【小程序 逆向】某电途列表接口逆向

已于 2023-09-18 18:31:51 修改
阅读量1.3k 收藏 2
点赞数
分类专栏: 小程序逆向分析 文章标签: 小程序
于 2023-09-18 13:55:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29285873/article/details/132962960
版权

所需环境

  • 一台root过的手机或者模拟器,安装MT管理器
  • 抓包工具:charles或者其他
  • 小程序反编译工具(github上搜索)

案例目标

  1. 小程序名称:5paw55S16YCU
  2. 接口地址:aHR0cHM6Ly9hcHAueGR0ZXYuY29tL2Fzc2V0L29wZW5hcGkvdjAuNC9jaGFyZ2Utc3RhdGlvbi1saXN0
  3. 以上均做了脱敏处理,Base64 编码及解码方式:
import base64
# 编码
# result = base64.b64encode('待编码字符串'.encode('utf-8'))
# 解码
result = base64.b64decode('待解码字符串'.encode('utf-8'))
print(result)

小程序 逆向思路

  1. 获取到小程序的wxapkg包
  2. 反编译wxapkg包
  3. 导入到微信开发者工具进行调试

通过抓包工具分析该接口

通过抓包,可以发现请求头,请求参数,返回值都有加密。

反编译小程序拿到源码导入到微信开发者进行分析(这步我就省略了,直接开始)

  • 请求参数encryptData分析

1. 直接源码里搜索encryptData,可以看到就一个,直接点进去

可以看到这块调用了aesEncrypt方法,直接搜索,看见这块有一个aesEncrypt(加密)和aesDecrypt(解密)

直接在aesEncrypt方法中写入debugger,重新编译 看传入的参数是什么。

调试下来使用的是aes加密,到这块encryptData就分析完了。

  • 请求头noncestr,sign参数分析

1. 按照参数名搜索

可以看到sign 实际上是调用的Y()方法,该方法实际生成的是随机数

tm是当前时间戳

noncestr 实际上是 e的结果进行了md5 

e = 请求参数+nonceStr+sign+tm

  • 响应体解密

是调用的aesDecrypt方法进行的解密,上面的文件中有提到

成功解密拿到数据!

