浅谈微信小程序渗透

最新推荐文章于 2024-04-06 19:50:10 发布
最新推荐文章于 2024-04-06 19:50:10 发布
阅读量2.2k 收藏 6
点赞数 2
文章标签: 微信小程序 小程序

  • 小程序测试流程分为两个方面,解包可以挖掘信息泄毒问题、隐藏的接口,抓包可以则试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。

  • 本文就从自己平时的抓包+解密+解包的方式去做简单技术分享

1 PC端小程序抓包教程

ProxyPin是一款免费开源抓包工具,支持Windows、Mac、Android、IOS、Linux 全平台系统。

01 准备工作

ProxyPin(本机安装SSL证书)

BurpSuite(本机安装SSL证书)

流量走向和抓包方案:

在这个流程中,流量首先从个人电脑上的微信小程序发出,然后通过ProxyPin代理到达Burpsuite工具,最终使用Burpsuite对流量进行修改和重放。简而言之,这个过程中使用了一个代理链。

02 配置环境

001 设置ProxyPin监听

安装SSL证书到本机并开启HTTPS代理

图片

打开需要抓包的微信小程序

图片

将流量转发到BurpSuite,在ProxyPin中设置外部代理

图片

这块设置BurpSuite的监听端口

图片

002 打开BurpSuite

设置监听本地8080端口(BurpSuite需要安装证书,自行百度)

现在就可以使用Burpsuite对流量进行修改和重放

图片

图片

2  解密 + 解包

这块有很多工具推荐,下面简单列几个自己觉得比较好用方便的:

01 wxapkg

一般用法如下,目前只支持 windows 系统:

  1. 用 PC 版微信打开小程序来让微信下载小程序

  2. 使用 wxapkg.exe scan 命令来扫描所有小程序。需要联网获取小程序的名称、路径、wxid(用于后续解密)等信息

  3. 使用键盘上下键选中想要处理的小程序,然后按回车来执行解密+解包

注意:如果wx是默认安装位置,直接scan就行,否则需要指定路径

图片

图片

键盘选中要测试的程序,回车进行解密+解包

图片

拿vscode打开审计即可,也可以利用正则去匹配一些信息,url、路径、ak/sk、IP、token之类的

图片

02 wxAppInfo

该工具就比较自动化,支持微信小程序一键自动化解密-->反编译-->提取敏感信息。

001 环境准备

需要安装nodejs环境,自行百度教程安装,安装完成打开cmd输入node

图片

如果能进入到node的交互式终端,说明node已经可以正常使用了

002 使用
  • python3 wxAppInfo.py -d "E:\vx-upload\WeChat Files\Applet" -o result
  • -d 指定微信小程序路径
  • -o 结果导出地址

图片

图片

源码文件

图片

敏感信息

图片

03 总结

    抓包是指捕获和分析小程序与服务器之间的通信数据包。通过抓包工具,如Burpsuite,测试人员可以拦截和查看小程序发送和接收的网络请求和响应。这样可以检测小程序中的逻辑漏洞、API安全问题以及可能的数据传输问题。抓包还可以用于模拟攻击、重放请求、修改数据等,以测试小程序在各种攻击场景下的安全性。

    解包是指将小程序的源代码进行解压,以便分析和挖掘潜在的安全问题。通过解包,测试人员可以深入研究小程序的逻辑和实现细节,并发现可能存在的信息泄漏问题或隐藏的接口。解包还可以揭示小程序中使用的第三方库、组件和插件,帮助测试人员更好地理解小程序的构建和功能。

    结合解包和抓包,测试人员可以在调试和测试过程中相互补充。解包提供了对小程序代码和结构的深入了解,帮助测试人员发现潜在的漏洞和安全隐患。而抓包则提供了对小程序与服务器交互的实时监控和分析能力,使测试人员能够模拟攻击并检测可能的安全问题。

