微信低版本MMTLS绕过测试实践

分析
网上搜个低版本的IPAD微信 和低版本的PC微信 测试后发现

1.IPAD版本的微信登陆未启用MMTLS(可能存在登陆绕过的风险)（Android 通过抓包分析和iPad情况相差不大）；

2.低版本iPad微信不能登陆 低版本的PC微信却可以登陆且未启用MMLTS。

通过上述结论我们可以有一下相关设想：

1.IPAD微信能否构造出非MMTLS登陆；

2.PC低版本能否使用IPAD的功能 如抢红包 发朋友圈等。

结合网上的分析和解码的过程
还有一个设备类型DeviceType iPad iPhone os 8.4 通过搜索又搜索到一份无壳的DLL iPad协议：
没有壳 是VC10编译器编译的，这个DLL有授权验证，先过掉再说，过掉方法参照这里，不再赘述：https://bbs.pediy.com/thread-246230.htm，接着开始修改内存 定位到微信所需设备特征修改一下设备参数，经过操作一番成功登陆使用iPad的DLL登陆PC版本的微信。

具体的设备特征和标识还需要自己去抓去构造、验证MAC和QQ浏览器的思路差不多，都是通病，这里只给出PC版本的思路。iPad iOS和安卓的微信更新频繁能及时的屏蔽低端版本登陆，既然是微信全家族那么多成员，往往有些疏忽也是不可避免的。

正常来讲，低端版本登陆，就像构造SQL注入一样简单来构造各个版本的登陆。经过构造绕过MMTLS登陆依旧使用原有数据包登陆，对数据包重放没有任何限制。