某WX小程序包签名生成

已于 2022-08-02 15:13:11 修改
阅读量664 收藏 3
点赞数 1
文章标签: 前端 javascript 微信
于 2022-08-02 15:06:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40979337/article/details/126121606
版权

一、解包

首先我们在pc端登录微、信

然后在电脑的这个文件里面 会有小程序包的文件在这里插入图片描述
在这里插入图片描述
这种以wx开头的文件就是小程序包的文件

我们可以在之前把这个applet文件清空 然后再打开小程序 这个文件就生成了

在这里插入图片描述
在文件夹里面 会有一个_APP_.wxapkg的文件 这个就是小程序主包的文件了

我们使用工具解包 (网上搜小程序解包工具 )
在这里插入图片描述
工具解包之后 在wxpack目录下 会有一个.wxapkg后缀的文件
在这里插入图片描述
然后在使用nodejs反编译这个文件(需要装nodejs环境 以及安装依赖包)

然后切到nodejs的工具包 目录 cmd (记得顺便把上面这个.wxapkg文件也一同拖到同级目录下 方便点)

在这里插入图片描述
在之后输入命令 node wuWxapkg.js wx35849c7f0cf7f7a9.wxapkg

在这里插入图片描述
完成之后 会生成一个对应的文件夹

在这里插入图片描述
在这里插入图片描述
可以看到 里面就是反编译出来的内容了

二、动态调试

接下来 就需要一个工具 微信开发者工具 直接百度搜索官网下载就行

在这里插入图片描述
选择 导入 这个文件夹
在这里插入图片描述
点击确定

在这里插入图片描述
这里就能看到代码了 O Yean!

注意 左侧可能小程序会白屏 这里 我们设置下
在这里插入图片描述
这样就行了

在这里插入图片描述
在请求头中可以看到是有签名的 那么就解下这个sign

我们在小程序代码中搜索下关键字

在这里插入图片描述
在这里 可以发现 sign 是通过k这个函数和5个参数生成

直接下断点 看看
在这里插入图片描述
可以发现 第一个参数 是url 的path,第二个参数是请求参数通过key =value扔进一个列表里面,
第三个参数是一个固定字符串(在上面的代码定义的),第四个参数是请求方式,第五个参数是请求头中的Authorization,也可以看做是一个固定字符串

那么再看看这个k函数

k = function(e, t, n, r, a) {
    for (var o = r + e + "?", i = t.sort(), c = 0; c < i.length; c++) o += i[c] + "&";
    return o = o.substring(0, o.length - 1) + n, a && a.indexOf("Bearer") > -1 && (o += a), 
    l.MD5(o).toString(l.enc.Hex);
}

这里可以看出 他是先把列表排序 然后进行一系列字符串 拼接 再生成md5值
具体的逻辑 可以不管 我们直接扣出这个函数使用就行 因为已经知道了他的参数
而且 这个函数也没有嵌套其他的函数或者变量

在这里插入图片描述
这里可以发现 这个E就是请求的地址了

好了 分析完成

三、模拟请求

使用py还原下 代码 看看

在这里插入图片描述在这里插入图片描述

在这里插入图片描述
200!ok,sign是没有问题的(sign错的话 会403)

这里还有个问题 就是返回的数据加密了。

从抓包工具也可以看到数据是加密的
在这里插入图片描述
加密有很多种 AES,DES,RSA,HMAC等等 都试着搜搜

不过我研究过它的app代码 已经知道是用的AES加密

通过搜索后 会发现这部分代码

    decryptData: function(e) {
        try {
            if (e && "string" == typeof e) {
                var t = e.replace(/[\t\n\r]/gi, ""), n = w(), r = "";
                if (n > 0) {
                    var a = h[n];
                    r = l.enc.Utf8.parse(a.dataSecret);
                } else r = l.enc.Utf8.parse(g.dataSecret);
                var o = l.AES.decrypt(t, r, {
                    mode: l.mode.ECB,
                    padding: l.pad.Pkcs7
                });
                return JSON.parse(o.toString(l.enc.Utf8));
            }
        } catch (e) {
            console.error(e);
        }
        return e;
    },

