引子

学习微信小程序渗透测试时,第一步便是抓包。然而Linux下进行微信小程序抓包有些许小坑点。网上的教程或多或少存在一些问题。

前言

微信官方出Linux客户端啦,我们有救了。

官方推出了AppImage包,我们可以在任何Linux环境运行微信。

配置burp证书

运行以下脚本,将burp证书导入到系统证书中并信任。

1
2
3
# 替换成你的burp证书
cp burp.cer /etc/ca-certificates/trust-source/anchors/burp.cer
update-ca-trust

重启操作系统

抓包示例

通过系统代理将微信小程序包转发到burp中

俺尝试了一下proxychains,不太能用,放弃了

运行以下脚本

1
2
3
export http_proxy="http://127.0.0.1:8080"
export https_proxy="http://127.0.0.1:8080"
./WeChatLinux_x86_64.AppImage

我们整一个alias在环境变量中,下次就可以愉快的使用啦

1
2
3
# 微信小程序抓包快速启动{{{
alias wechat="export http_proxy="http://127.0.0.1:8080";export https_proxy="http://127.0.0.1:8080";~/linux_appimage/WeChatLinux_x86_64.AppImage"
# }}}

参考

首发-Linux 原生微信小程序抓包 | CN-SEC 中文网