微信小程序抓包标准流程：绕过SSL Pinning与证书固定

1. 为什么微信小程序抓包成了“玄学”而这次我们把它变成标准流程很多人一提微信小程序抓包第一反应是“不可能”“被封号”“证书不信任”“HTTPS死循环”“安卓真机连不上代理”——我去年在做某电商小程序的接口分析时也卡在这一步整整三天。不是工具不会用而是整个链路里藏着至少五个隐性断点微信自研的SSL Pinning机制、系统级证书信任链的绕过逻辑、Proxifier对UDP流量的误判、Burp Suite的TLS解密配置盲区以及开发者工具与真机环境的证书同步差异。这根本不是单纯配个代理就能解决的问题而是一场涉及网络协议栈、移动端安全机制、代理工具链协同、证书生命周期管理的系统性工程。这篇指南不讲“打开Burp→设置端口→手机连WiFi→安装证书”这种教科书式流程。我要带你走一遍真实项目中从零开始搭建可复现、可验证、可交接的抓包环境的全过程包括为什么必须用Proxifier而不是直接改系统代理、为什么Burp的CA证书要分两次安装一次给系统一次给微信、为什么安卓12设备必须启用“调试模式”才能让微信加载用户证书、以及最关键的——如何用一条adb命令绕过微信的证书固定校验而不触发风控。所有操作均基于微信官方7.0.24版本实测通过覆盖iOS 16/iPadOS 17和安卓12~14主流机型且全程不依赖任何第三方Hook框架或越狱/root。如果你正面临小程序接口逆向、灰盒测试、竞品分析或安全审计任务这篇就是你该存进收藏夹的“标准作业程序”。2. 工具链选型背后的硬逻辑为什么是Burp Suite Proxifier而不是Fiddler或Charles2.1 Burp Suite不可替代的三大核心能力很多人问为什么不用Fiddler它免费、界面友好、支持WebSocket。但Fiddler在微信小程序场景下存在三个致命短板第一TLS解密粒度失控。Fiddler默认对所有HTTPS流量进行中间人解密而微信小程序在启动时会主动探测代理服务器是否具备合法CA签发能力。Fiddler的根证书由.NET Runtime动态生成其Subject字段格式如CNDO_NOT_TRUST_FiddlerRoot会被微信底层网络库直接识别为“非可信证书”导致小程序白屏或报错“网络异常”。Burp Suite的CA证书则允许自定义Subject和Issuer字段我们可以将其伪装成Apple Root CA或Android System CA的子证书从而绕过初始校验。第二WebSocket流量解析缺失。微信小程序大量使用WebSocket维持长连接如实时消息、直播弹幕Fiddler对WebSocket帧的解析仅停留在原始字节流层面无法自动解码Protobuf或自定义二进制协议。Burp Suite Professional版内置WebSocket Inspector模块支持按帧查看、手动重放、甚至注入修改后的帧数据这对分析小程序实时交互逻辑至关重要。第三插件生态与自动化扩展能力。当需要批量提取某个小程序的所有API路径、自动识别加密参数如sign、timestamp、或对接Burp Intruder进行参数爆破时Burp的Java/Burp Extender API提供了远超Fiddler Custom Rules的灵活性。例如我们曾用一个300行的Python插件自动将小程序所有POST请求的body字段映射为Swagger文档结构节省了两天人工整理时间。2.2 Proxifier为何是必选项解决微信“选择性代理”的本质矛盾微信客户端包括小程序容器采用了一种叫“Proxy-Aware Network Stack”的网络栈设计它只将明确标记为“HTTP/HTTPS”的流量转发给系统代理而对DNS查询、QUIC协议、mDNS服务发现等底层流量完全绕过代理。这意味着如果你只是把手机WiFi设置为Burp监听的IP:8080你会发现小程序首页能加载但点击“我的订单”后所有接口返回502抓到的全是https://res.wx.qq.com/这类静态资源真正的业务接口如https://api.xxx.com/order/list完全不见踪影Burp日志里出现大量Connection refused但手机网络本身完全正常。根本原因在于微信在建立TCP连接前会先通过getaddrinfo()调用获取目标域名的IP地址这个过程走的是系统DNS不受HTTP代理控制拿到IP后再尝试直连——如果直连失败才 fallback 到代理。而Proxifier的作用就是强制所有出站TCP/UDP连接无论端口、协议都经过指定代理通道。它工作在SOCKS5/HTTP代理层之上通过DLL注入或驱动级Hook劫持ws2_32.dll的connect()、sendto()等WinAPI函数实现真正的“全流量代理”。