这里可以发现加密方式 和它的模式 AES 的ECB pad.Pkcs7

接着找下秘钥

n = w()
                if (n > 0) {
                    var a = h[n];
                    r = l.enc.Utf8.parse(a.dataSecret);
                } else r = l.enc.Utf8.parse(g.dataSecret);

这里可以看到 秘钥是通过一个if else控制的 这里先看看这个n的值是什么 n=w()

w = function() {
    return 0;
}

从之前的代码 可以发现 n 是等于0的
那么这个秘钥就是

l.enc.Utf8.parse(g.dataSecret);

g = {
    host: "xxxxx",
    powerHost: "xxxxxx",
    secret: "F1D4FBbF32B593e8DF0F2f58Aff5F2C3",
    dataSecret: "nvukPrdsceR2iOP2"
}

秘钥就是这个了"nvukPrdsceR2iOP2"

好了 在改下代码 试试看

在这里插入图片描述
OK, 可以发现 解密成功!

zk935960518
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
某高速小程序获取sign
qianmang的博客
04-10 3893
1.准备工具 a) 已经root的Android手机 b) 电脑 c)抓工具fiddler,自行百度下载 d)微信开发者工具,自行百度下载 e)node.js 我的是v14.16.1 f)WebStorm 最好下载一个配合微信开发者工具很好找代码 ,自行百度下载 2.分析 在小程序启动的时候抓分析,发现有一个sign参数,在不登录帐号时,不同的时间,sign不变,就很可以猜想sign是本地生成的,因此只要反编译小程序就可以获知该算法。 3.反编译 查看小程序反编译. 4.定位关键代码 反
小程序签名生成(二)
qq_40979337的博客
08-11 747
签名生成 纸老虎篇
记一次微信小程序逆向
最新发布
wananxuexihu的博客
07-08 1395
扫码领取网安教程遇到瓶颈了,不知道该干什么,突然想到学校的小程序闲来无事就看一看抓下来的数据是这样的,嗯,下机(hhh。
微信Sign签名生成代码
09-28
直接可以使用的工具类 生成微信公众号sign
微信小程序签名(绝不黑屏)
qq_34631220的博客
08-12 651
微信小程序签名(绝不黑屏)
java 接口签名 参数名按ASCII码从小到大排序(字典序)+key+MD5+转大写签名
热门推荐
吕行的博客
01-24 1万+
/** * sign 签名 (参数名按ASCII码从小到大排序(字典序)+key+MD5+转大写签名) * @param map * @return */ public static String encodeSign(SortedMap&lt;String,String&gt; map,String key){ if(StringUtils.isEmpty(key)){ ...
微信小程序运用画布canvas签名,并生成图片
08-31
通过研究这些代码,你可以更好地理解如何在微信小程序中实现canvas签名生成图片。这个过程涉及到了微信小程序的基础知识,如组件使用、事件监听、canvas绘图以及图片处理,对于学习微信小程序开发非常有帮助。
小程序签名_小程序签名代码_
10-01
微信小程序开发中,"小程序签名"是一个至关重要的概念,它是保证数据安全和应用正常运行的基础。本项目涉及的是一个用户手写签名的功能组件,它允许用户在微信小程序内进行电子签名,适用于诸如合同签署、订单确认...
微信小程序实现电子签名功能
10-15
微信小程序实现电子签名功能是利用了微信小程序的Canvas组件,通过捕捉用户的触摸事件,生成签名笔迹,并提供上传和清除签名的接口。在实现过程中,涉及到的关键知识点括: 1. 微信小程序基础架构:微信小程序是...
微信小程序canvas画板手写签名
03-12
微信小程序canvas画板是开发在线手写签名功能的重要工具,它允许用户在手机屏幕上进行自由绘制,模拟实际的签名过程。这一技术的核心在于利用小...掌握这些技术,可以让你的微信小程序签名功能更加完善和用户体验更佳。
微信小程序实现电子签名并导出图片
10-15
