小程序渗透测试-前端打包调试解密

最新推荐文章于 2024-05-27 13:58:51 发布
最新推荐文章于 2024-05-27 13:58:51 发布
阅读量873 收藏 1
点赞数
分类专栏: app渗透 文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/120011021
版权

0x01 用到的环境

  • node环境
  • wxappUnpacker
  • 微信开发者工具
  • 网易mumu模拟器(Android6版本)
  • mt管理器(模拟器中的文件管理工具)

0x02 编译阶段

  • 首先找到小程序的安装包,可以找个手机,点开小程序后,找到手机文件目录, 一般是这样的目录。
/data/data/com.tencent.mm/MicromMsg/c6dxxxxxxxxxxxxx/appbrand/pkg/*.wxapkg

注:此时必须root

mt管理器

image-20210818135324406

然后自己想办法现在把这些包从手机里导出来(如果很多wxapkg建议清理一下,重启目标小程序。)

image-20210820140233664

0x03 反编译wxapkg获取源文件

Github上已经有大神写的node.js版本的,当然也有其它版本的,例如python版本,不用管什么版本的,能用就行了。

GitHub地址:

https://github.com/qwerty472123/wxappUnpacker

进入到下载好的反编译脚本目录下,在node命令窗口中依次安装需要的依赖。

项目中列出来的需要安装的依赖不全,如果报错,看下issues就行了,下面是在我能运行状态下安装的依赖。

1. 解包主包  
   - windows系统使用: `./bingo.bat testpkg/master-xxx.wxapkg`
   - Linux系统使用: `./bingo.sh testpkg/master-xxx.wxapkg`
2. 解包子包  
   - windows系统使用: `./bingo.bat testpkg/sub-1-xxx.wxapkg -s=../master-xxx`
   - Linux系统使用:  `./bingo.sh testpkg/sub-1-xxx.wxapkg -s=../master-xxx`

实际运行结果

./bingo.sh /Users/zy/Documents/pentest_tools/xcx/rongegou/_1549897879_353.wxapkg

image-20210820150521776

用VScode打开查看源码

image-20210820150817422

0x04 微信开发者工具调试

下载微信开发者工具

https://developers.weixin.qq.com/miniprogram/dev/devtools/download.html

image-20210825160452205

项目-导入项目

image-20210831090412636

点击编译就可以运行,后续就可以自己调试

image-20210825164654699

image-20210825163839953

0x05 解决方法:

