无Wifi连接情况下,使用Reqable + BurpSuite在移动网络下实现微信小程序攻击
前言
在我订外卖的时候,看着学校食堂外卖的小程序,突然想到我还没打过它!回到寝室,开启我的BurpSuite打算愉快的抓一个包,然后看着我手机的移动网络愣住了。
BurpSuite想要抓包需要先设置代理和配置证书,然后BurpSuite才会作为中间人劫持流量。基本上网上所有关于BurpSuite抓取小程序包,要么用实机要么用模拟器,不过他们都是给Wifi上代理实现BurpSuite的抓包。但是因为我的校园网只有两个端口,其中一个还给学长用了,现在只有一个端口,意味着我无法两个设备同时使用Wifi。
就当我一筹莫展的时候,翻到了以前用的手机抓包工具Reqable。在配置好证书,设置VPN后就可以对手机进行流量抓包。不过我们这里要用到的是它的远程协同功能,这个功能可以实现在移动端开启抓包,连接远程Windows客户端后,将移动端的流量转发给Windows客户端。
那么现在我就可以手机开启移动热点;电脑连接热点;电脑开启Reqable客户端;手机开启远程协同连接,将抓取的流量转发给电脑客户端;电脑客户端设置二级代理,再将流量转发给BurpSuite。
实现流程
为了演示方便,我将手机内容投屏到电脑上进行查看。
Reqable 安卓移动端
- 安卓移动端官网: https://reqable.com/zh-CN/android
- 如果用的是IOS也可以去
App Store下载
下载完后,点击左上角,在出现的界面找到辅助服务
根据提示进行安装。安装后,打开辅助服务
回到Reqable,打开辅助服务
此时就可以抓HTTP的包了,不过因为没配置CA证书的原因,无法抓HTTPS的包。证书等会儿设置。
Reqable Windows端
Windows端官网: https://reqable.com/zh-CN/windows
下载安装后打开
点击上方的证书,在里面选择安装根证书到Android设备
点击进去,选择合适自己的方式,根据教程安装。
我这里是装的Magisk模块。将模块上传到手机,安装模块即可
Reqable 远程协同
Windows端点击上面的手机符号,选择和手机同一LAN下的IP,会生成一个二维码
移动端进去Reqable菜单,选择远程设备
点击进去,点击右上角的加号,点击扫描二维码,扫描Windows上的二维码,扫描成功后会添加设备
返回,可以在菜单里发现多了一个远程设备
点击进去,显示设备已连接即可。
此时就可以正常的抓包了,抓取的流量都会转发到电脑上
Reqable 二级代理BurpSuite
点击Windows客户端上方菜单栏的代理,找到二级代理即可设置代理。
不过此时由于手机没有配置BurpSuite的证书,所以是抓不了HTTPS流量的。
BurpSuite证书设置
这就老生常谈了,网上一堆教程。
在BurpSuite证书设置完成后,就可以用BurpSuite愉快的抓取手机流量了。
实战测试
抓包效果测试
手机点击右上角,可以选择要抓什么程序的数据包
点击进去,这里选择微信
返回,点击右下角开始抓包
看看效果
成功。
渗透测试
打开我们要测的小程序。观察BurpSuite
发现/api/miniapp下多个带有JSON格式的POST请求,发到Repeater测试。
存在报错型SQL注入,跑一遍sqlmap
成功爆出数据库。