魏钦6666
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vue 3 高阶指南之 Proxy
人生代码 ---- 公众号
10-31 1028
高阶指南之 ProxyProxy 对象用于定义基本操作的自定义行为(如属性查找,赋值,枚举,函数调用等)。术语handler包含捕捉器的占位符对象。traps提供属性访问的方法,这类似于...
浅谈微信小程序登陆与Oauth
03-29
参考: 从密码到token, 一个授权的故事 理解OAuth 2.0 小程序官方文档 微信小程序之登录态维护(十一) 微信的登陆认证方式跟Oauth的授权码认证模式非常相似,接下来我大致讲解Oauth的三种常用模式以及与微信登陆认证的关联。 Oauth的三种常用模式 密码模式   (此图片来源于网络,如有侵权,请联系删除! )     密码模式的登陆方式大致如上,实际场景里,当用户在登陆掘金客户端的时候,可以选择github认证登陆,而不是直接账号密码登陆时。如果这个时候掘金客户端允许用户直接在上面输入账号密码,那么客户端在用户点击登陆时,将输入的信息转发至github授权服务器上请求授权登陆
ProxyPin-免费开源Http、Https抓包工具 跨平台
08-04
一款跨平台免费开源Http、Https抓包工具,支持Windows、Mac、Android平台系统,工具使用flutter框架开发,支持手机扫码连接,不用手动配置Wifi代理,包括配置同步。所有终端都可以互相扫码连接转发流量,i感兴趣的可以下载体验。
渗透测试之电脑(PC)端小程序抓包教程(建议收藏)
youmaob的博客
01-23 1539
渗透测试之电脑(PC)端小程序抓包教程(建议收藏)
【Frida】【Android】 工具篇:ProxyPin抓包详解
最新发布
kinghzking的专栏
04-06 1901
Android证书分为“用户证书”和“系统证书”两种,在设置->安全->"查看安全证书"列表中,可以看到“系统”和“用户”两个Tab。ProxyPin是一种基于MITM(中间人攻击)的抓包工具,主要用于移动应用程序的安全测试和调试。抓包的都知道小黄鸟,但是小黄鸟的解锁版版本很多,由于其不开源,网上很多版本是魔改的,有兼容性问题。,只信任系统证书,安装为用户证书,对APP的HTTPS抓包会失败。,而且设置后就不能取消,除非先删掉所有的用户证书。此时,我们以浏览器,百度页面为例,可以看到已经可以抓到封包了。
新的抓包神器,完全免费,支持多平台!
木头分享 - 分享有价值的、实用的干货
10-25 1066
(网球),免费下载,完整版需要内购。(螃蟹),免费下载,完整版需要内购。(锤子),已经无了:需要海外版的App Store ID,我记得当时买了36rmb,可以用Surge(7天试用)、Stream(完全免费)之前TF测试出了一个新的抓包软件 –蛮好用的,目前也是免费的。
浅谈微信小程序.pdf
06-14
浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf浅谈微信小程序.pdf
开源免费抓包软件ProxyPin,支持全平台系统,用flutter框架开发
02-07
开源免费抓包软件ProxyPin,支持全平台系统,用flutter框架开发
一个开源免费抓包工具ProxyPin
qq_16098999的博客
06-29 1941
开源免费抓包工具,支持Windows、Mac、Android、IOS, 支持全平台系统
proxy代理的使用(解决跨域配置多个代理)
m0_69287579的博客
09-07 825
proxy代理的使用(解决跨域,配置多个代理)一、什么是代理字面意思就是类似中间商,开启代理,原理就是在本地创建一个虚拟服务器,发送请求数据,同时接受请求的数据,利用服务器与服务器间,交互,不会有跨域问题,也是完全只靠前端自己独立解决跨域的方式以vue cli3示例我现在需要在本地请求接口在创建axios的时候,beseURL这样配置创建的请求这样匹配到这个字段时就会代理到target去,将target添加到/前面,在根据pathRewrite,然后是你请求的ajax。
浅谈微信小程序前端生态
03-29
