fiddler手机抓包没反应

声明：本公众号发布的文章大部分来自作者的日常学习笔记，部分文章经过作者授权及其他公众号转载。未经授权，严禁转载。若需转载，请联系开百。

本公众号提醒读者，请勿利用文章中的技术内容进行非法测试，由此产生的一切不良后果与文章作者及本公众号无关。

目前大图推送功能仅对常读和加星的公众号显示，建议大家将“潇湘新安定”设为星标公众号，以确保能够接收到我们的内容。

本文已经得到作者@苏雅图师的授权，在此感谢他的贡献。现在，我们可以开始阅读这篇文章了。

文章来源：博客园（苏雅图）

文章概览：

一、事件回顾

我们来谈谈最近发生的“微信绑定手机号数据库被下库”事件。我第一时间了解到了这个消息，并了整个事件的进展。以下是关于该事件的相关截图以及近期的1万个数据样本。

我想提醒大家关注另一个消息，即之前的45亿快递数据查询通道疑似复活。这个消息的真实性尚未确定，因为公开查询个人信息存在风险，但我们可以知道的是，之前的查询渠道名为“星链”，现在更名为星盾。

我之所以提到这两件事，是因为它们与我要分享的微信小程序抓包教程有关。特别是受到“微信绑定手机号数据库被下库”事件的启发，人们开始关注如何获取微信账号的wxid，这个问题在某个圈子里迅速火热起来。有人已经找到了解决方法，思路也相当简单。接下来我将详细介绍这个过程：

特别说明：此方法仅适用于iOS系统（苹果系统）。

二、抓包教程

1. 从Apple App Store下载并安装“Stream”软件。

2. 配置代理并安装，详细教程已内置在软件中。

3. 开始抓包，为了方便演示，我在iPad上进行了测试。

4.在微信群中找到目标用户，点击其头像，然后右上角进行投诉。选择任意投诉原因，注意这并非真正的投诉，而是为了获取加载的数据包。最后一步不需要提交。返回工具页面，点击上传流量即可查看数据包。

选择按域名查看数据，通常情况下，上报功能会请求weixin110子域名。选择其中的POST请求，exposeh5cgi是标识符。选择请求模块以查看请求的数据包，然后向下滚动并查看请求正文。箭头处的realChatUser即是投诉用户的wxid。获取wxid意味着即使不知道对方的微信名也能找到其手机号码。这就是今天的抓包思路分享。同理，微信小程序也是可以通过这种方式进行抓包的。我可能不是第一个发现这个方法的人，但在实际操作中确实有一些细节需要注意。我会在文章最后详细讲解这些注意事项。因为可能会有读者反驳我，微信小程序抓包不是有很多思路吗？确实如此，你所知道的方法我都了解，但问题在于很多思路在实际操作中很容易失败。接下来我会介绍一些基本的思路和方法。第一种方法是使用Burpsuite配合模拟器进行抓包。Burpsuite是众所周知的渗透测试抓包工具，理论上通过模拟器配置进行抓包应该是可行的。这个想法最初是可行的，但后来微信改变了规则，这个方法就失效了。几个月前有人称微信似乎禁止在模拟器上登录，检测到后会警告甚至封禁账号。这个消息的真实性尚未得到证实。对于更专业的同学来说，可以安装如“Xpose框架”之类的工具来增强模拟器的功能，尝试绕过微信的检测机制。第二种方法是使用Fiddler在微信PC端抓包。Fiddler是一个功能强大的数据包捕获工具，也可以用于分析数据包。它适用于微信PC端和模拟器，但这个方法似乎从去年11月左右开始就不再有效了，具体细节还需要进一步确认。第三种方法是使用Charles在微信PC端抓包。Charles是一款HTTP代理和HTTP监控工具，尤其适用于网页浏览器。这种方法可以捕获一些特殊的数据包，如JavaScript触发的数据包等。还可以通过在苹果手机上设置网络代理，使用电脑工具来捕获手机的数据包，包括微信小程序或手机QQ的数据包。这个方法我曾经亲自测试过，但目前还不清楚是否仍然有效。