一键解锁攻防演练小程序渗透新姿势 | 红队小白不再被劝退 - 新鲜讯息

本文使用的工具 DudeSuite（Dude Suite Web Security Tools）DudeSuite是一款轻量化集成化的Web渗透测试工具集程序，程序包含了多种常见的渗透测试场景适用的工具除经典的请求重放、请求爆破、漏洞验证、流量劫持、端口扫描、远程管理核心功能外不定时的更新常用的功能插件如：常见的编码解码、加密破解、网络空间资产搜索、域名爆破、JWT构造爆破、SQL注入等。可高效地对Web应用程序进行合规渗透测试及漏洞挖掘验证，复现Web应用中的安全隐患，排除信息信息系统潜在安全风险。适用于HW行动、红队大佬、渗透团队、安全评估测评机构等，当然也适合蓝队自查（能自查？要不去当红队吧）。目前支持桌面端Windows及MacOS。本文重点介绍使用“流量劫持”功能对https及微信小程序的数据包的抓取及重放。先聊聊传统微信小程序调试手法，目前微信小程序调试手法还是挺多的，如：反编译审计代码、强开F12DevTools、Hook进程各种骚操作、当然最流行的还是BurpSuite+Proxy代理这种方式。总的来说条条大路通罗马姿势总不是千篇一律的，偶尔换换姿势也是可以学到很多东西。但是谁不想一键日卫星呢？来来来... 先看VCR：通过男主秀一顿VCR后，现场大佬开始点评了。对。就是和网站一样，直接复制请求进行改包重放，该注入注入、该上传上传、该遍历遍历，调试门槛直接拉低几个档次，再也不需要开几个工具各种设置、也不需要反编译组合参数、更不需要Hook进程不知道搞啥玩意。内测时小伙伴说得最多的词就是：丝滑、润。