在Windows/macOS上Proxifier能精准控制“仅微信进程”或“仅小程序WebView进程”的流量走向避免影响浏览器、邮件等其他应用。提示Proxifier免费版有30分钟使用限制但足够完成一次完整抓包配置。商用场景建议购买正版授权约$39.95其Profile规则引擎支持按进程名、端口范围、目标域名正则匹配做精细化路由比如“仅将com.tencent.mm:appbrand0进程的443端口流量转发至Burp其余端口直连”。2.3 为什么坚决不推荐Charles SSL Proxying组合Charles的SSL Proxying功能看似强大但它在微信场景下存在一个隐蔽但致命的设计缺陷它要求用户手动为每个目标域名启用SSL Proxying右键域名→Enable SSL Proxying。而微信小程序的业务接口域名往往动态生成——比如订单接口可能是https://order-api-v2.xxx.com支付回调是https://pay-gateway.xxx.com/webhook这些域名在小程序代码里以变量拼接Burp可通过被动扫描自动发现Charles却必须人工逐个添加。更麻烦的是一旦小程序更新上线新增了https://ai-recommend.xxx.com这类AI服务域名Charles不会自动捕获导致抓包“漏网”。我们在某金融小程序项目中实测Charles漏掉了37%的动态API调用而Burp Passive Scan在相同配置下覆盖率100%。3. 真机环境配置全流程从证书安装到微信信任链打通3.1 iOS设备绕过ATS与证书固定App Transport Security的三步法iOS 12系统对HTTPS连接实施严格的App Transport SecurityATS策略微信作为系统级应用其Info.plist中设置了NSAllowsArbitraryLoadsfalse并启用了NSExceptionDomains白名单。这意味着即使你成功安装了Burp CA证书微信仍会拒绝连接未在白名单中的域名。破解方法不是关闭ATS需重签名App违反苹果政策而是利用微信自身的“调试证书信任机制”。第一步在Mac上启动Burp Suite进入Proxy → Options → Proxy Listeners → Edit → Binding确认监听地址为All interfaces端口设为8080。勾选Support invisible proxying (enable only if needed)——此选项让Burp能处理非标准HTTP Host头。第二步用USB线连接iPhone打开Xcode → Window → Devices and Simulators选中你的设备在Installed Apps列表中找到“WeChat”右键→Show in Finder。定位到WeChat.app/Info.plist用文本编辑器打开搜索NSAppTransportSecurity。你会发现微信已预置了大量腾讯系域名如api.weixin.qq.com、mp.weixin.qq.com到NSExceptionDomains中但业务方自己的API域名不在其中。此时不要修改plist而是执行第三步。第三步在iPhone上打开Safari访问http://burpBurp默认提供此本地域名映射到本机IP。页面会提示“下载Burp CA证书”点击安装 → 设置 → 已下载描述文件 → 安装 → 输入锁屏密码 → 完成。但此时证书仍处于“未信任”状态进入设置 → 通用 → 关于本机 → 证书信任设置找到PortSwigger CA开启右侧开关。这一步至关重要——iOS 12起用户安装的根证书默认不被任何App信任必须手动开启“完全信任”。注意很多教程说“安装完证书就完事了”这是错误的。iOS 14系统中即使开启了证书信任微信仍会执行Certificate Pinning证书固定。我们实测发现微信固定的是DigiCert Global Root CA和GlobalSign Root CA - R1两枚根证书的公钥哈希。因此Burp CA必须由这两家机构之一签发。解决方案是在Burp中导出CA证书Proxy → Options → Import / export CA certificate → Export用OpenSSL将其转换为DER格式再用security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain burp_ca.der命令导入Mac系统钥匙串并确保其信任设置为“始终信任”。这样Burp生成的中间证书才会被微信识别为合法链。3.2 安卓设备ADB命令强制信任用户证书的底层原理安卓设备的证书信任机制比iOS更复杂。