-
-
[已解决] [求助]用了SSL pinning的wx小程序如何抓包 10雪币
-
发表于: 2025-8-6 15:02
-
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
你是安卓上抓包,微信除了安卓版还有windows版。上面有人说了在windows版抓包,很容易抓,用你说的fidder。 |
|
|
谢谢老师们的回复,我又用fiddler测了一遍,还是不行,只能抓到如下的数据,后面再点进场地列表(fiddler无反应),提交订单(fd无反应),就没有动静了,为了确认设置没有问题,我又找了一个公众号订场地的系统,就是直接在公众号里预订场地,那么fiddler可以抓到所有的场地数据,说明配置确实没有问题。 恳请老师们方便的话能截个图看一下场地数据的抓取过程。感谢。
|
|
|
微信windows版,可以进入到场地列表界面,但是选中场地提交订单,直接就报网络异常,这个设不设置代理,都是直接报这个错,感觉是这个系统就不让你用微信电脑版去预订场地。 |
|
|
这是电脑端小程序 点击提交订单后的提示,这是正常运行的,没有设置任何代理。
|
|
|
1、你fiddler配置问题?安装证书? 2、非常容易提取源代码,有些有算法的,必须提取原代码分析 |
|
|
提交订单这个操作应该不是小程序范畴而是调用微信api?估计因为有金钱交易(我猜的,我没用你这个小程序)。有金钱交易任何抓包都会严格效验,因为有可能在违法。 |
|
|
|
|
|
如果证书安装有问题,或者配置不对, 是不是我上面说的测试公众号订场地的就抓不到数据包了吧? 提取源码,对我这种三脚猫选手来说,就有点难度了,更不用说分析源码了,哎。 另外我说了公众号订场地能抓到完整数据包,就包含了提交订单的操作,跟微信api没有关系我觉得。 感谢分析。 |
|
|
我确实是多次测试过了,先开不关,先开后关,后开后关,能想到的都试了一遍,都是报错。 所以能否恳请您:1,安卓您是怎么测试的,用的什么软件,是电脑fiddler,手机连上抓取的还是怎么弄的。 2,辛苦截个过程图吧,我测试的从场地列表出来到提交订单,fiddler都是没响应的,跟公众号那个测试完全不一样。 谢谢。 |
|
|
我这安卓真机用Reqable测抓包完全没问题(起码短信接口是正常的),目前还碰见过在小程序里做证书检测的案例; 大概率是你证书配置有问题,现在的微信证书配置必须要求系统根证书,我记着Reqable是可以通过adb将证书推送到根目录上的,你自己测下吧  
2025-8-13 09:50
|
|
|
谢谢回复,那应该是证书的问题了,不过不是配置问题,而是华为手机无法安装到根目录,Reqable的adb安装证书也是特指root的设备,所以我这个只有用户证书,抓不到数据也是正常。因此才考虑如何通过电脑fiddler抓手机的数据包。 |
|
|
|
|
|
windows版本使用fiddler抓小程序包一点问题都没有。你有问题说明fiddler证书没有替换windows系统证书。 安卓使用代理fiddler抓包一样要证书替换安卓系统证书,记得是通过安卓浏览器访问代理的fiddler页面安装 |
|
|
是的,试过了,其他https的都不行,上面说测试成功的公众号订场地的,那个是http,难怪没有问题。 |
|
|
费心了老师们。 我测试的是这样的,windows版的小程序,在不使用代理,正常使用情况下, 就无法提交订单,就是上面那个操作异常的截图。就是说这个订场地系统就不让用windows版来提交订单。我是这么理解的。 安卓版的替换不了系统证书,通过安卓浏览器访问代理的fiddler页面安装的也是用户证书。 |
|
|
|
|
|
这个不太懂,是分析小程序的提交过程吗,还是说可以改变小程序对系统信息的识别,因为现在正常的电脑版本就是不能提交的,不知道怎么去分析,麻烦老师再深入讲一下吧,谢谢。 |