微信小程序去年刚推出内测,就刷屏了笔者朋友圈好几天,而后来几个月单从技术生态来看,并不像人们预期那般火热。不过最近刚推出的web-view组件,算是再次引发了一波小高潮。 web-view组件中运行纯web应用 “ web-view是一个可以用来承载网页的容器,会自动铺满整个小程序页面”,也就是说,微信小程序中可以直接运行web页了。大胆猜想,这一功能,可能直接导致小程序数量增长迎来一波高峰。毕竟磨刀霍霍却一直资源不足的团队应该不少,现在可以把已有H5应用嵌入到小程序webview容器中,以最低的开发成本坐蹭微信流量红利,何乐而不为呢? 对于 web-view组件,笔者做了些demo测试: 所
浅谈微信小程序在图书馆的使用现状.docx
05-17
浅谈微信小程序在图书馆的使用现状.docx浅谈微信小程序在图书馆的使用现状.docx浅谈微信小程序在图书馆的使用现状.docx浅谈微信小程序在图书馆的使用现状.docx浅谈微信小程序在图书馆的使用现状.docx浅谈微信小程序...
APP抓包问题总结及常见绕过方法
weixin_40418457的博客
09-03 2966
前言 在前天的沙龙上,师傅们积极探讨,期间提出了一些关于app抓包的相关问题。在此小小的总结一波有关的分析以及解决办法。 检测代理 首先是当设置手机代理后,APP无法获取网络数据。会出现无法连接网络的情况出现。这就说明app设置了代理检测。常见的检测代码如下 No Proxy 其次就是通信协议代码中使用了proxy(Proxy.NO_PROXY),即使是设置了代理也是会被绕过的。此时是网络可以正常使用,但是就是抓不到包。这时候可能就是这个原因了。 此时也是可以使用全局系统代理工具,如HttpCanar
开发常用工具软件
橙-极纪元-cplvfx-JJY.Cheng
05-08 1205
API 文档、调试、Mock、测试一体化协作平台 - 接口文档工具,接口自动化测试工具,接口Mock工具,API文档工具,API Mock工具,API自动化测试工具。API 文档、调试、Mock、测试一体化协作平台 - 接口文档工具,接口自动化测试工具,接口Mock工具,API文档工具,API Mock工具,API自动化测试工具。1.Oracle VM VirtualBox (推荐)因为 vitural box和Hyper-V不冲突;b.Remote - SSH 远程连接。2.MobaXterm(推荐)
基于微信小程序渗透-反编译小程序
做自己喜欢的事,并将其发挥到极致!
05-25 1401
微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,那么一般就是用电脑上的安卓模拟器登录微信利用burp抓包、要么就是用burp抓手机的包、要么就是从手机上直接抓包。方式方法有很多种,个人一般用来抓包的工具也就是IOS上用Stream软件,或者是Postman等工具很容易就抓包了。接下来主要介绍的时微信小程序的反编译,因为反编译出来可以看到小程序的前端源码,可以渗透出更多的东西。
浅谈微信小程序用setStorage和getStorage缓存和获取数据
05-28
微信小程序提供了setStorage和getStorage方法,用于缓存和获取数据。 setStorage方法用于将数据存储到本地缓存中,语法如下: ``` wx.setStorage({ key: 'key', data: 'data', success: function(res) { console.log('存储成功') } }) ``` 其中key为存储的键,data为存储的数据,success为成功回调。 getStorage方法用于从本地缓存中获取数据,语法如下: ``` wx.getStorage({ key: 'key', success: function(res) { console.log('获取成功', res.data) } }) ``` 其中key为要获取的键,success为成功回调,res.data为获取到的数据。 需要注意的是,setStorage和getStorage方法都是异步的,需要通过回调函数来获取结果。另外,小程序最大的本地存储空间为10MB,超过后会自动清除缓存。 总的来说,setStorage和getStorage是微信小程序中常用的数据缓存和获取方法,能够方便地将数据存储到本地并进行读取操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值