wx小程序渗透思路

于 2024-09-12 06:30:00 发布
阅读量347 收藏 6
点赞数 18
分类专栏: 网络安全 文章标签: notepad++ 小程序 安全 网络 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/142152598
版权

免责声明:本文仅做分享!

目录

WX小程序源代码

wx小程序目录位置:

反编译:

e0e1-wx.py工具

unveilr.exe工具

查看源代码:

微信开发者工具:

WX抓包

Fiddler抓包

官网下载

下载证书

操作:

bp + proxifier

bp:(代理抓包)

proxifier:(本地代理)

WX小程序源代码

其实就跟web渗透类似,只不过wx小程序的源码封装了.

wx小程序目录位置:

这些wx开头的文件夹就是每个小程序的包包.

首先,看一下wx小程序的格式:

---这样,不出意外,打开就是乱码...

所以我们要进行反编译,变成正常的代码-->

反编译:

e0e1-wx.py工具

配置去工具官网看:

eeeeeeeeee-code/e0e1-wx: 微信小程序辅助渗透-自动化 (github.com)

运行截图:

现在的文件是正常的代码了,可以安心观看啦~~~

unveilr.exe工具

自己下载...

使用方法: 
unveilr.exe "小程序路径"

--->运行完成后会在其小程序目录下生成一个  __APP__ 文件夹.(里面就是正常的代码文件)

查看源代码:

反编译完了,那我们要怎么办呢, ---> 当做一个项目,打开,审计人家源代码呀 .

微信开发者工具:

developers.weixin.qq.com/miniprogram/dev/devtools/download.html

--选择版本进行下载. (无脑安装)

那咱们弄好之后直接把反编译好的文件夹路径弄过来 ~

--->创建--->信任并运行.

到了这里之后,那就该怎么审就怎么审 !

那我们需要测试漏洞是否存在,是不是就需要抓包--->

WX抓包

Fiddler抓包

看人家大佬的文章吧, ....

fiddler抓取微信小程序包_fiddler抓包微信小程序-CSDN博客

官网下载

Download Fiddler Web Debugging Tool for Free by Telerik

下载证书

http://www.telerik.com/docs/default-source/fiddler/addons/fiddlercertmaker.exe?sfvrsn=2

操作:

Fiddler配置好之后,

先打开Fiddler,再配置微信网络代理,打开微信.

... 然后断点 ,抓包 ,改包 ....

(看人家佬的文章吧,很详细了...)

bp + proxifier

bp:(代理抓包)

环境自己配置好.

监听 127.0.0.1 8080

proxifier:(本地代理)

配置文件--代理服务器

配置文件--代理规则

WeChat.exe;WeChatAppEx.exe;WeChatPlayer.exe;WechatBrowser.exe;WeChatAppEx*.exe   
​
WeChatAppEx.exe

都配置好之后, 在其代理程序上 点击 , 抓到包 即可.

---由于这个proxifier 代理 的 流量有时非常卡,不稳定,所以这个感觉有点鸡肋.

