前言

住某酒店，一看就是个“正规”酒店。刚刷卡进门，就看到门缝里的小卡片了，床头上还贴这一个，个人微信的一个二维码美其名曰SPA。还贴心的提供了自助售货机购买TT。好奇扫码看了下。是个微信小程序，看界面，感觉可以测试下。发现里面东西的销量真不错哦。

正好在等外卖，掏出测试机，开启神器BURP。开始测试。

测试环境

小程序抓包的时候要注意下安卓系统版本，在安卓7.0之后默认不信任用户安装的系统证书。所以手机在安装burp证书的时候，需要将证书安装为系统信任的证书。方法如下

手机需要先进行 ROOT

1. 证书格式转换

# 1. 证书转换，已经是pem格式的证书不需要执行这一步
openssl x509 -inform DER -in cacert.cer -out cacert.pem 

# 2. 进行MD5的hash显示