!
也想出现在这里? 联系我们
创意广告

渗透测试小技巧之绕过“请在微信客户端打开链接”

前言

现在在渗透测试的过程中,针对微信公众号、微信小程序的测试变得越来越普遍。

但是某些网站限制只能在微信客户端中打开,不利于咱们进行测试,如何绕过“请在微信客户端打开链接”因此变得比较重要。

今天为大家带来几个绕过的小技巧,客官请往下继续查看~~~

检测原理

为了绕过“请在微信客户端打开链接”,咱们得先知道它是怎么检测出来咱不是用微信浏览器打开的。

图片[1]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

虽然样式不同,但是咱们可以通过代码查看到:

图片[2]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

主要是检测userAgent,根据userAgent判断设备,检测是否存在iphone,存在的话就进入正常程序,如果不是则显示“请在微信客户端打开链接

方式一

知道了检测方式,咱们只需要修改浏览器userAgent,绕过检测。

首先打开浏览器设置,按住F12,选择设备

图片[3]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

添加自定义设备:

其中userAgent为:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090a1b) XWEB/9129
图片[4]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

选择新建的UA之后,刷新页面,即可绕过检测

图片[5]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

方式二

这个其实有些绕弯路,咱们最终的目的是绕过“请在微信客户端打开链接”,对网页进行测试,咱们的目的是为了抓包,直接使用浏览器抓包只是选择了一个方便的途径。

咱们也可以直接选择使用抓取全局流量包,获取微信的流量数据包转发至Burpsuite上,再进行测试。

这里使用全局流量监听fiddler工具进行转发。(不选择使用微信自带的代理服务器做监听的原因是:直接转发burp可能会影响微信正常流量,导致出现意外。)

下载安装fiddler之后,点击配置网关,设置成burp端口

图片[6]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

此时咱们也可以抓到微信的数据包,然后开始渗透测试即可

图片[7]-渗透测试小技巧之绕过“请在微信客户端打开链接”-安全小天地

总结

通过修改浏览器UA可以绕过基于js检测的微信客户端检测,其实大多数时候,为了程序更好的运行,可以考虑使用fiddler进行流量转发,此种方法比直接使用安卓模拟器抓包便捷些,对于小程序等的测试也更加方便。


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞1834 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容