实用的微信小程序逆向教程!

最新推荐文章于 2024-05-02 11:23:21 发布
最新推荐文章于 2024-05-02 11:23:21 发布
阅读量1.8w 收藏 72
点赞数 13
分类专栏: 风洞网转载 文章标签: 微信 小程序 安全 微信小程序
原文链接:https://www.bewindward.com/thread-62-1-1.html
版权

洞悉安全,风洞网,认准官方网站!
风洞网

简单复现一下小程序的逆向过程。

首发声明

本文首发于风洞网跳到原文地址

准备工具

一、pc端复现

  1. 微信PC版本—>https://pc.weixin.qq.com/
  2. 小程序解密工具—>https://share.weiyun.com/uMqNGOXv
  3. nodejs环境—>https://nodejs.org/zh-cn/download/
  4. 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker

二、移动端复现

  1. 安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D
  2. 安卓环境安装微信
  3. 安卓环境安装RE管理器(授权root)
  4. 安装nodejs环境
  5. 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker

具体思路

拿到后缀为wxapkg的小程序代码包,通过逆向工具反编译为小程序代码

复现过程

一、pc端逆向复现

1、首先打开PC微信后进入想要逆向的小程序,接着打开此目录Documents\WeChat Files\Applet\小程序id\XX\__APP__.wxapkg__APP__.wxapkg就是我们要找的加密包

image-20210430120954753

2、代码包解密,PC端小程序的代码包是经过加密的,我们需要对其进行解密之后就可以拿到与移动端一样的代码包了。解压下载好的小程序解密工具,运行UnpackMiniApp.exe选择加密小程序包

image-20210430121513828

然后前往工具所在目录/wxpack 拿到小程序解密后的代码包。

3、反编译小程序,打开下载好的wxappUnpacker逆向工具,打开目录下的README.md按照说明安装依赖,执行cmd输入命令

bingo.bat xxx.wxapkg

如果提示’xxx’ 内部或外部命令 可以执行命令

chcp 65001

切换cmd编码为UTF-8后再次尝试 此时反编译代码就在当前目录下以小程序id命名的文件夹。

image-20210430122648147

二、移动端逆向复现

1、找到小程序代码包,启动微信并启动要逆向的小程序,打开RE管理器,前往路径 /data/data/com.tencent.mm/MicroMsg/用户ID/appbrand/pkg/(用户ID为32位字母或数字组成的名称) 此时看到的wxapkg文件就是小程序的代码包,找到你想逆向的包复制出来,可以通常长按发送的方式把文件复制到电脑,也可以通过Genymotion共享文件夹的方式把文件复制到电脑。

image-20210430124507490

2、反编译小程序,和pc端逆向一样的步骤。

image-20210430122648147

小程序反编译代码演示

image-20210430142244761

反编译的代码可以正常运行,但是由于没有小程序的开发权限,所以只能使用自己的小程序id进行代码调试,就像我截图中一样,虽然代码逻辑没问题,但是由于appid不同,在调用微信登录功能时,服务器会返回登录失败等信息。另外由于是反编译,小程序代码中变量等信息都是abcd之类的,读起来还是需要一点耐心。

转载来源

http://dabojava.cn/2021/04/30/unpack/wx-applet/

关注风洞网微信公众号!

在这里插入图片描述

加入风洞网的知识星球,星球会不定期分享各种网络安全干货知识!

