推荐一个wx小程序抓包工具（mac）

0x01 Proxyman简介

Proxyman是一个原生的高性能macOS端的抓包工具，它使开发或测试人员能够轻松地捕获、检查和操作HTTP或HTTPS请求/响应。

下载地址：https://proxyman.io官方文档：https://docs.proxyman.io

具体怎么安装使用 包括安装证书这里就不教了 简单演示一下

0x02 Proxyman模拟器 手机抓包

这里不废话演示了 自己琢磨琢磨 就知道了

0x03 Proxyman流量转发

比如我们习惯使用burp来拦截 重放请求等相关功能 

burp

有些情况 不知道为什么拦截不到 当然这不影响操作 

呕吼 就在我用着 搜狗输入法打字写这个文章的时候 突然跳转到burp了 原来是把搜狗的包抓到了

0x04 Proxyman请求转代码

可以看到直接可以将当前选中的请求转为代码 支持主流的编程语言

当然如果不满足 可以选择curl格式

转代码：https://curl.iculture.cc/

0x05 Proxyman断点

保存 再次请求 就可以断点了

0x06 Proxyman实战

以下简单示例 打开wx随便扒拉个wx小程序 点进去

这里来个 厚码

可以看到打开小程序 就看到跑了一些数据包 一个个分析 

任意用户信息遍历

最后一顿扒拉 页面基本点到位了 挨个数据包看 参数挨个测试 发现 有个包 获取的用户信息 url:https://xxxxxxx/getdetail&id=11111一看参数可控 发包 替换其他 呕吼 可以获取其他人的信息 包括 手机号 地址 毕业学校 专业 等敏感信息（是个美女）

那么 其实就是获取用户的接口 实际页面 这些字段不会显示 由此可见 此开发者 （狗头）懒的一批

从而导致用户信息泄露 

最后 顺利找到后台地址 

原来是个人开发的  c断一看 呕吼 好多资产 好嘞 后续就不放出来  结束收工 睡觉