干货分享 | 针对CS架构程序、公众号、小程序的全新抓包改包方案

文章来源：利刃信安

之前分享过 渗透测试文章 《 看我如何利用 Burp Suite + Fiddler Everywhere 进行 PC端和小程序抓包渗透测试 》 ，利用两个抓包软件协同联动进行小程序 和 CS结构程序的抓包改包。

今天，介绍一种针对CS架构程序、公众号、小程序的全新抓包改包方案。

千呼万唤始出来，犹抱琵琶半遮面。

经过几个月测试，全局流量代理功能终于来了。现在我们可以使用Yakit最新版本进行抓包。

Yakit是基于Yak语言开发的网络安全单兵工具，旨在打造一个覆盖渗透测试全流程的网络安全工具库。

https://github.com/yaklang/yakit/releases

Yaklang 1.0.16-sp18

1. 优化 Web Fuzzer 热加载时遇到大量数据调试慢的问题
2. 新增设置系统代理的功能（不支持 Linux）
3. 修复端口扫描在指纹无法识别时 TCP 丢失的 BUG

Yakit 1.0.16-sp5

1. 新增系统代理配置的功能

2. 优化 Web Fuzzer 热加载系统的体验：

3. 新增 getParams 代码的本地保存

4. 自动保存模版内容（跟随引擎）

5. 新增热加载执行过程动画

6. 合并过滤与标记，代替功能

7. 修复插件商店展示重复内容的 BUG

https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-darwin-x64.dmg

https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-linux-amd64.AppImage

https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-windows-amd64.exe

由于操作系统与 Yak 内核限制，无法使用原生 MacOS OC/Swift 接口实现设置代理。

Yak 引擎将弹出 osascript 授权页以改动系统代理，MacOS 用户认证即可。

测试钉钉

测试腾讯会议

测试公众号

测试小程序

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「 超详细 | 分享 」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注 橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“ 再看 ”