首先,要实现微信小程序的电子签名,我们需要使用微信小程序提供的`<canvas>`组件来获取用户的签名。`<canvas>`是一个画布组件,可以用来绘制图形,签名。用户在画布上的移动轨迹会被捕捉下来,并转换为相应的...
autosign:自动签到微信小程序
05-13
autosign 自动签到微信小程序 抓取签到的请求后添加到CRON任务计划里让它自动执行,对我这种想要各种积分但是懒得或者忘记每天签到的人来说,确实方便了不少呢。 项目是自己做着玩的,顺便了解熟悉一下TP5框架和小程序的开发流程。 个人博客(不过几乎不更新):
贵高速小程序sign签名算法.e
03-31
贵高速URL中的sign签名算法,仅供学习参考,切勿用于非法用途。
小红书微信小程序X-Sign参数解密
02-24
小红书微信小程序X-Sign参数解密
小程序支付 xml拼接 和生成 sign签名 代码
hou9876543210的博客
04-22 564
前一段时间 写了小程序支付流程 下单中 需要调用两个方法get_sign()生成sign 签名 get_req_xml拼接xml 忘记代码上传了 今天有人评论 现在补充下 直接上代码 代码如下 def get_sign(params): """ 生成sign 签名 """ stringA = key_value_url(params) stringSignTemp = stringA + 'key=' + api_key # APIKEY, API密钥,需要
微信小程序签名
weixin_34040079的博客
04-19 3566
由于公司业务的需要,需要实现客户在表单中签上自己名字。这里的实现是基于signature_pad而弄出来的微信签名板。signature_pad地址:github.com/szimek/sign… 公司的APP用的就是这个,效果图如下: 而微信小程序并不支持,所以基于signature_pad而修改了signature_pad.js保证了微信小程序的使用。效果如下: 地址如下:gitee.co...
某路黔寻小程序sign
李玺
03-20 3634
某路黔寻小程序sign参数分析和生成
微信小程序电子签名组件
weixin_49258413的博客
12-09 3396
微信小程序电子签名组件,封装抽离可复用,签名成功输出base64和临时文件路径,解决vant弹窗中使用导致背景滚动问题,宽度自适应,高度设置百分比,开箱即用!
前端微信小程序签名生成
xue_tingting的博客
02-26 579
1、签名组件(思路是使用canvas 转换成base64图片 返给后端 之后 获取的时候 后端再把当前存储的 路径返回)3.组件内容(画布)
微信v3小程序支付签名
07-04
微信V3小程序支付签名(统称为JSAPI支付)是微信官方提供给小程序的一种安全支付机制,用于验证开发者在后端生成的支付参数是否有效和防止恶意篡改。这个过程主要括以下几个步骤: 1. **构造参数**:后端服务器需要获取用户的openid、商品信息、金额等必要数据,然后组合成一个JSON对象(通常含`appId`、`timeStamp`、`nonceStr`、`package`、`signType`以及自定义的数据如`openid`),其中`package`字段含了交易相关的数据。 2. **设置签名**:将上述参数按照特定顺序排序并添加上`key`(在微信公众平台上配置的小程序AppSecret)进行MD5或SHA256哈希运算生成签名值(`signature`)。 示例签名计算: ``` sign = stringToSign.join('&').replace(/&/g, '') + '&key=' + AppSecret; signature = CryptoJS.HmacSHA256(sign, 'appsecret Sha256'); signature = signature.toString(CryptoJS.enc.Hex); ``` 3. **发送请求**:前端通过调用微信提供的API(如`wx.request`)将构造好的支付参数(括`appId`、`timestamp`、`nonceStr`、`package`、`signType`、`signature`等)发送到后端。 4. **校验签名**:后端接收到请求后,再次对传来的参数进行同样的签名计算,如果计算出的签名与原签名一致,则认为支付参数有效;否则可能是被篡改或失效,应拒绝处理此请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值