记一次微信小游戏渗透测试

最新推荐文章于 2024-12-09 14:24:04 发布
最新推荐文章于 2024-12-09 14:24:04 发布
阅读量312 收藏
点赞数
分类专栏: web安全 文章标签: web web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854662/article/details/132358218
版权

本文转载于:https://www.freebuf.com/vuls/371936.html

准备工作

因为目标站点只能用微信打开,微信又不能调试看代码。这里推荐可以使用pc端旧版微信3.2.1,具体方法放链接里:

https://blog.csdn.net/qq_45863248/article/details/127688137

需要注意的是,如果作者方法未生效,可以把pak文件放微信安装目录再重启试试。

看到Show DevTools就说明成功啦!

开始测试

首先看到微信小游戏先游戏流程先走一遍抓个包。在手机微信上点击开始游戏:

1689216059_64af643bb24a47d6a584d.png!small?1689216060822

把上面的图形对应滑到下面的棒冰上制作成功棒冰+1

1689218943_64af6f7fb7e59d6bb14ac.png!small?1689218944809

每制作一根棒冰发送一个包(我这里制作了两个):

1689215942_64af63c672f38c2ec34f8.jpg!small?1689215942794

1689216184_64af64b8afa3619675eba.png!small?1689216185183

页面倒计时结束后,变量boxNum统计制作了多少根棒冰,然后发送

1689216208_64af64d02fbf2d60436b3.png!small?1689216208469

这里我们看到boxNum参数是加密了的,有理由怀疑最终制作个数就是由boxNum来控制的

打开pc端旧版微信调试工具,全局搜索,发现并未找到这个变量1689215817_64af6349106457fb5c80e.png!small?1689215818443

懵了,我还以为出了什么问题,反复找了半天,发现也并没有游戏相关的js。在旧版pc端微信点开始游戏抓包,终于是发现了game.js,全局搜索boxNum,居然在这里。与之前不同的是,它不会一次性加载显示所有js,游戏开始后才加载的。

1689217218_64af68c25cfb394dde921.png!small?1689217219427


分析加密逻辑,直接找f函数,搜索function f:

1689218316_64af6d0c00919925f7b6a.png!small?1689218316379

发现是AES加密,自定义了icon1,icon2两个未知变量,需要加密就必须知道这两个变量,同样,在这个game.js和之前的js里均未搜到这两个变量。于是游戏里继续抓包,发现rem.js,看到icon1、icon2均是固定的。