微信小程序渗透 | 微信小程序反编译

金灰
关注
  • 18
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅谈微信小程序渗透
weixin_50464560的博客
04-27 4619
奇安信攻防社区-浅谈微信小程序渗透 0x0前言 最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 0x1环境准备 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使用的是6.6.1.1的版本,算是很老的版本了,内设系统为Android5.0。新的版本中安卓似乎都是7.0以上了,抓取 HTTPS 包会比较麻烦,所以我就一直没有换版本。如果有需要的朋友可以自取,后面会打包云盘在文章底部。 首先我们需要设置好抓包环境,先通过ipconfig查看我们当前 ip,这里我
初探微信小程序渗透测试
chenfeng857的博客
03-18 1万+
初探微信小程序渗透测试
渗透测试 | 微信小程序反编译审计漏洞(学习笔记)
2401_84466227的博客
06-18 1511
微信小程序反编译渗透测试是一种针对微信小程序安全测试方法。它的主要目的是通过反编译微信小程序的源代码,发现潜在的安全漏洞并进行渗透测试。想要反编译工具或进一步了解渗透测试的小伙伴可以扫描下方二维码。
信息打点小程序篇--微信小程序打点思路
2302_79590880的博客
07-21 1167
主要整理小程序打点思路,以及小程序框架
微信小程序开发记录
qq_43223007的博客
10-11 151
1、终端npm安装插件前需要使用 npm init生成包管理文件。微信小程序开发记录,做个笔记后面不踩坑。
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 6317
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
微信小程序链接数据库并实现登录,特权用户与普通用户的页面跳转(PHP语言)
m0_74423446的博客
03-26 2526
需要强调的是,phpstudypro也会自带一个数据库,在phpstudypro里需要强调的是要把他关闭掉的,这个数据库与我们电脑的数据库内容是不相通的,但是链接都共用的是一个80端口,如果只想使用phpstudypro的端口,需要关闭80端口,然后打开在phpstudypro里的mysql(这个你下载好了页面的第三个就是,直接启动就行)win+r 敲打cmd,在命令行内输入services.msc,找到mysql 80 然后禁用就可以了。我在这里放出原文,如果有感兴趣的可以可以去原文章看看。
自动化小程序渗透工具
无问社区的博客
07-03 398
还在一个个反编译小程序吗?还在自己一个个注入hook吗?还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露
开发知识点-uniapp微信小程序
aming小老弟
11-19 2036
限制手段及绕过方法:1、未做限制使用其他浏览器可直接打开页面进行浏览2、通过 UserAgent 来限制现象:使用其他浏览器打开后会跳转到其他页面 或者 有弹窗提示,但是不会跳到open.weixin.qq.com域名去。处理方法:直接模拟UA访问,chrome内置了这个功能。如下为微信UA(一般情况下这两个作用一样,实际上哪怕UA里只填一个MicroMessenger都是可以绕过去的):U;zh-cn;3、利用了微信oauth做限制。
酒店网络设计方案.pdf
05-22
随着互联网的飞速发展,其影响力已渗透到人们生活的方方面面。在酒店行业中,提供高速稳定的网络接入服务已成为酒店吸引和留住客户的必要条件。据统计,近一半的酒店客户有上网需求,其中约30%的客户要求高速上网。...
微信小程序实现时间轴效果
热门推荐
商务合作 / 项目定制 / 学习交流。个人vx:lovely_wml
02-04 2万+
时间轴作为一种流行的信息展示方式,广泛应用于展示个人历程、公司发展历史、事件进程等多种场景中,其直观、条理清晰的特点使得信息传达更为高效。
【大模型应用开发 动手做AI Agent】Function Call 与 API 插件
程序员光剑
06-17 750
在大模型的应用开发中,特别是在构建AI Agent时,我们经常需要让大模型与外部世界进行交互,例如访问数据库、调用各种API服务等。Function Call(函数调用)和API插件技术的出现,为大模型赋予了这种与外界交互的能力,极大地拓展了大模型的应用范围和实用性。本文将深入探讨Function Call和API插件技术在AI Agent开发中的原理和实践。Function Call和API插件为大模型赋予了连接外部世界的能力,极大地拓展了其应用范围和实用价值。
大语言模型应用指南:人工智能的起源
程序员光剑
07-26 322
人工智能,这一曾经只存在于科幻小说中的概念,如今正以惊人的速度走进现实,深刻地改变着我们的世界。从自动驾驶汽车到智能语音助手,从医疗诊断到金融交易,人工智能的应用已经渗透到各个领域,为人类社会带来了前所未有的机遇和挑战。在人工智能发展的漫长历史中,大语言模型(Large Language Model, LLM)的出现无疑是一个重要的里程碑。它们是基于深度学习技术构建的巨型神经网络,能够理解和生成人类语言,并在各种任务中展现出惊人的能力。
Notepad++ 下载安装教程
qq_39172792的博客
09-05 620
notepad++ 安装教程
微信小程序页面制作——个人信息
不迁怒,不贰过。小知识,大智慧。
09-05 1565
1. WXML简介 2. WXSS简介 3. 常用组件 4. 页面路径配置 5. view组件 6. image组件 7. rpx单位 8. 样式导入
计算机毕业设计选题推荐-推拿知识互动平台-Java/Python项目实战
最新发布
IT毕设梦工厂的博客
09-11 507
随着中医推拿在现代医疗中的应用越来越广泛,尤其是小儿推拿以其无创、自然疗法的特点,受到家长们的青睐。然而,推拿技术的学习和推广面临诸多挑战,尤其是在知识的系统化与实践结合方面缺乏有效的学习平台。根据《2023年中医推拿发展报告》显示,超过60%的学习者希望通过一个平台系统学习推拿知识,同时能够与专家交流并进行在线诊疗咨询。然而,现有的推拿学习途径较为分散,缺乏互动性。因此,开发一套推拿知识互动平台,通过在线学习、病例分享、论坛交流及诊疗咨询等功能,将为推拿知识的传递与实践提供一个高效的解决方案。
基于微信小程序与嵌入式系统的智能小车开发(详细流程)
嵌入式极客小张
09-07 2780
本项目旨在开发一款智能小车,结合微信小程序与嵌入式系统,提供实时图像处理与控制功能。用户可以通过微信小程序远程操控小车,并实时接收摄像头采集的图像。该项目解决了传统遥控小车在图像反馈和控制延迟方面的问题,提升了小车的智能化水平,适用于教育、科研和娱乐等多个领域。在本项目中,我们成功地实现了一款基于微信小程序与嵌入式系统的智能小车。通过对各个模块的详细设计与实现,我们解决了传统遥控小车在图像反馈和控制延迟方面的问题。
教育培训小程序开发,简单实用的入门指南
09-11 495
开发一个教育培训小程序并不难,只需要按照上述步骤进行,结合一些基础的开发知识和代码,就能快速构建出一个功能完善的小程序。希望这篇入门指南能帮助你顺利开发出自己的教育培训小程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值