风洞网安全知识星球

「已注销」
关注
  • 13
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
微信小程序反编译工具wxappUnpacker
03-13
`wxappUnpacker`是一款专门针对微信小程序的反编译工具,它可以帮助开发者或逆向工程师分析、理解和修改微信小程序的原始代码。 首先,我们要理解微信小程序的编译过程。在开发过程中,开发者编写的是JS、WXML(XML...
小程序逆向分析 (一)
qq_53058639的博客
02-13 3736
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
【Web实战】零基础微信小程序逆向(非常详细)从零基础入门到精通,看完这一篇就够了
logic1001的博客
04-07 1689
作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。小程序开发者在开发环节中必须基于以下原则:互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。禁止明文保存用户敏感数据。
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具_hook微信小程序(1)
最新发布
2301_82056337的博客
05-02 2940
1.建议修改微信PC端默认的小程序包位置默认是在C盘,太占内存,建议修改2.打开一个小程序然后在pc端打开一个小程序,尽可能点开所有的页面,让本地自动生成一个本地包,在刚刚设置好的文件夹(如上图)里,内容如下:.wxapkg就需要用到我们前面的解密软件。
微信小程序逆向分析
For_John的博客
03-02 5411
微信小程序逆向微信小程序逆向分析;实战逆向入门
微信小程序逆向之终极教程
云霄IT的博客
06-16 2799
打开新的cmd使用下面命令,把wxapkg包存放位置推到当前电脑的D盘下。语句查看时间最新的就是该小程序匿名存放wxapkg包的位置。(1)手机或者模拟器打开USB调试,adb进入下面目录。还原成功后,即可打开微信小程序开发者工具调试。打开小程序,adb命令行内使用。
微信小程序前端加解密逆向分析
ak.Gh0st的博客
03-15 4139
小程序渗透测试项目,测试时发现请求包内容进行了加密。
小程序逆向工程:这个开源的小程序逆向工具真不错,2023年亲测成功
江咏之
03-23 4277
安全部门的大哥又双叒叕报了一个小程序的高危漏洞,他使用逆向工程破解了加密信心,用抓包修改了请求参数。又是头疼的一天…想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。这里用到了2个工具《解密》与《逆向》(非原创,均来自网上的大佬)。特别适合新手,而且都是免费的!都是免费的!都是免费的!第一次操作可能会慢一些,熟练了之后,3秒抓取一个小程序源码!
微信小程序源码获取
06-10
如果你只是想学习微信小程序的开发,更建议通过官方文档、教程和开源项目来学习。微信提供了完善的开发者工具,其中包括模拟器、调试器和源码编辑器,可以方便地进行小程序的开发和调试。 在开发微信小程序时,你...
一键反编译微信小程序获取源码,并转换为uniapp或taro跨端项目
01-06
一键反编译微信小程序获取源码,并转换为uniapp或taro跨端项目
基于electron-vue开发的跨平台微信小程序自助解包(反编译)客户端
01-27
基于electron-vue开发的微信小程序自助解包客户端 方便没有技术基础的同学轻松进行小程序的反编译 为什么使用electron来做 上手方便、可跨平台 前置准备:利用模拟器获取小程序包 参考博主的原创文章 逆向教程小程序...
小程序逆向工具,用于逆向解密小程序源码
01-08
1. **获取小程序包**:首先,需要获取到小程序的原始二进制包,这可以通过抓包工具或者直接从微信小程序平台下载得到。 2. **静态分析**:使用逆向工具打开小程序包,查看资源文件和加密代码,尝试解密和反编译。 3....
微信小程序逆向
Codeoooo 博客
06-16 2564
微信小程序逆向大致思路:抓包分析–>加密参数查找–>小程序源码获取–>分析加密逻辑。
小程序逆向工具 | 3秒抓取微信小程序源码
青春木鱼的博客
11-23 4213
想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具
热门推荐
小小白哈喽的博客
11-11 1万+
下面的操作,都是在cmd命令窗口中操作的,需要强调的是,必须在wxapxxxxker路径里才可以,简易方法是,直接在【wxapxxxer】文件夹的地址栏里输入cmd即可。上来先梭哈分析,毕竟预约嘛,那肯定需要分析包,当开始抓包的哪一个,心里默念了很多我 ** 你的大 **那该怎么办,单子接了,不能放弃。网上有很多教程,是用root过的手机提取小程序包,其实不用那么麻烦,直接用微信PC客户端就可以了。说明你找的小程序,是大神开发的,已经做了反编译的安全措施,所以解密失败,这也是我发这篇文章的目的。
利用逆向工具反编译溯源小程序
qiaoxu1989的博客
01-08 999
以下为逆向过程工具,下载后无需安装直接使用。逆向工具使用的是:wxappUnpacker。
探秘微信小程序逆向利器:wxappUnpacker
gitblog_00011的博客
03-23 766
探秘微信小程序逆向利器:wxappUnpacker 项目地址:https://gitcode.com/xdmjun/wxappUnpacker 在数字化的时代,微信小程序以其轻量、便捷的特性深受开发者和用户的喜爱。然而,对于开发者来说,了解其内部工作原理或者进行二次开发时,往往需要借助一些工具。今天,我们就要介绍一个强大的开源项目——wxappUnpacker,它是一个专门用于解包和分析微信小程序...
Centos Docker部署教程_docker部署centos
2401_84281655的博客
04-28 336
docker pull ubuntu:后面跟docker hub的版本参数。docker pull ubuntu #自动拉取最新版本ubuntu。大纲路线、讲解视频,并且后续会持续更新**
微信pc版逆向获取小程序源码
09-07
微信PC版逆向获取小程序源码是指通过逆向工程的方法,对微信PC版进行分析和研究,以获取小程序的源码。 首先,逆向工程是对软件进行反向分析的过程,通过分析软件的二进制代码、反编译和调试,以获取软件的内部实现和源码。 要逆向获取小程序源码,我们首先需要通过一些工具和技术手段对微信PC版进行逆向分析。这可能涉及使用反编译工具、调试器和逆向工程技术等。 通过逆向分析微信PC版,我们可以获取到小程序在PC端的运行环境和相关的源码信息。可以分析小程序的请求和响应数据,了解小程序的工作原理以及和微信PC版的交互过程。 然后,我们可以对获取到的源码进行分析和研究。通过阅读源码,可以了解小程序的业务逻辑、界面设计、数据交互等方面的实现细节。这有助于我们更深入地理解小程序的运行机制,并为后续的开发和优化提供参考。 需要注意的是,逆向获取小程序源码存在法律和道德风险。对于商业小程序来说,它们的源码是开发者的知识产权,未经许可获取源码可能侵犯了知识产权法。此外,在逆向工程过程中,可能会对软件的安全性进行攻击或者破坏,这也是不被允许的行为。 因此,在合法和道德的前提下,如果我们需要获取小程序的源码,应该通过与开发者合作、遵守开发者协议等方式来获取。这样不仅可以保证合法性和安全性,还能与开发者建立良好的合作关系,促进行业的良性发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值