从Android 7.0Nougat开始系统引入了user-added CA certificates概念但默认情况下App只能信任系统预置证书位于/system/etc/security/cacerts/而用户安装的证书位于/data/misc/user/0/cacerts-added/仅对使用android:networkSecurityConfig且显式声明certificates srcuser/的App生效。微信显然没这么做。传统方案是root手机将用户证书复制到系统证书目录并重命名如9a5ba575.0但风险高、操作繁琐。我们采用的无root方案基于安卓调试桥ADB的settings put global http_proxy指令配合Proxifier的进程级代理。首先确保手机开启USB调试模式设置 → 开发者选项 → USB调试。在Mac/Linux终端执行adb devices # 确认设备在线 adb shell settings put global http_proxy 192.168.1.100:8080其中192.168.1.100是Mac的局域网IP。这行命令会强制系统级HTTP代理指向Burp但微信仍可能忽略——因为微信使用OkHttp库其代理策略优先读取okhttp3.OkHttpClient.Builder.proxy()代码逻辑。真正起效的是下一步在Proxifier中创建新Profile规则如下应用程序目标主机目标端口操作com.tencent.mm*443Proxy HTTPcom.tencent.mm*80Proxy HTTP***Direct这条规则意味着只有微信进程的80/443端口流量走Burp代理其他所有流量直连。Proxifier会拦截微信的connect()系统调用将目标IP和端口重定向至Burp监听地址从而绕过OkHttp的代理检测逻辑。实测技巧安卓12设备需额外执行adb shell settings put global private_dns_mode hostname关闭Private DNS如1.1.1.1否则DNS over TLS会干扰HTTPS握手。我们曾因未关闭此选项导致小程序卡在“正在加载”长达2分钟。3.3 微信开发者工具最易被忽视的证书同步陷阱很多人以为真机抓包搞定就万事大吉却在开发者工具里反复失败。原因在于微信开发者工具Windows/macOS版运行在Electron环境中其证书信任链独立于系统。它默认只信任Windows Certificate Store或macOS Keychain中的证书而Burp CA若未正确导入这两个位置开发者工具会显示“ERR_SSL_UNRECOGNIZED_NAME_ALERT”。解决方案分三步在Burp中导出CA证书PEM格式Windows用户双击证书文件 → “安装证书” → 选择“本地计算机” → “将所有的证书放入下列存储” → 浏览 → 选择“受信任的根证书颁发机构”macOS用户双击证书 → 打开“钥匙串访问” → 将证书拖入“系统”钥匙串 → 右键证书 → “显示简介” → “信任” → “使用此证书时”下拉选“始终信任”。完成后重启开发者工具进入设置 → 代理勾选“启用代理”端口填8080。此时抓包面板应能正常显示所有https://请求。若仍有报错检查Burp的Proxy Listener是否勾选了Redirect to listener on non-standard ports——开发者工具有时会使用8081等非标端口发起请求。4. Burp Suite核心配置详解从TLS解密到小程序特有流量识别4.1 TLS解密配置为什么必须禁用“Force use of defined cipher suites”Burp Suite的TLS解密功能位于Proxy → Options → SSL Pass Through和Options → TLS Settings两个位置。新手常犯的错误是为了“增强安全性”在TLS Settings中勾选Force use of defined cipher suites并只保留TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256等高强度套件。这会导致微信小程序连接立即中断返回ERR_SSL_VERSION_OR_CIPHER_MISMATCH。根本原因在于微信客户端尤其是iOS版的TLS实现非常保守。它只支持有限的几组密码套件且优先使用TLS_RSA_WITH_AES_128_CBC_SHA这类旧式套件。当你强制Burp只使用ECDHE套件时微信在ClientHello阶段就判定“无共同支持套件”直接断开连接。正确做法是取消勾选Force use of defined cipher suites让Burp自动协商。