# 前言
最近笔者有做到微信小程序的渗透测试,其中有一个环节就是对微信小程序的反编译进行源码分析,所谓微信小程序反编译,就是将访问的小程序进行反向编译拿到部分源码,然后对源码进行安全审计,分析出其中可能存在的信息泄露或者说路径等一些关键信息。
本文出自:【小白向】微信小程序解密&反编译教程 - 极核GetShell (get-shell.com)
# 前期准备
- 微信PC客户端
- 微信小程序反编译工具:小锦哥小程序工具
# 演示视频
小锦哥小程序工具演示
# 文本教程
首先需要确定微信小程序本地存放文件的路径,一般为微信设置的文件管理路径下,一般格式为:微信数据存放路径\Wechat\WeChat Files\Applet,比如我的微信数据设置在E:\Program_Data\Wechat,那么我的微信小程序文件的存放路径就是E:\Program_Data\Wechat\WeChat Files\Applet。
如果你不确定你想反编译的小程序究竟是哪一个,可以将这里面的文件夹全部删除,然后重新访问你想反编译的小程序,那么应该会出现只有一个文件夹,那么这个文件夹就是你的目标。
![图片[1] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell](https://img-blog.csdnimg.cn/img_convert/c7fabae3adbc8c5ab4350880819da6ba.png)
从上图可以看到很多类似于wx+随机字符的文件夹,这就是微信小程序的文件存放路径。打开任意一个文件夹,一直翻到最里面,会发现类似于__APP__.wxapkg这样的文件,这个文件就是反编译微信小程序的源码所需要的关键文件。
![图片[2] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell](https://img-blog.csdnimg.cn/img_convert/7e180e0a84359c7d99ba57b7be09d647.png)
将类似于__APP__.wxapkg这样的文件复制到任意路径,然后打开小锦哥小程序工具,先对小程序包进行解密:将__APP__.wxapkg放入解密工具,选择好解密后保存的路径,然后点击开始解密后输入这个小程序的ID,一般就是你将__APP__.wxapkg这个文件拖出来的上一级,例如:wx14612994f885db6e。如果提示无需解密,那就无视直接略过。
![图片[3] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell](https://img-blog.csdnimg.cn/img_convert/bd4d4bcd42907e5e9d5d71a9e2f1da9d.png)
然后打开小锦哥小程序工具的反编译包栏目,将解密后的__APP__.wxapkg文件放入到解密工具,选择好反编译后保存的路径,开始反编译。注:反编译需要安装nodejs
![图片[4] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell](https://img-blog.csdnimg.cn/img_convert/b3a7398df9cce3addbf7681044e58fb4.png)
然后在反编译保存的路径就可以看到反编译后的文件夹了,里面就是微信小程序的前端源码,你可以自行用微信小程序工具打开进行查看源码,分析其中可能存在的信息泄露等信息!
![图片[5] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell](https://img-blog.csdnimg.cn/img_convert/7339ed905b43fd767e692374ae9c1a6d.png)
1265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
