【背景】

        前几天因为工作需要,我要测试某客户的公众号的安全性,期间学到了一点技巧。似乎之前也没有看到有圈友提到过,这里做一个笔记希望对看官们有帮助,同时也避免自己遗忘了。

【失效的burp】

        我要测试的公众号进入都是H5页面,哪么这还是像测试一般的网站一样,去抓包分析测试这些页面,打开burp就开始撸。启用了burp的代理,设置好手机的代理后就开始抓包了。公众号打开如下:

        image.png

    配置好代理后点击 “注册登录”开始抓包吧:image.png

    点击打开后302到了微信的认证,然后就卡住了页面空白了。是不是burp的证书没有安装?验证一下,使用手机上的浏览器打开github看看如下:


image.png


    image.png

        这一切都是正常的,哪么说明burp的证书是OK的,哪怎么办?公众号的H5页面抓不到包了吗?


【祭出Chrome】

            我们可以使用电脑上的Chrome远程调试手机微信的H5页面,使用像电脑上访问网页一样的操作。操作步骤如下:

        1. 打开微信 TBS 调试-(只支持Android)

            手机微信访问链接:http://debugx5.qq.com,这个时候Android会出现X5调试页面如下:

image.png image.png

        点开启用,“打开TBS内核Inspector调试功能”。

        2. 打开电脑上的Chrome浏览器

           访问地址:chrome://inspect/#devices,如下:

        image.png

                

    3. 打开手机USB调试,连接USB数据线

        使用adb验证是否连接如下:

        image.png

        查看Chrome的也可以验证如下:

image.png


    4. 现在可以打开微信公众号进入网页

        打开页面如下:

        image.png

        此时查看Chrome如下:

        image.png

        点击 “inspect” 后如下:

        image.png


【祭出Burp】


        此时就可以用Chrome远程调试微信的H5页面了,这里没法用burp来抓关键请求包,但是我们可以用Chrome的Copy AS CuRL,然后在命令后面添加-x 127.0.0.1:8080,将关键请求包转到burp进行爆破,重放等测试来,如下:


image.png



【最后】

        本文记录了一下如何使用Chrome的远程调试APP的H5页面,虽然不是特别牛逼的技巧,但是非常适用的。

    referer:

        1. https://blog.csdn.net/ruihaol/article/details/78126651