何抓取WebSocket数据包

1.简介 本来打算再写一篇这个系列的文章也要和小伙伴或者童鞋们说再见了,可是有人留言问WebSocket包和小程序的包不会抓,那就关于这两个知识点宏哥就再水两篇文章。 2.什么是Socket? 在计算机通信领域,socket 被翻译为“套接字”(套接字=主机+端口号),它是计算机之间进行通信的一种约

《吐血整理》高级系列教程-吃透Fiddler抓包教程(34)-Fiddler如何抓取微信小程序的包-上篇

1.简介 有些小伙伴或者是童鞋们说小程序抓不到包,该怎么办了???其实苹果手机如果按照宏哥前边的抓取APP包的设置方式设置好了,应该可以轻松就抓到包了。那么安卓手机小程序就比较困难,不是那么友好了。所以今天宏哥重点说一下安卓手机小程序抓包。 2.前言 首先看下是否满足以下条件小程序无法抓包原因 :

《吐血整理》高级系列教程-吃透Fiddler抓包教程(35)-Fiddler如何抓取微信小程序的包-下篇

1.简介 通过前边和宏哥的学习,我们了解到Android 7.0 之后增加了对第三方证书的限制,抓包工具(charles、fiddler等)提供的证书都无法通过校验,也就无法抓取HTTPS请求了,对测试工作影响很大。 最近更新的微信 7.0 也增加了第三方证书校验,导致无法正常抓包。 2.解决思路

《吐血整理》高级系列教程-吃透Fiddler抓包教程(36)-掌握Fiddler中Fiddler Script用法,你会有多牛逼-上篇

1.简介 Fiddler是一款强大的HTTP抓包工具,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大的帮助。Fiddler提供的功能基本上能满足大部分人的基本要求。但是如果我们需要一些更复杂,更便

《吐血整理》高级系列教程-吃透Fiddler抓包教程(37)-掌握Fiddler中Fiddler Script用法,你会有多牛逼-下篇

1.简介 Fiddler是一款强大的HTTP抓包工具,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大的帮助。Fiddler提供的功能基本上能满足大部分人的基本要求。但是如果我们需要一些更复杂,更便

吐血整理如何在Google Earth Engine上写循环 五个代码实例详细拆解

在这里同步一篇本人的原创文章。原文发布于2023年发布在知乎专栏,转移过来时略有修改。全文共计3万余字,希望帮助到GEE小白快速进阶。 引言 这篇文章主要解答GEE中.map()和.iterate()函数的用法。 首先解答一个疑问,为什么需要自己写循环?确实,GEE 为各种数据类型提供了无数常用的内

MQ消息积压,把我整吐血了

前言 我之前在一家餐饮公司待过两年,每天中午和晚上用餐高峰期,系统的并发量不容小觑。 为了保险起见,公司规定各部门都要在吃饭的时间轮流值班,防止出现线上问题时能够及时处理。 我当时在后厨显示系统团队,该系统属于订单的下游业务。 用户点完菜下单后,订单系统会通过发kafka消息给我们系统,系统读取消息

Java面试题:Spring Bean线程安全?别担心,只要你不写并发代码就好了!

Spring Bean是单例模式,即在整个应用程序上下文中只有一个实例。在多线程环境下,Singleton Scope Bean可能会发生线程安全问题。Spring Bean是否线程安全取决于Bean的作用域和Bean本身的实现。在使用Singleton Scope Bean时需要特别注意线程安全问...

Java面试题:SpringBoot异常捕获,让程序“免疫”一切错误!

在Spring Boot应用程序中,捕获全局异常是一个重要的方面,它可以帮助我们处理在应用程序运行时可能发生的各种错误情况。通过适当地捕获和处理这些异常,我们可以改善用户体验并及时采取必要的措施。