文章目录
01、工具概述
今天讲讲微信小程序渗透,无论是护网、src挖掘、攻防演练,微信小程序都可以成为突破口
微信小程序和普通网页渗透相比有以下不同点:
1、抓包方式不同,不能直接进行抓包
2、不能直接进行调试,如果遇到小程序进行了加密传输,这种情况就比较棘手
3、微信小程序有自己特有的漏洞
4、某些微信小程序会进行一些限制,增加了测试难度
针对以上情况,我会分为四个章节逐一进行解答:抓包篇、逆向篇、漏洞篇、技巧篇
微信小程序渗透本质和浏览器网页渗透没啥区别,解决了这些不同点就可以像正常网页一样测试了
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
02、抓包篇
方法一:ProxyPin+Burpsuite对小程序进行抓包
proxypin是一个开源免费抓包工具,支持Windows、Mac、Android、IOS、Linux 全平台抓包。
优势:
脚本: 支持编写JavaScript脚本来处理请求或响应。
请求重写: 支持重定向,支持替换请求或响应报文,也可以根据增则修改请求或或响应。
请求屏蔽: 支持根据URL屏蔽请求,不让请求发送到服务器。
①安装证书
安装证书到本系统,选择“受信任的根证书颁发机构”
②成功抓包
③将流量转发到burpsuite
④不想被抓包的域名添加到代理域名黑名单后,将不会抓相关域名的数据包,可以减少发送到burpsuite的数据包,减少burpsuite处理的数据,提升速度,尤其是开了被动扫描插件的情况下。
方法二:Proxifier+Burpsuite对小程序进行抓包
Proxifier是一个功能强大的网络代理工具,可以进行流量转发,可自定义灵活度很高。
①添加代理服务器
代理端口需要与burpsuite端口保持一致
②创建规则
WeChatApp.exe;WechatBrowser.exe;WeChatAppEx.exe
③成功抓包
如果配置完成后,无法抓包,将微信退出重新登陆后再进行尝试
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
03、逆向篇
一、微信小程序开启devtools
使用大佬写的WeChatOpenDevTools工具,即可一键开启devtools。建议使用小号,避免微信被封。不是每个微信版本都可以开启devtools,很多会开启失败,我这里为大家准备了一个可以使用的微信版本
①安装依赖库
pip3 install -r requirements.txt
②开启微信小程序中的F12(devtools)
直接运行以下命令
python main.py -x
③打开要开启DevTools的小程序,即可自动hook开启DevTools(如果已经打开小程序,点击重新进入小程序也行)
python main.py -c
④开启微信自带浏览器中的F12(devtools)
开启3分钟,踩坑3小时,本身开启这个操作非常简单,但是有很多坑,下面讲讲遇到的坑:
1.我这里使用的python3.10,某些低版本的python,可能没有requirements文件中16.1.11版本frida的依赖库,安装时会报错,如果自己指定安装一个低版本的frida,可能会出现其他问题,如果不嫌麻烦可以逐个版本调试
2.新版本的微信直接安装老版本微信无法开启devtools,我这里采用的Uninstall Tool将新版的微信直接卸载了(删除了注册表),然后安装老版本的微信就可以了,应该是之前覆盖安装或者卸载有残留
3.开启开启微信自带浏览器中的F12时,如果提示"请退出所有微信实例后再执行该命令",需要先退出微信
二、微信小程序反编译
①使用 wxapkg.exe scan 命令来扫描所有小程序。需要联网获取小程序的名称、路径、wxid(用于后续解密)等信息
②使用键盘上下键选中想要处理的小程序,选中以后,点击enter键即可执行解密+解包
③如果这里没有看到你要反编译的小程序,可以将要测试的程序添加到自己的小程序,然后再重新进入查看。添加以后,进入小程序查看,如果还没有发现要测试的小程序,点击重新进入小程序然后再查看
④反编译成功
⑤反编译成功后的文件
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
04、漏洞篇
一、敏感信息泄露
上面已经对小程序进行了反编译,可以查看源码中是否有acesskey、
身份证、手机号、密码等敏感信息泄露,但是手工逐个查找的话会比较麻烦,这里准备了一个脚本(脚本只能说能用,谈不上规范),这个脚本可以从js文件中获取这些敏感信息。
①首先筛选出反编译后的js文件
我这里使用的everything进行快速筛选,首先打开全字匹配
然后使用查询语句筛选出js文件
path:反编译后的目录 .js
②将筛选出的js文件复制出来放到一个目录中,使用脚本进行敏感信息查询
python secertinfo.py js文件所在目录
③获取到的手机号、密码、ip等可用于后续渗透测试。
二、任意用户登录
微信小程序如果采用了开发者后台校验与解密开放数据,可能存在任意用户登录漏洞。如果数据包中泄露了session_key和iv,那我们可以通过AppletPentester插件对数据包进行加解密,可以将用户手机号修改为任意手机号,也可以修改其他信息,从而造成任意用户登录。
①如何快速发现数据包中的sessionKey,从而进行后续的判断
这里使用burpsuite的hae插件规则进行匹配
(sessionKey)
②获取到sessionKey和iv以后如何对数据包进行加解密
这里使用burpsuite的AppletPentester插件进行加解密
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
05、技巧篇
测试微信小程序可能会遇到很多奇奇怪怪的问题,这里做一下记录,希望对师傅们有所帮助,当然你们遇不到更好。
一、解决功能点无法加载的问题
有些小程序在手机端打开正常,但是电脑端打开一直显示在加载,或者某些功能点点击没反应
我们可以在手机上点击要测试的功能点,然后复制链接,再从电脑端进去,就可以解决这个问题(注意是复制链接,分享小程序不可以)
链接是这种形式的
#小程序://中国电信App/8zsyCcxJscGz0QA
二、微信小程序只能手机打开
直接使用电脑打开微信小程序时提醒只能使用手机打开,我们可以先在手机端打开该小程序,然后这时电脑端就会显示手机刚才打开过的小程序,从这里打开即可绕过。
三、如何更便捷的进行真机测试
有时候测试越权漏洞可能需要两个微信进行测试,你可以选择电脑和模拟器,但是我习惯性电脑和真机进行测试,真机测试存在一个问题就是一边操作真机,一边看电脑,两个屏幕来回看不是很方便,我一般是用手机投屏到电脑,这样更方便测试。
我使用的投屏工具是QtScrcpy手机投屏,先将手机用usb连接电脑,读取到手机后,选择一键wifi连接(我一般喜欢用这个连接模式),连接上以后,拔掉usb将手机放一边,就可以只在电脑上进行真机测试了。这个软件对于很多做了真机检测的app来说,挺好用的。
最后希望师傅们变得更强,挖洞如喝水!!!
06、工具下载
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
