小程序抓包

## 一、定义

小程序是一种不需要下载安装即可使用的应用，它实现了应用“触手可及”的梦想，用户扫一扫或者搜一下即可打开应用。也体现了“用完即走”的理念，用户不用关心是否安装太多应用的问题。应用将无处不在，随时可用，但又无需安装卸载。

## 二、抓包

### 2.1 安装burp证书

进入burp网络代理模块，选择【import/export CA certificate】

![image-20250804151423194](https://oss.maolin101.com/image-20250804151423194.png-101.webp)

选择export模块的第一个，导出DER证书，点击next

![image-20250804151527140](https://oss.maolin101.com/image-20250804151527140.png-101.webp)

选择导出的位置和名称，点击next

![image-20250804151716452](https://oss.maolin101.com/image-20250804151716452.png-101.webp)

导出成功，会在你导出的位置中生成证书，

![image-20250804151803599](https://oss.maolin101.com/image-20250804151803599.png-101.webp)

双击证书，进行本地安装，点击安装证书

![image-20250804151845716](https://oss.maolin101.com/image-20250804151845716.png-101.webp)

选择当前用户或者本地计算机都可以，点击下一步

![image-20250804151906319](https://oss.maolin101.com/image-20250804151906319.png-101.webp)

选择【将所有的证书都放入下列存储】

![image-20250804152001765](https://oss.maolin101.com/image-20250804152001765.png-101.webp)

点击浏览，选择【受信任的根证书颁发机构】

![image-20250804152056426](https://oss.maolin101.com/image-20250804152056426.png-101.webp)

![image-20250804152102626](https://oss.maolin101.com/image-20250804152102626.png-101.webp)

点击下一步，完成。

![image-20250804152128030](https://oss.maolin101.com/image-20250804152128030.png-101.webp)

### 2.2 安装代理工具

所用代理工具为【Proxifier】汉化版本，下载地址：https://www.cckyedu.com/software/13717.html（！自行检测是否带毒！）。

点击【配置文件】，选择【代理服务器】

![image-20250804153002829](https://oss.maolin101.com/image-20250804153002829.png-101.webp)

点击添加，代理地址和端口请与burpsuite保持一致，配置完成之后点击检查，检查通过之后一直点确定。

![image-20250804153120211](https://oss.maolin101.com/image-20250804153120211.png-101.webp)

![image-20250804153129207](https://oss.maolin101.com/image-20250804153129207.png-101.webp)

此时，需要定位到小程序的进程，可以先打开一个小程序，然后在任务管理器中进行定位，小程序的名称为WeChatAppEx.exe

![image-20250804153432682](https://oss.maolin101.com/image-20250804153432682.png-101.webp)

展开之后，任意选择一个，然后鼠标右键，选择【打开文件所在的位置】

这是我电脑上面的程序位置

![image-20250804153637774](https://oss.maolin101.com/image-20250804153637774.png-101.webp)

回到代理工具，点击【配置文件】，选择【代理规则】

![image-20250804153827423](https://oss.maolin101.com/image-20250804153827423.png-101.webp)

进入规则之后，点击【添加】

![image-20250804154049602](https://oss.maolin101.com/image-20250804154049602.png-101.webp)

点击浏览，选择微信小程序所在路径对应的程序，最下面的动作选择上面配置的127本地

![image-20250804154223939](https://oss.maolin101.com/image-20250804154223939.png-101.webp)

只选择所配置的代理规则，然后点击确定

![image-20250804154830221](https://oss.maolin101.com/image-20250804154830221.png-101.webp)

注意：以上三条规则中的每一项，请保持一致。

回到burp，任意打开一个小程序，即可抓到数据包。

![image-20250804155003841](https://oss.maolin101.com/image-20250804155003841.png-101.webp)

## 三、测试方法

测试方法与web安全没有区别，只要是HTTP/HTTPS协议，都可以按照web安全的测试思路。