忆白亦白
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
得物小程序sign参数加密方法
09-01
得物小程序sign参数加密方法 可以供大家学习但是不能用于非法用途,否则后果自负
微信小程序反编译脚本!
05-08
微信小程序是一种轻量级的应用开发平台,由腾讯公司推出,主要应用于移动端,提供丰富的API接口和组件,使得开发者能够快速构建具有原生体验的应用。在本文中,我们将深入探讨如何通过反编译脚本来获取微信小程序的...
【微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 6765
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
【Web实战】零基础微信小程序逆向(非常详细)从零基础入门到精通,看完这一篇就够了
Python_0011的博客
11-29 5665
作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。小程序开发者在开发环节中必须基于以下原则:互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。禁止明文保存用户敏感数据。
记录第一次wx小程序逆向
Ig_thehao的博客
12-23 2671
文章目录前言一、准备阶段二、使用步骤总结 前言 之前也听说过小程序逆向,但是感觉难度不会很大,然后这段时间接触了一下,好家伙,开眼了。 一开始准备抓包看看,结果pc,手机端,模拟器都没有抓到数据,只有图片的请求,具体数据包一个没有,Wireshark尝试了一下,太难用了,就放弃了,这时候庆幸我好兄弟彦祖兄拉了我一把,教了个骚操作调试,同时给了一个想法,这个小程序可能是用的js调用app内的方法发出的请求,所以这边抓不到请求的包,同时又无法去hook app。 然后好兄弟给了几个方法思路,我一个都不会,.
小程序逆向分析 (一)
qq_53058639的博客
02-13 3758
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
某物小程序sign逆向-记录
weixin_41259961的博客
08-17 4411
这篇文章主要记录一下小程序的反编译过程和sign的逆向
某速体育-小程序逆向
qq_45037791的博客
07-09 1119
打开UnpackMiniApp,选择小程序包进行解密,解密完成之后,会将解密的小程序包存储到与UnpackMiniApp同级的wxpack文件下,解密后的小程序包与小程序文件夹同名。如果电脑内存够大,当我没说;开头的文件夹,这些就是使用过的小程序产生的文件夹,每个小程序一个文件夹;寻找auth_key的加密位置,全局搜索关键字auth_key,搜到两处,均为同一个位置,打上断点,刷新页面,成功断下。开头的新文件夹,这个文件夹就是刚打开的小程序的文件夹,小程序包就在里面,现在先解密小程序包,再进行反编译。
小红书微信小程序爬虫.zip
02-21
这可能需要使用如Selenium、Puppeteer等浏览器自动化工具,或者直接利用微信小程序的API接口进行数据请求。对于接口的发现,可以通过开发者工具的网络面板监控请求。 接着,数据解析是爬虫中的关键步骤。这里可能会...
百达星系小程序Signature分析
10-16
本篇文章将深入探讨“百达星系小程序Signature分析”,包括其JavaScript逆向工程以及Python接口调用的数据获取。 首先,我们关注到“Signature”这个概念。在Web开发中,Signature通常是指用于验证请求真实性的签名...
逆向工程+sql文件
02-22
对于微信小程序而言,逆向工程SQL文件可能与数据存储和检索有关。微信小程序虽然有自己的本地存储API,但如果需要进行复杂的数据管理和持久化,可能还是会借助后端服务器和数据库。因此,理解这些SQL文件可以帮助...
PHP预约推拿按摩小程序系统源码
2401_84414018的博客
07-23 470
🌈便捷生活,从预约开始🌈在这个数字化时代,让“预约推拿按摩小程序”成为你健康生活的小助手。无论是自我放松,还是孝敬长辈、关爱亲友,它都是你不可多得的好帮手。赶紧拿起手机,开启你的舒适之旅吧!🚀。
为何 APP 和小程序也需进行等保测评
最新发布
hakksjss的博客
07-24 318
等保测评能够对 APP 和小程序的网络安全防护能力进行全面评估,发现潜在的安全风险,并提出针对性的整改建议,帮助提升其抵御网络攻击的能力,保障系统的稳定运行。**四、遵循法律法规和行业规范** 在我国,网络安全相关的法律法规和行业规范日益完善,对 APP 和小程序的安全要求也越来越明确。**一、保护用户数据安全** APP 和小程序通常会处理和存储大量用户的个人信息和敏感数据,如身份证号码、手机号码、家庭住址、财务信息等。通过等保测评,可以对业务流程中的安全风险进行识别和控制,确保业务的连续性和准确性。
小程序内嵌uniapp页面跳转回小程序指定页面方式
weixin_47342624的博客
07-22 401
使用微信小程序提供的Api:wx.miniProgram.navigateTo。你需要在uniapp项目中配置相应的页面路径,确保跳转时能正确找到目标页面。你的小程序必须已经正确初始化,并且在合适的生命周期内调用跳转方法。你的小程序必须是通过uniapp构建的,并且支持小程序嵌套。在小程序中嵌套uniapp的H5页面,并使用。
Java聚合快递系统对接云洋系统快递小程序系统源码
2401_84414018的博客
07-23 599
🌈 现在就加入“聚合快递系统”与云洋系统的大家庭吧!让我们一起开启快递管理的新篇章,让繁琐变得简单,让便捷触手可及!无论是商家还是个人用户,都能在这里找到属于自己的快递管理利器!🚀。
剧本杀小程序搭建,互联网下的游戏新体验,实现新增收!
guanpinkeji的博客
07-22 406
近几年,桌游备受大众青睐,剧本杀行业更是瞬间曝火!随着互联网的发展,线上小程序受到大众的关注,越来越多的游戏玩家也开始选择在线上参与剧本杀游戏,剧本杀小程序得到了快速发展,成为了玩家参与游戏,年轻人创业的新模式!玩家在小程序上可以直接进行预约,与好友或者游戏好友组局,免去了线下预约困难的问题,玩家随时随地都可以进入到游戏中,提高用户的游戏体验,也能提高商家的服务质量。小程序上的剧本杀资源非常多,各种类型的游戏商家可以任意上架,还可以根据不同类型分类展示,方便用户快速找到喜欢的剧本,提高用户在游戏中的体验。
扭蛋机潮玩小程序搭建,扭蛋机行业的创新
guanpinkeji的博客
07-23 409
在网络时代中,扭蛋机小程序可以让玩家随时随地扭蛋,平台上新玩家也可以第一时间“冲”。相比线下扭蛋机,线上的商品种类非常丰富,商家还可以推出具有品牌特色的周边商品,增强核心竞争力,体现出平台的独特性,从而吸引更多的消费者到平台参与扭蛋。扭蛋机小程序是互联网下的产物,它为市场的发展提供了新的发展策略,在这个网络时代中,随着信息技术的发展,扭蛋机小程序市场具有非常大的发展前景。目前,扭蛋机小程序市场已经获得了非常大的盈利,市场发展机会众多,对于商家企业来说将是一个大好机会,同时也将是创业者进军市场的不错选择。
iOS应用逆向工程实战指南
iOS逆向工程主要用于分析和理解应用程序的内部工作原理,找出潜在的安全漏洞或增强软件功能。它涉及的工具包括但不限于class-dump用于提取Objective-C类信息,Theos用于创建iOS越狱插件,Reveal用于可视化应用界面,...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

忆白亦白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值