这两个洞是公众号的，以下是我利用Charles+burp进行抓包，Charles的配置。

测公众号的话，可以用浏览器打开，以下主要是可以进行微信小程序的测试。不用下载什么模拟器，pc端完全可以。但是找小程序包的逆向看源码，我发现有一个相同的小程序，模拟器里面的包有主包和分包。PC端的只有一个主包。进行查看，分包里面的内容也没有什么可用的，但是有的小程序PC端也会发现分包。真机的话，已经在root的手机没有在小程序包的目录发现。

还有小程序在模拟器找小程序包的话，要root，用雷神的话，文件管理器会赋予root权限，可以进行根目录的查看。要是真机或者mumu的话需要下载一个Root Explorer，才可以查看根目录。当然可以用adb进入shell，在导出wxapkg包也完全可以。

首先安装证书

之后跟着走就安装好了

接着需要配置https。

最后配置连接到bu