小程序逆向工程:这个开源的小程序逆向工具真不错,2023年亲测成功

最新推荐文章于 2025-06-20 00:01:01 发布
最新推荐文章于 2025-06-20 00:01:01 发布
阅读量4.6k 收藏 32
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 开发工具 文章标签: 小程序 微信小程序 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZiChen_Jiang/article/details/129727111

前言

安全部门的大哥又双叒叕报了一个小程序的高危漏洞,他使用逆向工程破解了加密信心,用抓包修改了请求参数。又是头疼的一天…

想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。

这里用到了2个工具《解密》与《逆向》(非原创,均来自网上的大佬)。

特别适合新手,而且都是免费的!都是免费的!都是免费的!第一次操作可能会慢一些,熟练了之后,3秒抓取一个小程序源码!

工具准备

下载地址:https://gitee.com/jiangsihan/wechat-applet-reverse-tool

包含:逆向工具、解密工具
在这里插入图片描述

逆向工具

目前用的是:wxappUnpacker

在这里插入图片描述

这个是一个大神开发的,之前可以在github下载,不过截止今天,大神已经关闭了下载,具体原因……你懂得。不过,开源是趋势,就像这个世界是不会停止开放的,因此我们还是有很多渠道可以获取,你可以通过自己的渠道获取,或者用我为你准备好的。

解密工具

在这里插入图片描述

先解密

网上有很多教程,是分苹果和安卓的,还要用到模拟器,其实不用那么麻烦,直接用微信PC客户端就可以了。

1、找到文件管理的位置

在这里插入图片描述
Applet 是存放小程序编译包的,
在这里插入图片描述
这里面存放的都是打开过的小程序包文件

2、打开小程序

在pc端打开一个小程序,尽可能点开所有的页面,让本地自动生成一个本地包,在刚刚设置好的文件夹里:

在这里插入图片描述
不过里面的是加密过的文件:APP.wxapkg就需要用到我们前面的解密软件。

在这里插入图片描述

3、解密

选择小程序的加密包,0.1秒解密成功:
在这里插入图片描述
加密后会存放在wxpack里面:

在这里插入图片描述

再逆向

正式用到大神开发的【wxappUnpacker】了。下面的操作,都是在cmd命令窗口中操作的,需要强调的是,必须在wxappUnpacker路径里才可以,简易方法是,直接在【wxappUnpacker】文件夹的地址栏里输入cmd即可。

1、逆向准备

打开逆向工具文件夹,直接输入cmd打开命令板:

在这里插入图片描述
检查是否有node环境啊!!

安装依赖,挨个执行:

npm install
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify

2、正式逆向

把刚才wxpack下的解密包直接拖过来:

bingo.bat 主包路径(可以直接拖入)

在这里插入图片描述

编译后的文件,会保存在wxpack文件包下:

在这里插入图片描述
OK,编译完成,接下来直接使用微信开发工具打开,即可学习前辈们的前端设计了,骚年。

3、可能的错误

如果在执行编译命令时报:

this package is a subPackage which should be unpacked with -s=<MainDir>.

说明这个是分包,打开小程序时生成了两个.wxapkg文件,编译另一个文件即可,编译分包和主包的命令是不一样的:

node ./wuWxapkg.js 分包路径 -s=主包路径

4、如果生成的文件里不包含app.json文件

说明你找的小程序,是大神开发的,已经做了反编译的安全措施,所以解密失败,这也是我发这篇文章的目的。不过这种大神目前还是比较少见的。

还是那句话:有心之人防不住,无心之人不用防。没有绝对,只有相对!

