时间轴:
解决:
1.如何获取到目标小程序信息 2.如何从小程序单提取资产信息
#小程序获取一各大平台&关键字搜索
—微信
一百度
一支付宝
—头条
演示案例:
在wx里搜索小程序:
#小程序体验-凡科建站&模版测试上线
小程序搭建:
1.进入凡科小程序搭建平台
小程序构造:
1.主体结构
小程序包含一个描述整体程序的APP和多个描述各自页面的page。
一个程序主体部分(即APP)由三个文件组成,必须放在项目的根目录下,如下:
文件 必需 作用
app.js 是 小程序逻辑
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表
2.一个页面由四个文件组成,分别是
xxx.js 页面逻辑 (js运行)
xxx.json 页面配置 (信息)
xxx.wxml 页面结构 (页面)
xxx.wxss 页面样式
前3个是关键性内容,要重点关注
3、项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可以创立一个api)
app.js 入口js(类似于java类中的main方法),全局js
app.json 全局配置文件
app.wxss 全局样式文件
project .config.json 跟你在详情中勾选的配置一样
sitemap json 用来配置小程序及其页面是否允许被微信索引
app.js/app.json 也会泄漏信信息
#小程序抓包-Proxifier &Burpsuite联动
一对抓到的IP或域名进行web安全测试
一对抓到的IP或域名进行API安全测试
一对抓到的IP或域名进行端口服务测试
案例演示:
proxifier配置;
配置文件-代理服务器配置:
配置文件-代理规则配置:(在应用程序中输入WeChatAppEx.exe)
使用Bp与proxifier联动:
意义:
从抓包获取更多资产信息。
#小程序逆向一解包反编译&动态调试&架构
对源码框架进行分析
一更多的资产信息
一敏感的配置信息
一未授权访问测试
一源码中的安全问题
解包反编译使用:(node.js环境安装)-是小程序语言
案例演示:
案例一:(比较麻烦)
微信小程序反编译 - liuhuayiye - 博客园 (cnblogs.com)
案例二:
使用教程小程序:
一、免责声明 · 反编译小程序助手使用说明 · 看云 (kancloud.cn)
使用教程微信开发者工具:
appid:
小程序助手:(路径尽量避免有中文)
设置-文件管理-Applet-Wx开头的包(注意不是在微信号下的那个)→App_wxapkg文件(多的话全选)→在程序助手目录自动生成wxapkg
第一步微信中打开设置,打开文件管理:
第二步打开(注意不是在wx号下面那个目录,注意看作者写的目录)
第三步选择解压包文件(当有多个文件时全选就可以了,记住从上到下依次选择顺序,顺序有要求)
第四步刷新反编译包(刷新后才有wxapkg)
第五步操作区选择新版反编译(界面新)或旧版反编译(界面丑)
最好选择新版反编译,全部打包成了一个。
在xcx的webpack里有源码
第六步点击系统功能到wx开发者工具(wx开发者工具要提前装)。
第七步在wx开发者工具中目录选取刚刚的源码
appid在微信小程序开发,开发设置里面
第八步,将js变成ess这个关闭了(代码中要有app.json,否则就是模拟器启动失败)
第九步使用可视化,点击源代码xxx.wxml进行页面跳转互动。
由此可见,抓包的url在网页源代码中
案例三:(未授权访问)
补天隆基(未授权登录)cn-order 未授权拿到敏感信息
案例四:(敏感配置信息)
汉川袁老四(源码与程序不对应。源码能看,程序显示不出来)
由于缺少app.json(反编译工具造成的),从而无法启动模拟器
山鹿剧场这种
osskey若得到可以去云服务接管
可以用山鹿剧场做演示(不做演示了)
案例五:
汽车之家图片摘取
以上文章由番薯小羊卷~和李豆豆喵共同创作。
1262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