在微信社区寻求答案,发现选择最好的方式都是选择云函数的方法,避免把密钥写到前端程序中

image-20210825133749060

god_Zeo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bat循环执行带参数_wxappUnpacker的bingo.bat脚本逐行解读
weixin_42478292的博客
12-18 683
点击上方“蓝字”关注我们之前发过一篇文章小程序反编译工具在windows系统下的调用脚本提到了Windows平台下的脚本,但是对脚本没有做详细说明。本文就是针对脚本做的讲解。对批处理感兴趣的可以了解下。不会基础也没关系。下面我们进入正题。脚本解读第1行:# WXAPPUNPACKER_PATH 项目路径这段其实在 shell 文件中是注释内容,只不过在翻译这份脚本的时候是边查边写,复制过...
微信小程序客户端渗透测试
03-14
我们将从客户端和服务器两个层面学习微信小程序渗透测试。 客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。 在服务端层面,主要是依据微信...
wxappUnpacker:小程序反编译(支持分包)
04-27
说明 来自网友基于 改进的开源项目。 安装 npm install 安装依赖 npm install esprima      npm install css-tree      npm install cssbeautify      npm install vm2      npm install uglify-es      npm install js-beautify 分包功能 当检测到 wxapkg 为子包时, 添加-s 参数指定主包源码路径即可自动将子包的 wxss,wxml,js 解析到主包的对应位置下. 完整流程大致如下: 获取主包和若干子包 解包主包 windows系统使用: ./bingo.bat testpkg/master-xxx.wxapkg Linux系统使用: ./bingo.sh testpkg/master-xxx.wxapkg 解包子包 window
bat小工具_小程序反编译工具在windows系统下的调用脚本
weixin_39532019的博客
11-24 811
点击上方蓝字可以订阅哦之前的文章中介绍了小程序的反编译工具,工具在 Linux 系统下使用时执行bingo.sh [xxx.wxapkg]就可以。有小伙伴不知道在windows系统下如何使用,这里提供两个方法准备:安装好 node 环境,打开 cmd后克隆仓库至本地,cd 进入工具根目录,npm install 一下可以命令行直接执行如下命令node wuWxapkg.js [xxx.w...
小程序渗透测试系列 | 解密与解包及抓包环境搭建
2401_84466223的博客
05-27 1196
小程序的抓包环境也有非常多的搭建方式,同样可以采用模拟器或者移动端,可以参考APP抓包的方式,这里同样是以PC端为例,搭建一个 Wechat -> Proxifier -> Burp 的抓包环境。双击打开解密工具,选择对应小程序包的位置,需要注意的是,不能将包拷贝到其他目录,否则会无法获取到小程序的ID,导致解密失败;本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由。因篇幅有限,仅展示部分资料,朋友们如果有需要。
微信小程序反编译 PC端
乌云大帝的博客
06-10 2662
最近写爬虫需要小程序反编译,过程总结下.....通过微信PC版,打开需要反编译的小程序,小程序将产生缓存文件(但他是加密的),通过"小程序解密包"工具将加密的缓存文件解密成为"XXX.wxapkg"文件 然后通过wxappunpacker工具反编译下载地址:链接:https://pan.baidu.com/s/1nqg97PxkFTt1TnEWECikYQ 提取码:bsu91.找到小程序加密文件 微信PC版查看 设置->文件管理->打开文件夹 然后往上一层返回一步 例如:.........
基于微信小程序渗透-反编译小程序
做自己喜欢的事,并将其发挥到极致!
05-25 1478
微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,那么一般就是用电脑上的安卓模拟器登录微信利用burp抓包、要么就是用burp抓手机的包、要么就是从手机上直接抓包。方式方法有很多种,个人一般用来抓包的工具也就是IOS上用Stream软件,或者是Postman等工具很容易就抓包了。接下来主要介绍的时微信小程序的反编译,因为反编译出来可以看到小程序前端源码,可以渗透出更多的东西。
微信小程序数据解密组件demo-前端JS版本
09-09
微信小程序对用户敏感数据获取越来越严格,很多API只能拿到用户的加密数据,官方文档对此已提供了较为详细的解决方案,本文用 JavaScript 写请求与 NodeJS 写接口部署实践,希望让前端视角的小伙伴更能一目了然整体...
微信小程序前端解密获取手机号
最新发布
06-03
本文将深入探讨微信小程序如何在前端实现安全地解密获取用户手机号。 一、微信小程序授权获取手机号流程 1. 用户授权:当用户首次打开微信小程序时,系统会提示用户是否允许小程序获取手机号。用户同意后,微信会...
小程序--前端AES加密
03-29
一.前言 什么是AES加密:高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,...小程序引入第三方库
小红书微信小程序X-Sign参数解密
02-24
小红书微信小程序X-Sign参数解密
visualbat脚本开发工具
03-28
visualbat脚本开发工具 方便进行一些window系统bat的开发编码
微信小程序 ---在Vscode上编辑,微信开发者工具上预览,快速上手
weixin_43323097的博客
08-17 9307
微信小程序 ---在Vscode上编辑,微信开发者工具上预览,快速上手
软件测试实战:Day01-黑马Ego微信小程序的测试设计和执行
黑马程序员官方博客
03-14 1589
更多功能测试以及全套学习路线图均在专栏,↑↑戳进去领取~ 系列文章目录 😊身为开发必知必会的Linux:Linux远程连接/命令的使用 😊Linux命令大全,唯一以案例详解文,持续更新中 😊Linux命令大全以及数据库,唯一以案例详解文,已完结 👼 Web自动化测试01:认识web自动化在什么项目中适用 👼Web自动化测试02:Web自动化测试工具选择大全 👼…中间部分内容看专栏哦!篇幅问题没有放! 👼Web自动化测试11:Selenium之frame切换、多窗口切换 👼Web自动化测试12:Seleni
微信小程序测试策略和注意事项?
2301_78843735的博客
08-23 195
对于非公用的部分:不同版本直接的切换,需要保证彼此的功能模块和数据独立性不受干扰影响,即不同版本的管理后台所加的数据只应该调用到各自对应模板的前台小程序中,不同版本的小程序从前台提交的数据也只会提交到各自管理后台,不应该有交差重叠。前台从A1页面提交的数据,可能需要在前台A2页面查看到,也会在对应后台的 B 页面查到记录;根据数据从某一端操作输入和输出流向,设计基于数据流的测试用例,输出的数据也可能成为另外一端的输入,检查输入的数据是否按照代码逻辑执行正确的输出,是否数据发生异常(无法输入;
微信小程序(.wxapkg)源码包解包的方法
初夏0811的博客
09-03 7350
先下载微信小程序的捷豹工具:微信小程序(.wxapkg)文件解包工具。执行后即可看到解压后的文件夹,进去就可以看源码了。
获取PC端微信小程序源码
baidu_22042195的博客
03-04 1653
获取PC端微信小程序源码
小程序打包上线流程
weixin_53818172的博客
08-23 2229
3. 上传过程:将打包好的wxapkg文件上传到小程序平台,上传的过程中需要填写小程序的基本信息,包括小程序名称、描述、类目、开发者信息等。4. 审核过程:上传完成后,小程序平台会对小程序进行审核,审核的内容包括小程序的安全性、功能性、用户体验等。4. 审核:上传完成后,小程序平台会对小程序进行审核,审核的内容包括小程序的安全性、功能性、用户体验等。2. 打包过程:小程序打包过程是将前端代码和后端代码打包成一个wxapkg文件,这个文件包含了小程序的所有资源文件和代码。三、小程序打包上线注意事项。
微信小程序引入crypto-js进行加密和解密
06-05
好的,我了解了你的问题。微信小程序中引入crypto-js库进行加密和解密的步骤如下: 1. 首先,在小程序中引入crypto-js库。可以通过下载相关的文件,也可以通过npm安装。 2. 在需要使用加密解密的页面中,引入crypto-js的AES模块。例如: ``` var AES = require('crypto-js/aes'); ``` 3. 接着,定义加密解密所需要的密钥和偏移量。这些参数可以自定义,也可以从服务器获取。 ``` var key = 'your_key'; var iv = 'your_iv'; ``` 4. 使用AES模块进行加密解密。例如,使用AES加密字符串: ``` var message = 'your_message'; var ciphertext = AES.encrypt(message, key, { iv: iv }).toString(); ``` 5. 解密密文: ``` var bytes = AES.decrypt(ciphertext, key, { iv: iv }); var plaintext = bytes.toString(cryptoJS.enc.Utf8); ``` 以上就是在微信小程序中引入crypto-js进行加密和解密的步骤。希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值