戟星安全实验室|五分钟教你挖掘小程序漏洞

最新推荐文章于 2024-05-19 17:02:46 发布
最新推荐文章于 2024-05-19 17:02:46 发布
阅读量1.9k 收藏 6
点赞数
分类专栏: 云计算 企业数字化 忆享科技 文章标签: 安全 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61431042/article/details/128147666
版权
本文介绍了如何使用wxapkg-convertor工具快速反编译小程序,通过模拟器和夜神模拟器获取小程序的wxapkg文件,然后找到并查看API接口和敏感信息。在实战中,作者发现并利用AK/SK,通过行云管家和AliCloud-Tools进行主机探测和反弹shell,展示了一种小程序安全漏洞挖掘的方法。
摘要由CSDN通过智能技术生成

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等。

本文约1252字,阅读约需5分钟。

前言

现在大多小程序反编译教程所使用的都是node.js,操作过程较为麻烦,那有没有简单好用的工具呢?有!

准备工作

一个模拟器,这里用的是夜神模拟器(模拟器开启root权限)。登录微信,打开小程序首页:

然后再打开文件管理器,找到路径:

/ 根目录下的
最低0.47元/天 解锁文章
忆享科技
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP和小程序漏洞查找的方法
sineblog的专栏
04-07 5201
目前小程序和APP安全这一块如何去做这个漏洞挖掘,然后漏洞挖掘的这么一个大概的思路是怎么样的,咱们接下来要讲的这个方法其实是通过抓包,包括说这个解包apk包,这一系列的方法去把它的这个 API或者说把它的数据包这个流量给获取到,然后通过这个层面就是流量层网络层来进行漏洞挖掘,因为你通过流量层和网络层进行漏洞挖掘的时候,你挖掘漏洞的方法就可以跟web安全里头的很多手法是一样的了,就可以减轻大家的难度,让大家更好的去挖掘这个安卓或者是苹果IOS系统或者小程序的这些漏洞。 但是这个肯定不是说所有的这个.
泰阿漏洞挖掘自动化赏金技巧手册(泰阿安全实验室出品)1
08-03
摘要之前许诺给大家的自动化赏金挖洞技巧,现在来了,我不知道你们现在的挖洞方式是什么?我现在的挖洞方式是能用老外的一条命令自动化或者整合自动化我就不手动挨个去信息
反编译wxapkg文件的工具
01-08
注意: 1. 一定要先阅读文档再使用这个包里的工具!!! 2. 该包里的工具依赖运行环境Node JS 3. 包里已经包含大部分依赖项,只需要按照README 文件指引执行即可 NodeJS下载地址:https://nodejs.org/en/ 参考文档: https://blog.csdn.net/qq_40126542/article/details/80285802 https://blog.csdn.net/qq_40126542/article/details/80285820
小程序反编译获取源码详细程-亲测有效
伦的IT历程
08-23 4735
小程序反编译获取源码
针对小程序漏洞挖掘
2401_84434570的博客
05-19 1123
承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环境搭建到实例一步步讲解。(此篇文章更适合做安服的老哥们看)
wxapkg-convertor:一个反编译微信小程序的工具,仓库也收集各种微信小程序小游戏.wxapkg文件
04-14
wxapkg-convertor 一个快速将微信小程序.wxapkg代码包转换成多端框架的工具 关注我 请将能成功反编译的wxapkg文件提交到本仓库中,不能反编译的小程序提交issue并附上wxapkg的下载地址。 changelog 2021.01.26 removed convertToTaro removed convertToUniapp optimized app size 掘金文章 目录 wxapkg文件夹 所有wxapkg文件均来自于网络,使用反编译工具即可获得源码。仅供大家学习使用,如非法使用侵犯版权,后果自付。 小程序 好多计算器 小游戏 跳一跳 src文件夹 此工具的源码
漏洞挖掘——针对小程序漏洞挖掘
2301_77472496的博客
09-04 1256
全套《黑客&网络安全入门&进阶学习资源包》
微信小程序反编译-漏洞挖掘
yggcwhat
05-18 1929
微信小程序反编译-漏洞挖掘
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制...
微信小程序安全测试指南
07-07
由于新技术新业务的发展速度较快,可能存在客户要求的测试项不在指南中 的情况,本文档提供对微信小程序进行测试的基本思路。
从零开始学习软件漏洞挖掘系列程第七篇:实战挖掘Mini-stream Ripper缓冲
04-22
软件漏洞挖掘系列程第七篇:实战挖掘Mini-stream Ripper缓冲
反编译wxapkg文件工具包
01-04
Wechat App(微信小程序,.wxapkg)解包及相关文件(.wxss,.json,.wxs,.wxml)还原工具
小程序wxapkg文件解密解包工具[Unpackers]
04-20
小程序wxapkg文件解密解包工具,C#(执行需要netframework4.5)。
OPPO子午互联网安全实验室在等你.pdf
09-18
OPPO子午互联网安全实验室招聘多个高级安全工程师岗位,包括高级IoT安全工程师、高级Android安全工程师、高级业务安全工程师、高级WEB安全工程师以及高级隐私合规测试工程师。这些职位主要涉及移动安全、业务安全、...
基于 Python 实现的大数据挖掘的饮食推荐小程序
最新发布
05-28
【作品名称】:基于 Python 实现的大数据挖掘的饮食推荐小程序 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 身体...
Thinkphp从漏洞挖掘安全防御.pdf
05-20
Thinkphp从漏洞挖掘安全防御.pdf
python漏洞挖掘
02-27
Python漏洞挖掘是指通过分析和测试Python程序,发现其中存在的安全漏洞。下面是一些常见的Python漏洞挖掘技术和方法: 1. 静态代码分析:通过对Python代码进行静态分析,检查代码中的潜在漏洞。可以使用工具如Pylint、Bandit等进行代码扫描,查找可能存在的安全问题。 2. 动态代码分析:通过运行Python程序并监视其行为,检测潜在的漏洞。可以使用工具如Fuzzing、模糊测试等技术,对程序进行输入测试,观察是否存在异常行为或漏洞。 3. 安全审计:对Python程序进行全面的安全审计,包括对代码逻辑、输入验证、权限控制等方面进行检查。可以使用工具如CodeQL、Bandit等进行代码审计,发现潜在的漏洞。 4. Web应用漏洞挖掘:对基于Python的Web应用进行漏洞挖掘,包括SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等常见Web漏洞。可以使用工具如Burp Suite、OWASP ZAP等进行渗透测试,发现并利用这些漏洞。 5. 漏洞利用框架:使用已知的漏洞利用框架,如Metasploit等,对Python程序进行渗透测试,发现可能存在的漏洞并进行利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值