前言
欢迎来到我的博客
个人主页:北岭敲键盘的荒漠猫-CSDN博客
本文整理各类小程序的打点思路
主要是整理微信小程序
常见小程序平台
微信
支付宝
抖音
快手
目标小程序发现
小程序目标发现就比较容易了,直接搜索公司名就行。
小程序抓包打点
proxifier配合yakit进行抓包。
原理
proxifier:用来强制把本地的数据包转到指定代理服务器,从而抓取本来没有代理功能的程序
的数据包。
yakit:跟burp一样用,国产单兵渗透库。
整体思路:
利用proxifier的强制转移功能,把小程序的数据包转到yakit的代理服务器上,从而实现抓取小程序的包。
操作
先打开yakit的劫持功能。
之后开启proxifier开始配置。
点击add,设置好这个,端口跟你的yakit端口相同即可。
代理服务器设置一下
点一下check,如果提示正常通信则没问题。直接添加上即可。
添加后可能会出来这个东西,直接添加。
添加完成后,我们点击这个配置规则。
现在你的规则里应该是这些东西。
点add,添加微信小程序的进程保证只抓微信小程序的包。
这个东西改一下,不然就会抓无用的包。
现在再改配置文件
再改一下解析。
好,现在直接抓包就可以了。
贴心的我还为大家准备了可能出现的问题。全是我自己走过的血与泪。
proxifier+yakit问题解决汇总,解决抓无用包,无限循环引发崩溃,开启后无法上网,抓不到http等问题-CSDN博客
小程序反编译
(由于小程序结构的改变,绝大多数反编译工具都失效了。。。)
说实话我也找不到啥经济实惠的反编译工具了。。。我也不会亲自反编译.
单纯介绍下微信小程序算了。。。
反编译工具:(经济实惠,一月15元,缺点就是反编译运行失败。。。唉)
微信小程序开发工具:
微信小程序文件的缓存路径如下:
C:\Users\xxx\Documents\WeChat Files\Applet
这里面的wx一长串的就是微信小程序的文件。
一般来说我们会先删除这些文件,然后再打开对应小程序,最终出现的那个就是我们要的小程序的文件。
点开小程序后,这个就是我们的小程序文件
这个文件就是微信小程序的文件,然后把他找反编译工具放上就可以使用了。
但是我找不到好用的反编译工具。。。。
这个工具能反编译,但是一年前挺好用的,现在总是会出现app.json报错问题。使用不了了。
小程序框架整理
1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:
文件 必需 作用
app.js 是 小程序逻辑
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表
2.一个小程序页面由四个文件组成,分别是:
xxx.js 页面逻辑
xxx.json 页面配置
xxx.wxml 页面结构
xxx.wxss 页面样式
3.项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可以建立一个:api)
app.js 入口js(类似于java类中的main方法)、全局js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引
移动端渗透给我的感觉就是挺难受的,很多真机自带的防护不让开root最高权限,导致很多真机机型无法进行渗透操作,但是很多软件还检测模拟器。不好搞。。。。也可能是我太菜了。。。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