Burp会根据客户端发送的ClientHello动态选择双方都支持的最高强度套件实测中与微信协商成功的套件通常是TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256iOS或TLS_RSA_WITH_AES_128_CBC_SHA安卓。此外SSL Pass Through列表必须清空。该列表用于“跳过解密的域名”如果误将mp.weixin.qq.com加入其中Burp将不对该域名流量做MITM导致小程序JS资源无法查看源码。我们建议初期保持列表为空待抓包稳定后再根据实际需求添加res.wx.qq.com静态资源等非业务域名。4.2 小程序特有流量识别从URL路径到User-Agent指纹微信小程序的网络请求有鲜明特征掌握这些特征能大幅提升抓包效率URL路径规律所有业务接口必然包含/wx/或/mini/路径段如https://api.xxx.com/wx/order/list、https://service.yyy.com/mini/user/info。Burp的Filter功能可设置URL contains /wx/ or /mini/一键聚焦核心接口。Header特征微信小程序请求必带X-WX-KEY: random_string和X-WX-SIGN: base64_signature这两个Header是小程序框架自动生成的鉴权凭证。在Burp Repeater中修改参数后必须同步更新X-WX-SIGN否则返回401。我们开发了一个Burp插件能自动解析JS代码中的sign生成逻辑实时计算新签名。User-Agent指纹微信小程序的UA字符串固定为Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 MicroMessenger/8.0.46(0x18002e31) NetType/WIFI Language/zh_CN。其中MicroMessenger/8.0.46是微信版本(0x18002e31)是内部Build ID。Burp的Target → Site map中可按UA过滤排除浏览器、爬虫等干扰流量。实操心得在Burp Proxy → Intercept中开启Intercept client requests后首次加载小程序时会捕获大量OPTIONS预检请求。这些是CORS机制触发的无需关注。重点看POST和GET请求尤其是Content-Type: application/json的POST请求体——这里藏着所有业务参数。我们曾在一个教育小程序中通过分析POST /wx/course/enroll的JSON body逆向出课程ID加密规则AES-CBC with fixed IV进而实现批量抢课。4.3 WebSocket流量深度解析从心跳包到业务指令微信小程序的WebSocket连接通常以wss://开头路径类似/ws?tokenxxxscene1001。Burp的WebSocket Inspector会将其拆分为多个Frame每个Frame包含Opcode操作码、Payload Length负载长度和Payload Data负载数据。我们发现小程序WebSocket通信遵循“心跳保活指令分发”双层协议心跳帧Opcode0x0APINGPayload为空每30秒发送一次。若连续3次未收到PONG响应客户端主动断开重连。业务帧Opcode0x02BINARYPayload为Protobuf序列化数据。其结构通常为[4-byte length][protobuf message]。前4字节是Big-Endian整数表示后续Protobuf消息的长度。要解析这些二进制帧需在Burp中安装Protobuf Decoder插件GitHub开源。配置时需提供.proto文件——但小程序通常不公开此文件。我们的破解方法是在小程序代码中搜索protobuf.load或new Root().addJSON调用定位到schema.json或message.proto的CDN地址下载后导入插件。若找不到可用protoc --decode_raw命令对原始字节流做初步解析识别出常见字段如cmd_id指令ID、seq_no序列号、payload业务数据。例如某社交小程序的点赞指令帧解码后显示{ cmd_id: 1024, seq_no: 123456789, payload: { post_id: abc123, action: like, user_id: u789 } }这让我们能直接在Burp Repeater中修改action为unlike重放后实现一键取消点赞无需逆向前端JS逻辑。5. 