【值得收藏】小程序HTTPS流量抓取实战教程：Yakit+Proxifier工具组合，小白也能轻松学会的渗透测试技能

文章介绍使用Yakit和Proxifier组合工具抓取小程序HTTPS流量的方法。通过配置Yakit证书和代理监听，结合Proxifier全局代理定向转发小程序流量，解决小程序绕过系统代理的问题。详细介绍了工具安装、证书信任、代理配置及进程定位等步骤，适用于渗透测试、接口调试等场景，新手也能快速掌握小程序流量分析能力。

---

小程序封闭性比较强，抓取数据包容易被刚入门没多久的师傅们忽略,

下面分享一套实测稳定的方案：YAit+Proxifier代理工具，只要几步就能快速获取小程序https流量，适用于渗透测试、接口调试等场景，新手也能快速获取。

再推荐一个视频学习的知识库===》我们的官方B站视频

❝

**💖 温馨提示：**本文一切操作基于本地环境复现，请不要利用文章中的任何技术对未授权的靶标进行渗透测试，这样属于违法行为，如有使用，还请自行承担所造成后果，与智榜样网络安全无关。

一、工具准备

Yakit：红队常用的渗透测试工具，内置代理功能，可拦截、分析网络流量；

Proxifier：全局代理，指定程序（如小程序进程）流量经过Yakit代理，解决了小程序绕过系统代理的问题。

工具下载：https://yaklang.com/（建议下载最新版，兼容性更好）至于安装过程，这里就不讲解了，相信师傅们会通过自己的双手丰衣足食

image-20251230203538991

Proxifier：可以通过其官网“https://www.proxifier.com/”获取(个人版需要授权，也可以免费使用proxyCAP）。

二、yakit基础配置

2.1 安装并信任证书

Yakit 需通过证书解密 HTTPS 流量，必须完成这一步：

点击左上角的那个感叹标志，我们点击手动安装

image-20251216211858920

之后会跳转到yakit的安装目录，双击执行这个bat文件安装证书

image-20251216212057653

弹出来一个终端，又提示你是否需要安装此证书，我们选择是

image-20251216212118532

2.2 配置代理监听

再找到按照下图这里箭头的顺序，点首页 > 下拉菜单配置监听的主机（127.0.0.1）和端口为8080，其他任意端口都行，但是主机必须是127.0.0.1

image-20251230204529804

之后会跳转到这个界面，就可以开始配置proxifier了

image-20251230215144746

三、proxifier配置

3.1 添加代理服务器

打开 Proxifier，点击顶部「配置文件」

image-20251230215432731

选择[代理服务器]

image-20251230215458220

点击编辑第一个代理，将proxifier的流量代理到yakit的代理主机以及端口中（如果默认的没有那就选择添加一项）

image-20251230215627035

我们再选择代理规则，配置需要将流量转发到yakit的应用程序为小程序的路径

image-20251230220611857

这里随便新建一个，因为我已经新建好了，给师傅们看看我的配置吧

image-20251230220708249

这是我的编辑详细界面，最重要的是应用程序的选择需要填入wechatappex.exe

image-20251230220755312

为什么要填wechatappex.exe？而不是其他的？

让我们随便点开一个应用程序，比如圆通

image-20251230220937926

在底部导航栏右键，找到任务管理器

image-20251230220956553

在旁边选择进程，这里会多出一个运行的应用程序，这个应用程序就是微信小程序运行的进程

image-20251230221018436

展开这个应用程序，随便选择一个，右键再打开文件所在的位置

image-20251230221205143

记住这个路径（可以直接复制）和文件名

C:\Users\用户名\AppData\Roaming\Tencent\xwechat\XPlugin\Plugins\RadiumWMPF\18055\extracted\runtime

image-20251230221411988

返回proxifier代理规则配置，选择浏览

image-20251230221621625

选择刚刚运行的应用程序，看到的小程序文件名

image-20251230221611700

这样就配置好了，确定。。。确定。。。确定。。。》》》

image-20251230221748467

四、验证抓包效果

在yakit就能正常抓包了（如果没有抓到，那么就刷新一下小程序就可以啦）

image-20251230221842132

五、总结

本文运用“Yakit+Proxifier”组合来演示小程序HTTPS流量的抓取流程，主要分为3个部分：

1、**工具协同方式：**通过Yakit的代理拦截流量，利用Proxifier强制代理来解决小程序绕过系统代理的问题，通过两者的协同解决小程序封闭性问题；

2、配置要点：Yakit证书安装与信任，本地地址（127.0.0.1）和端口（8080），Proxifier指向小程序核心进程(Weappex.exe)，流量定向转发；

3、实操注意点：配置后未抓到包，通过刷新小程序触发流量；进程路径可通过任务管理器准确定位，避免因路径失效。

本方案兼顾稳定性与可操作性，新手基本按照步骤配置即可掌握小程序流量分析能力，为渗透测试、接口调试等提供应用支持。结合文末福利学习内容，可进一步扩充相关技术。

文章来自网上，侵权请联系博主

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。

L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。

L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。

L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）



三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛

学以致用 ，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。



五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。


面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |** CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）