微信小程序渗透测试技巧-小程序解包-反编译

最新推荐文章于 2024-05-24 17:26:50 发布
最新推荐文章于 2024-05-24 17:26:50 发布
阅读量1.7k 收藏 8
点赞数
分类专栏: 技术类 文章标签: 反编译 小程序 安全
原文链接:https://www.code404.icu/997.html
版权

微信小程序渗透测试技巧-小程序解包-反编译

简述

随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。

安装手机模拟器,比如说夜神、MuMu

在这里插入图片描述

下载和安装两个应用,微信和RE文件管理器

在这里插入图片描述

获取root权限

在这里插入图片描述

打开微信,搜索相对应的小程序,然后再打开RE文件管理器,定位到目录

在这里插入图片描述

下载微信小程序反编译脚本,解包

https://github.com/xuedingmiaojun/wxappUnpacker.git

解主包:

./bingo.sh 主包.wxapkg

在这里插入图片描述
解分包:

./bingo.sh 分包.wxapkg -s=主包目录

在这里插入图片描述
合并分包内容,成功获取小程序前端源码。

基于小程序的前端源码,我们可以从JS敏感信息泄露、隐藏接口漏洞等方向进行漏洞挖掘。

CSDN_码404:微信小程序渗透测试技巧-小程序解包-反编译
https://www.code404.icu/997.html

leenhem
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序渗透测试技巧
07-19 1万+
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。1、小程序解包反编译)(1)安装手机模拟器,比...
微信小程序(.wxapkg)源码解包工具
09-03
通过该工具可以将微信源码(.wxapkg)格式文件解压为文件夹,阅读源码
微信小程序反编译
weixin_34307464的博客
05-06 162
  最近公司想做地图业务,但是考虑到数据的重要性,我们就需要从各个角度进行评估,如何保证我们的程序安全;经过长期的调研发现微信小程序是没办法防止别人抓包的,只要连上charles就能随意抓取微信小程序的任意一个接口数据,因此我们只能对程序代码进行加固,主要的方式如下: 1. 接口通讯层面添加signature,后台获取参数后进行解密比对,如果不一致直接返回报错。 2. 接口次数限制,为了防止别人...
微信小程序反编译/解包
最新发布
wei_java144的博客
05-24 1824
A:使用 wxapkg 的 scan 功能,联网状态下会获取小程序名称。或者删除目录下所有文件再打开一次小程序。⚠新版功能更丰富,但转为闭源,订阅制收费。本文使用 2.0 免费版本。Q:小程序目录下文件太多了,找不到要解包小程序?A:在微信的设置找到文件路径,小程序文件位于。付费使用最新版,免费使用流传最后一版免费版本。下载可执行文件,或者下载源码编译。使用 unpack 功能解包小程序。使用 scan 功能解包小程序。微信版本:3.9.10.19。Q:如何找到小程序文件位置?wx 子命令支持更多操作。
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 5271
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
小程序解包反编译工具-免安装版本
01-06
小程序解包反编译工具”是一款专为微信小程序设计的实用软件,它的主要功能是将.wxapkg文件解包反编译为接近原始源码的状态,帮助用户理解小程序的工作原理,进行代码调试或学习。该工具的免安装版本则方便用户...
基于electron-vue开发的跨平台微信小程序自助解包(反编译)客户端
01-27
方便没有技术基础的同学轻松进行小程序反编译 为什么使用electron来做 上手方便、可跨平台 前置准备:利用模拟器获取小程序包 参考博主的原创文章 逆向教程小程序 运行截图 Mac Windows 如何使用 To clone and run...
微信小程序反编译工具_wx_微信小程序_
10-01
然而,作为开发者或研究者,有时我们需要对微信小程序进行深入研究,比如查看其源代码、分析其工作原理或进行安全性测试,这时就可能需要用到微信小程序反编译工具。 1. **反编译的概念与目的** 反编译是将已...
小程序如何反编译
weixin_67271870的博客
11-02 1203
并且反编译后的代码都是经过压缩的,阅读性略差,不过如果是uniapp编写的话,除了js文件外,其余基本原封不动(前提没做混淆的情况下),所以要仿一个页面的话,完全可以新建一个Vue文件,然后将其html与css添加至对应模板处,然后js就只能扣去部分代码,至于接口的话都是别人的,所以一般分析下页面样式和参数就差不多了。由于我是接触过Uniapp开发的,并且我自己所编译的小程序也是Uniapp开发的,所以一些相关的样式就自然熟悉不过了,将其几个页面转化为Vue代码也算比较轻松了。(至少可以不用输入命令)
实战|微信小程序渗透测试
fly_enum的博客
07-05 2856
4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
微信小程序渗透测试
weixin_41308444的博客
10-14 3333
微信小程序渗透测试
微信小程序反编译教程:获取源代码与素材
1. **获取并解密小程序包**:在PC版微信客户端中运行待反编译小程序,然后使用`UnpackMiniApp.exe`工具,选择包含`.wxapkg`文件的加密小程序包,解包后生成的文件夹即为解密后的小程序包。 2. **反编译**:在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值