软件工程领域开源技术的未来趋势展望
软件工程实践的博客
05-20 1018
本文旨在系统性地分析开源技术在软件工程领域的未来发展趋势,涵盖技术架构、开发流程、商业模式等多个方面。研究时间跨度设定为未来5-10,重点关注可能产生重大影响的技术革新和范式转变。文章首先回顾开源技术的发展现状,然后从技术、协作、商业三个维度分析未来趋势,最后讨论面临的挑战和应对策略。每个部分都包含详细的技术分析和案例研究。:在企业内部采用开源开发实践的方法论云原生(Cloud Native):专为云环境设计的应用开发和部署方法:软件物料清单,记录软件组件及其依赖关系技术融合。
【Web实战】微信小程序逆向
若有战,召必回
11-01 1608
2E 70 6E 67”为带存放路径的文件名称,“00 00 11 7C”对应文件在小程序包中的具体偏移位置,“00 01 01 F7“对应文件在小程序包中的数据长度。但这并不是最初的原项目文件结构,原因是微信服务器会将小程序源码中所有的“js”文件压入“app-service.js”文件中,将所有的“json”文件压入“app-config.json”中,将所有的“wxml”文件压入“page-frame.html”文件中,“wxss”则在处理之后以“html”文件的形式存留在对应页面目录之下。
微信小程序逆向过程
qq_38217747的博客
06-15 2039
文件地址:D:\soft\WeChat\WeChat Files\Documents\WeChat Files\Applet\wxea66c202aa4af979\44。安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D。nodejs环境—>https://nodejs.org/zh-cn/download/微信PC版本—>https://pc.weixin.qq.com/将文件 放入 \wxappUnpacker\apkg文件夹下。
小程序逆向过程
西门一刀的博客
08-21 621
清空微信目录下Applet文件夹中所有目录。
M团wx小程序mtgsig逆向分析
zhengjianyang的技术分享和学习
06-20 1027
团wx小程序mtgsig逆向分析摘要 本文详细分析了团wx小程序mtgsig逆向过程。首先通过Frida Hook打开小程序devtools,定位加密调用点signWithSiua方法。分析发现加密逻辑位于jsguard.js模块中,提供两种扣代码方案:完整模块扣取或关键代码提取。环境检方面,只需补足关键变量f和少量wx对象属性即可运行,避免5001错误。整体难度中等,主要挑战在于异步嵌套调用的跟踪和模块调用链分析,但检点较少且易于处理。最终成功实现加密算法逆向,能够生成有效的签名结果。
微信小程序逆向分析
For_John的博客
03-02 6698
微信小程序逆向微信小程序逆向分析;实战逆向入门
微信小程序逆向
m0_73193124的博客
03-26 2330
首先我用一道CTF题目来说说微信小程序逆向是什么,以及如何去解密,拆包题目的附件是这两个。
微信小程序本地应用包逆向工具
01-26
wxappUnpacker 这是著名微信小程序反编译脚本项目,我不是原作者,我只是该项目的搬运工,用于自己的项目中,同时修复了因微信升级导致该脚本运行报错的BUG。上传该项目的初衷就是有两个: 原项目已被作者移除,估计是涉及到不可描述的社会问题; 备份一份项目,供大家使用,也是给自己一份保障 使用方法 第一步 npm install 第二步 node wuWxapkg.js <wx> 之后会在你运行JS脚本的同级目录生成跟.wxapkg同名的目录,解压后的源码就在该目录下面 常见问题 1. Module build failed: Error: Cannot find module 'escodegen'(本项目已经修复该问题) 解决方法: npm i escodegen -S 2. Error: This Package is unreco
学习成长为程序人生职业生涯搭建成就感阶梯
AI天才研究院
04-29 1337
本文针对1-15经验的程序员群体,构建覆盖技术能力、职业定位、心理建设的三维成长模型。如何避免陷入"重复劳动"的低效成长陷阱?不同职业阶段的核心竞争力该如何构建?技术成就与职业发展的良性循环如何建立?成长阶段解析(5大阶段核心特征)关键成功要素(能力模型/学习机制/实践策略)实战落地框架(技术/项目/规划/心理四维策略)数学模型支撑(成长曲线/复利公式/评估体系)工具资源矩阵(学习/开发/规划工具推荐)成就感阶梯。
程序人生的学习密码:终身学习促进职业生涯飞跃
AI天才研究院
05-16 936
当前IT行业技术半衰期已缩短至1.8,Java框架每新增300+,AI算法模型以月为单位更新。据Stack Overflow 2023开发者报告,68%的程序员认为"技术过时焦虑"是职业发展最大挑战。本文聚焦程序员终身学习体系构建,涵盖从技术知识获取到认知能力升级的完整链路,提供可量化、可复用的成长模型。认知奠基:解析终身学习的本质特征与程序员职业发展的强关联性体系构建:提出三维知识架构与五环学习模型的核心方法论技术赋能:通过算法模拟和数学模型实现学习过程的量化分析实战落地。
掌握批判性思维,开启程序人生职业生涯学习成长新征程
AI天才研究院
05-14 1141
在编程语言每新增50+、框架生命周期不足3的技术时代,程序员面临前所未有的知识更新压力。从海量技术信息中筛选有效知识在需求模糊时构建清晰的问题定义对技术方案进行多维度可行性评估识别代码逻辑中的潜在缺陷在团队协作中进行建设性沟通本文聚焦软件开发全流程中的批判性思维应用,涵盖需求分析、架构设计、代码实现、技术选型、团队协作等核心场景,提供理论模型与实操指南。理论篇:解析批判性思维的核心要素与技术领域的映射关系方法篇:介绍适合程序员的思维模型与分析工具
网络工程师20212023真题和解析-关注即可,笔记在主页
最新发布