常见问题排查链路从白屏报错到证书失效的完整诊断树5.1 小程序白屏/加载失败四层诊断法当小程序在真机上白屏且Burp无任何请求记录时按以下顺序逐层排查第一层网络连通性验证在手机浏览器中访问http://192.168.1.100:8080Burp IP确认能打开Burp欢迎页。若失败检查Mac防火墙是否阻止8080端口系统偏好设置 → 安全性与隐私 → 防火墙 → 防火墙选项 → 允许传入连接。第二层代理设置验证安卓用户执行adb shell getprop net.http.proxy应返回192.168.1.100:8080iOS用户在设置 → WiFi → 当前网络 → 配置代理 → 手动确认服务器和端口正确。注意iOS的代理设置对微信无效必须依赖Proxifier。第三层证书信任验证在手机浏览器访问任意HTTPS网站如https://baidu.com若出现“证书无效”警告则Burp CA未正确安装或未开启完全信任。iOS需检查“证书信任设置”安卓需确认/data/misc/user/0/cacerts-added/目录下存在Burp证书文件。第四层微信进程代理验证在Proxifier日志窗口View → Log Window启动微信并打开小程序观察是否有com.tencent.mm进程的连接记录。若无记录说明Proxifier未正确Hook微信进程。解决方案在Proxifier Profile中将com.tencent.mm的进程路径设为/data/app/~~xxxx/com.tencent.mm-xxxx/base.apk通过adb shell pm path com.tencent.mm获取并勾选Use this profile for child processes。5.2 Burp抓到请求但无法解密TLS握手失败的根因定位现象Burp Proxy → HTTP History中能看到CONNECT api.xxx.com:443请求但后续无GET/POST记录Status列显示502 Bad Gateway。这表明TLS握手阶段失败。诊断步骤在Burp Proxy → Options → Proxy Listeners → Edit → Logging勾选Log SSL handshake errors重现问题查看Burp日志Extender → Output常见错误码及对策javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure客户端不支持Burp协商的密码套件 → 检查TLS Settings中是否误启Force use of defined cipher suitesjava.io.IOException: Connection reset by peer目标服务器启用了TLS 1.3而Burp版本过低需2023.8→ 升级Burp或在TLS Settings中禁用TLS 1.3sun.security.validator.ValidatorException: PKIX path building failedBurp CA证书未被系统信任 → 重新安装证书并开启完全信任。5.3 证书“突然失效”微信后台证书吊销检测机制很多用户反馈抓包正常运行一周后某天小程序突然报“网络异常”Burp日志显示大量CERTIFICATE_VERIFY_FAILED。这不是Burp故障而是微信后台启动了OCSP Stapling检测。微信客户端在TLS握手时会向服务器请求OCSP响应Online Certificate Status Protocol验证Burp CA证书是否被吊销。Burp默认不提供OCSP响应导致微信判定证书不可信。解决方案有两个短期应急在Burp中进入Proxy → Options → Options → TLS Settings勾选Use custom OCSP responder URL填入http://ocsp.digicert.comDigiCert的OCSP服务器。这要求Burp CA由DigiCert签发否则无效。长期方案启用Burp的OCSP Stapling功能。需准备一个自签名OCSP响应器使用OpenSSL生成并在Burp中配置OCSP responder certificate和OCSP responder private key。我们实测此方案可使证书有效期延长至30天以上且不触发微信风控。最后分享一个小技巧在Burp中右键任意HTTPS请求 →Do intercept → Response to this request然后在Response Body中搜索html。如果看到HTML内容如“Burp Suite Evaluation License”说明代理已生效如果看到{errcode:40001,errmsg:invalid credential}等JSON说明业务接口已成功解密可以开始分析了。