1689218413_64af6d6de0c652a56cd7a.png!small?1689218414274

这下好办了,直接本地环境搭起来,先试试开头的我制作的棒冰数量2加密与数据包对比一下。

1689218675_64af6e73c88810b4bf3b8.png!small?1689218676689

1689218627_64af6e43e4d24c52fab3d.png!small?1689218628235

完全一样!测试结束。

微信小程序开发中的数据加密和保护方法
吃不胖.
04-21 650
在小程序开发中,我们可以使用wx.request方法发送HTTP请求时,设置header中的"content-type"为"application/json",并将url以https://开头,确保数据的安全传输。数据加密和保护是保障小程序中数据安全的重要环节。在实际开发中,我们应根据具体需求选择合适的加密和保护方法,确保数据的安全传输和存储。在本文中,我们将介绍一些常见的数据加密和保护方法,并提供相应的代码案例。通过以上代码示例,我们可以实现在开放数据域中绘制Canvas,并在主域中处理用户的敏感信息。
微信小程序抓包(渗透测试
热门推荐
墨痕诉清风的博客
07-15 3万+
很多时候Web的测试已经被很多人都光顾过了,相反小程序和APP,往往是被遗忘的,被遗忘的往往是最容易出现安全风险的。在最近的项目里,有个小程序的测试项目,已经被挖了好多漏洞啦!
微信小程序反编译及渗透测试手法
weixin_46263525的博客
06-14 852
微信小程序反编译及渗透测试手法
微信小程序、小游戏DES3加密解密实现,基于crypto-js
zbfaaadjl的专栏
08-08 7835
首先我们需要下载crypto-js的源代码,下载链接: 这里源代码用的是 github 上面的项目:https://github.com/brix/crypto-js 7000+ star 哟 如果觉得麻烦,可以下载笔者做的DEMO,拿来主义你懂滴
微信小程序中使用miniprogram-sm-crypto实现SM4加密攻略
最新发布
Jiaberrr的博客
12-09 1636
SM4是一种对称加密算法,由国家密码管理局发布,适用于商密领域。它的密钥长度为128位,分组长度为128位,加密过程采用32轮迭代。SM4加密算法具有较高的安全性,适用于微信小程序中的数据加密需求。const key = '00112233445566778888888800000000' // 替换为你的密钥通过本文的介绍,相信大家已经掌握了在微信小程序中使用miniprogram-sm-crypto插件进行SM4加密的方法。在实际项目中,请根据需求合理使用加密技术,确保数据传输的安全性。
开发那点事(十七)微信小游戏代码安全问题,如何防止代码被扒
开发那点事
09-22 4053
在正式开始今天的内容之前,大家需要明确的一点是,前端的代码不管是部署到服务器还是微信审核上线,用户访问它的同时,所有的代码已经下载到了用户的电脑里,通过浏览器解析代码,用户才能看到相应的内容,所有要做到前端的代码完全不被盗用就跟咱们写程序遇到bug一样是不可能百分之百避免的。接口加密可以很大程度的增加安全系数,在微信小游戏的调试器里,没办法F12看图片资源,都可以将所有的图片资源放置在oss服务器上,别人就连图片资源都扒不到了。已经详细说明,对于微信小游戏中的js文件同样适用,大家可以可以去看看。
一次微信小程序逆向
2301_80115097的博客
07-26 4236
环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔、学习路线。这边数据包中有个签名值,还有个时间戳timestamp,防止重放,所以要尝试知道怎么计算这个sign值。看js里有挺多接口的,一开始稍微看了一下都没有什么敏感泄露,也没有什么未授权,字段中存在uid,尝试是否存在越权,结果uid与token关联的,所以无果。但总感觉是有点问题的,来都来到这一步,总不能放弃吧,至少把接口都看一遍。加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄。
055-微信小程序-飞机大战.zip
06-11
- 市场前景:微信小程序凭借其便捷性,已经渗透到电商、生活服务、游戏等多个领域,"飞机大战"的成功也证明了小程序在游戏市场的潜力。 - 技术创新:随着微信小程序功能的不断丰富,开发者可以实现更多复杂的功能...
微信小程序抓包及测试
hackzkaq的博客
10-24 864
本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式。
微信小程序的需求分析.pdf
05-28
微信小程序的场景下,需求分析尤为重要,因为微信小程序已经渗透到生活的各个领域,如办公、娱乐、购物等,不同类型的用户有着各自独特的需求。 首先,我们需要明确微信小程序的制作类型需求。这涉及到小程序的...
微信小游戏DES加解密DEMO
08-08
这是一个用于微信小游戏的DES加解密的DEMO,基于著名的crypto-js实现,打开即可运行,代码简单
微信小程序加密及解密
02-06
这是一个java解密小程序的一个例子,希望可以帮到大家。
小程序线上调试优化
浩星
09-01 3838
小程序线上调试优化
微信小程序漏洞:可下载任意微信小游戏源代码
justjavac的专栏
01-04 2万+
本文转载自【小专栏平台】公众号,由独立开发者朱鹏飞投稿。如果大家想要微信跳一跳小游戏以及其他十几个小游戏源码,大家可以关注【小专栏平台】公众号,回复“微信小游戏”即可获取到。截止原作者目前推送文章的时候( 2018年1月1日23:50分 ),微信官方已经修复了这个漏洞,但是我感觉文章还是可以分享出来给诸位开发者,安全问题真的不容忽视呢。另外说两点:1、据说有些老版本的微信还是可以抓包获取包地址;2
微信小游戏破解(2)之《我要猫咪》
L_xiaole的博客
04-01 1万+
注明:本篇教程需在明白上一篇的基础上才能进行,不清楚的同学请参考这里=》微信小游戏破解(1)之《我要当皇上》 另外我提一下,博主本人并不是专业做破解的,只是这段时间在学习微信小程序开发(老本行是做android开发),并有朋友提出破解需求,我才花时间研究一下的,有些内容我是借鉴了一个专业的破解网站=》吾爱破解 ,有兴趣的同学可以去注册一个账号学习学习,毕竟学无止境,回头是岸[手动滑稽]。 好了...
微信小程序 aes加密 aes解密
a_靖的博客
03-20 8768
微信小程序开发交流qq群 173683895 承接微信小程序开发。扫码加微信。 正文: aes.js文件需要下载:点击打开链接 //util.js var CryptoJS = require('aes.js'); var key = CryptoJS.enc.Utf8.parse("十六进制数作为秘钥"); var iv = CryptoJS.enc.Utf8.parse(...
微信小程序如何加密
dianliang01的博客
03-22 1万+
随着微信的用户量基础越来越大,小程序越来越成熟,很多线上教育或者视频播放都可以使用小程序实现。不过对于视频版权者来说如何保护自有版权视频的安全性是还是必须要考虑的。那么小程序播放视频能不能做加密呢? 点量软件告诉您这个是可以的,小程序加密其实和之前说过的H5加密是一样的。因为微信打开的时候也是使用的浏览器,所以小程序加密也是属于H5加密的一种。那么使用小程序加密可以实现哪些功能呢? 微信下打开...
微信小程序-AES加密解密
weixin_37035452的博客
06-26 6867
微信小程序 aes加密 aes解密 微信小程序 aes加密 aes解密 这两天一直在跟小程序的加密进行较劲,先是rsa 弄了半天最后还是超长加密不可以,多加密几次还是会出现加密失败的,最后下载了不少的别人的代码也没弄出来,果断放弃了,然后选择了AES加密。开始也走了不少弯路,最后还是弄出来了。好了废话不多说直接上代码。 AES加密1(不带秘钥偏移量)的 之所以先写这种方式是因为我查找了很多方法都是...
微信小游戏抓包分析
moonfish0607的博客
03-12 1万+
有人说过
微信小程序跳一跳自动化工具python实现分享
“跳一跳”是微信小程序中的一款休闲小游戏,玩家通过控制一个小人从一个方块跳到另一个方块,游戏难度会随时间逐渐增加。这款游戏因其简单易上手而受到广泛欢迎,但在操作上需要较高的精准度和反应速度,因此有用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值