本文详细介绍了如何通过APK信息资源提取、微信小程序在真机和模拟器上的数据抓包,以及反编译技术。涉及的知识点包括APK资产提取、权限管理、漏洞检测、代码审计和安全评估。还提供了实际操作案例和安全渗透角度的考虑。
第70天 APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取
知识点:
0、APK信息资源提取
1、微信小程序致据抓包
2、做信小程序解包反编译
1、信息收集应用8资产提取&权限等
2、漏润发现-反编泽&脱壳&代码审计
3、安全评估组件8散密匙&思意分析
核心点:
0、内在点资产提取&版本&信息等
1、抓包点-反代理8反证书8协议等
2、逆向点-反编译8脱壳8重打包等
3、安全点资产&接口&漏洞&审计等
演示案例:
APP&APK-信息资源文件提取
微信小程序-真机&模拟器数据抓包
微信小程序-PC&模拟器分包反编译
APP&APK-信息资源文件提取
APK Messenger–是本信愿&资源文件&开启权限等
微信小程序真机&模拟器数据抓包
安卓系统抓包(微信小程序):
1、安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2、安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书
3、安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
基于上述我们解决的方式如下:
1、将证书安装到系统证书中(需要r00t)
2、苹果手机(苹果手机不受此影响)
3、采用安卓系统低于7.0的横拟器
演示:逍遥模拟器5.1安卓系统微信小程序抓包
思路:模拟器代理转发到burp
演示:夜神模拟器多开5安卓系统微信小程序抓包
演示:真机IPhone-OS系统微信小程序抓包
条件:抓包本机需要和Iphone手机处于同一WIFI下
Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口
安全点:
渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法
分子利用,相当于APP正常服务就会受到直接的影响!
APK-白盒-Java代码审计
APK-黑盒-资产&WEB&IP&接口等
小程序-白盒-Node.JS代码审计
小程序黑盒资产&WEB&P&接口等
开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置
导致攻击者利用app获取到手机的敏感信息等。
弱加密,逻辑安全,授权,中间人等
微信小程序-PC&模拟器分包反编译
1、高富帅版:
欢迎使用多功能小程序助手工具,点击确定开始使用。
免责声明:不得将小程序反编泽源码程序和反编泽图片素材挪作商业或盈利用
使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637
最新版下载地址:https:xcX.siqingw.top/xcx.zip
2、穷屌丝版:
https://github.com/sanriqing/WxAppUnpacker
安装node.js
http://nodejs.cn/download/
安装依赖:
npm install
模拟器取出wxapkg文件:
/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg
反编译解包
node wuWxapkg.js -s=…/xxxx.wxapkg
5594
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
