这两个洞是公众号的,以下是我利用Charles+burp进行抓包,Charles的配置。
测公众号的话,可以用浏览器打开,以下主要是可以进行微信小程序的测试。不用下载什么模拟器,pc端完全可以。但是找小程序包的逆向看源码,我发现有一个相同的小程序,模拟器里面的包有主包和分包。PC端的只有一个主包。进行查看,分包里面的内容也没有什么可用的,但是有的小程序PC端也会发现分包。真机的话,已经在root的手机没有在小程序包的目录发现。
还有小程序在模拟器找小程序包的话,要root,用雷神的话,文件管理器会赋予root权限,可以进行根目录的查看。要是真机或者mumu的话需要下载一个Root Explorer,才可以查看根目录。当然可以用adb进入shell,在导出wxapkg包也完全可以。
首先安装证书
之后跟着走就安装好了
接着需要配置https。
最后配置连接到bu