前言：夜神模拟器安卓7以上直接安装证书，是无法成功抓取app的https数据包的，因为安卓7默认不再信任用户安装的证书，此时就需要使用adb将证书导入系统进行安装，下面以夜神安卓9为例。一、openssl转换证书格式1.导出burp证书至桌面2.安装openssl环境openssl用于转换证书格式，以下为windows安装openssl的方法，直接使用exe安装方式即可：https://blog.csdn.net/sunhuansheng/article/details/822186783.转换证书格式1）cmd命令行模式下输入：opensslx509-informDER-incacert.d

0x00环境与安装2021专业版推荐使用jdk11BP:https://portswigger.net/Burp/Releases注册机:https://github.com/h3110w0r1d-y/BurpLoaderKeygen/releasesjavasdk:https://download.java.net/openjdk/jdk11/ri/openjdk-11+28_windows-x64_bin.zip**vbs自启动脚本：**DIMobjShellDIMcommandsetobjShell=wscript.createObject("wscript.shell")command

工具介绍BurpSuiteBurpSuite是用于“攻击”web应用程序的集成平台（java编写），包含了许多工具。BurpSuite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。BurpSuite简单易懂，使用方便，而且支持插件拓展，是系统安全工程师必备的工具，在国内应用广泛，文档和教程齐全，可在bilibili上找到各式各样的学习视频学习。结合web渗透靶场使用bp参考：https://blog.csdn.net/liaomin416100569/article/details/128200652?s

前言近期找到了最适合自己的高版本安卓版本移动应用抓HTTP协议数据包教程，解决了安卓低版本的问题，同时用最简单的办法抓到https的数据包，特此进行文字记录和视频记录。前期准备抓包工具：BurpSuite安卓模拟器：雷电模拟器9–极核GetShell没有该工具的可以自行前往下载，激活教程可以自行查看牛牛的其他文章。视频教程链接下方有视频教程，有需要的可以自行前往查看【抓包教程】安卓高版本抓包移动应用教程图文教程建议结合视频教程进行操作！准备激活好的BurpSuite，安卓模拟器推荐使用极核GetShell发布的雷电模拟器9！打开系统自带的浏览器，搜索via浏览器，然后下载并安装后打开！打开Bu

单一的sqlmap工具在大部分网站注入是不可行的，这时候就需要借助sqlmap和burpsuite联动的办法来进行工具注入。这种方法是可以注入大部分网站的，十分通用，那要如何操作呢？首先，我们要用firefox部署好dvwa靶场，（python3.10以下环境变量，phpstudy需要具备）将安全指数改为low。保证phpstudy中Apache和MYSQL都是绿灯。然后将firefox网站连接设置为手动代理127.0.0.1，端口8080，如下图以获取dvwa中admin和password为例演示。1.win+r在cmd中输入config，找到自己的ip地址。将dvwa靶场默认url：127

前言近期笔者在学习web渗透测试的相关内容，主要是为了公司之后的安全产品服务。渗透测试本身在学习过程中还是很有意思的，有一种学习到了之前想学但是没学的黑客技术的感觉，并且对笔者已掌握的许多知识做了有益的补充。要学习渗透测试，首先需要明白什么是渗透测试，以及如何进行渗透测试，这其中很多资料可以在网上找到。什么是渗透测试渗透测试是一项在计算机系统上进行的授权模拟攻击，旨在对其安全性进行评估。渗透测试人员使用与攻击者相同的工具、技术和流程，来查找和展示系统弱点对业务带来的影响。渗透测试通常会模拟各种可能威胁您业务的攻击。渗透测试可以检查系统是否足够稳定，能否抵抗来自经过认证和未经认证的攻击，以及一系

一、Proxifier下载地址https://proxifier.com/download/二、激活用户名：V3激活码：3CWNN-WYTP4-SD83W-ASDFR-84KEA三、配置点击Proxies点击Add—>地址默认为127.0.0.1，端口为与burp一致，选择HTTPS规则配置add添加，名字随便取点击+号选择小程序文件在访达中使用快捷键command+shift+G搜索小程序的位置/Applications/WeChat.app/Contents/MacOS/WeChatAppEx.app/Contents/Frameworks/WeChatAppExFramework.fra

一.BurpSuite工具安装及配置1.BurpSuiteBurpSuite是用于Web应用安全测试、攻击Web应用程序的集成平台，它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。BurpSuite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。BurpSuite结合先进的手工技术与先进的自动化，使你的工作更快，更有效，更有趣。BurpSuite是Java编写的，所以在使用前需要安装JDK环境，这里不进行具体讲解如何安装JDK。官方下载地址：

介绍：Burpsuite是一款有助于web安全性渗透测试的自动化工具，其集成了暴力破解、数据抓取、漏洞扫描、网络爬虫、编码转化等功能，通过观察、监听报文在交互过程中的变化，可以更进一步处理数据。下载Burpsuite下载java环境Burpsuite激活安装Burpsuite配置监听端口导入CA证书代理请求下载Burpsuite工欲善其事必先利其器。在网上搜索并下载burpsuite，百度、公众号、github等很多地方都有资源，burpesuite的版本更新很快，每个几个月就会有新的版本出现（或者更短的时间），选择一个适合自己的就可以了。Burpsuite还可以按照自己的需求安装中英文和各种

工具Proxifier以及burpsuiteProxifier下载地址https://www.mustdown.com/software/13717.html以上是破解版汉化版的下载地址，也可以去Proxifier官网下载30天的试用版本下载地址如下https://www.proxifier.comProxifier配置配置文件-->代理规则-->添加名称随意填写应用程序填写WeChatAppEx.exe动作选择Proxy HTTPS127.0.0.1如下图记得将其他的配置勾选取消并且动作设为Direct如下图代理服务器配置配置文件-->代理服务器-->添加地址127.0.0.1端口8080类