07-14
- **Android平台基础**:基于Android的移动端开发平台是以Linux为基础的开源移动设备操作系统。 - **企业信息化**:企业信息化的作用包括优化企业资源配置、实现规范化的流程管理、提高生产效率,降低运营成本等,而...
微信小程序框架逆向
01-26
背景 在研究/升级后,目前已实现XX小程序框架跑通了devtools模式 支持了大部分微信小程序常用API, 支持小游戏 :warning_selector:但是XX小程序框架很多下基础API跑不起来,比如无法使用原生播放器/蓝牙等; 原因: 微信小程序ios/android模式下, 是通过原生去支撑这些基础API. 目标 参考微信小程序ios/android模式, XX小程序框架支持ios/android模式, 进而通过原生去支撑这些基础API. 思路 逆向微信小程序 ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置 IDA/hopper查看微信小程序ios端实现伪代码 XX小程序框架 参考微信小程序实现ios/android模式 研究微信小程序ios/android模式实现步骤 ios/andriod 原生模块支撑 通过tweak hook JSCo
小程序逆向分析 (一)
qq_53058639的博客
02-13 4139
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
浅谈小程序逆向
weixin_42545308的博客
09-16 3557
怀着学习的心研究小程序
记一次微信小程序逆向
2301_80115097的博客
07-26 4303
环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。这边数据包中有个签名值,还有个时间戳timestamp,防止重放,所以要尝试知道怎么计算这个sign值。看js里有挺多接口的,一开始稍微看了一下都没有什么敏感泄露,也没有什么未授权,字段中存在uid,尝试是否存在越权,结果uid与token关联的,所以无果。但总感觉是有点问题的,来都来到这一步,总不能放弃吧,至少把接口都看一遍。加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄。
小程序逆向专栏】某润选房小程序逆向分析
K哥爬虫
04-30 1489
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!近期在交流群中发现,有群友提到了小程序逆向相关的问题,之前也有不少粉丝私聊提问过相关问题,也对他们的疑问进行了解答, K哥一向会尽力满足粉丝们的需求 ,为了避免群友手动采集之痛,本
【Web实战】零基础微信小程序逆向(非常详细)从零基础入门到精通,看完这一篇就够了
热门推荐
Python_0011的博客
11-29 1万+
作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。小程序开发者在开发环节中必须基于以下原则:互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。禁止明文保存用户敏感数据。
逆向一个非常有意思的小程序”的非汇编解读
caterpillarous的博客
11-21 1428
基于C++机制对一段小程序的解读
小程序逆向
03-08
### 微信小程序逆向工程概述 微信小程序逆向涉及多个步骤和技术,主要包括获取目标应用的小程序包、解密这些包以及最终解析其内部结构。此过程通常需要特定的软件环境和支持工具来辅助操作。 #### 准备工作 为了顺利开展逆向活动,需先准备好必要的硬件和软件条件: - **设备选择**:可以选择真实Android手机或虚拟机作为实验平台[^2]。 - **权限设置**:确保所选设备已开启USB调试模式并授予Root权限给RE管理器以便后续访问受保护的数据区域[^3]. - **开发环境搭建**:安装Node.js运行时环境用于执行JavaScript脚本;同时下载并配置好官方提供的微信开发者工具以方便后期试修改过的代码逻辑[^1]. #### 获取与处理wxapkg文件 当一切就绪之后,则可以着手提取待分析的应用数据了。具体做法如下: 1. 利用ADB命令连接至移动终端,并定位到存储有最新版本的小程序资源包(`*.wxapkg`)所在的路径下; 2. 通过`adb pull`指令将远程服务器上的指定文件复制回本地磁盘中等待进一步处置; 3. 接下来借助专门为此目的而打造的第三方库——比如由GitHub托管开源项目的`wxappUnpacker`——来进行初步拆分作业,从而获得原始JS/CSS/WXML等静态资产副本[^4]. ```bash # 假设已经找到正确的wxapkg路径 adb pull /data/data/com.tencent.mm/MicroMsg/{random_folder}/appbrand/pkg D:\output_directory\ ``` #### 实际案例展示 假设现在有一个名为`example.wxapkg`的目标文件位于D盘根目录里,那么只需按照提示依次键入下列命令行参数就能启动整个转换流程了: ```batchfile bingo.bat "D:\example.wxapkg" ``` 上述批处理脚本会自动生成一个新的子文件夹用来容纳所有经过反序列化后的成果物,其中包含了可供编辑查阅的各种网页组件描述文档. ### 注意事项 在整个过程中务必谨慎行事以免触犯法律法规或者侵犯他人版权权益。此外由于此类行为本身存在一定的风险性和不确定性因素,在实际动手之前建议充分评估潜在后果再做决定。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前端江太公

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值