小程序自动化辅助渗透脚本(2024)

最新推荐文章于 2024-06-27 13:38:45 发布
最新推荐文章于 2024-06-27 13:38:45 发布
阅读量1.3k 收藏 15
点赞数 32
分类专栏: SRC 文章标签: 网络安全 小程序抓包 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59468567/article/details/139263246
版权

简介

1.还在一个个反编译小程序吗?

2.还在自己一个个注入hook吗?

3.还在一个个查看找接口、查找泄露吗?

现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露

注:本工具仅用于学习交流,读者任何行为与作者无关

平台限制:windows

来源:eeeeeeeeee-code/e0e1-wx: 微信小程序辅助渗透-自动化 (github.com) 

 界面展示

windows 小程序抓包流程

介绍

发现些人还在用 安卓模拟器去搞小程序抓包,这样费时不省力,而且准备的工具e0e1-wx,就是为了配合windows小程序渗透的

所以接下来的优化,准备通过python脚本来抓小程序的http\https流量,直接转发到burp。

环境准备

1.Proxifier 老版中文版 (网上很多)

2.burp

首先打开Proxifier ,寻找代理服务器

选择添加一个代理,这里就添加自己burp设置的代理就可以了,端口也是burp对应的端口,自己设置

选择代理规则

这里选择添加个代理规则

应用程序填写为这些

WeChatApp.exe;WechatBrowser.exe;WeChatAppEx.exe

然后打开你的burp,打开你想要搞的小程序,是可以轻松拦包的,包括https的包

自动化渗透脚本的使用方法 

config.yaml文件解释

tools:
  # 是否开启请求接口
  asyncio_http_tf: False
  # 小程序结果保存的文件名
  proess_file: "proess.xlsx"
  # 不进行拼接的接口的url,不写入该状态码的接口
  not_asyncio_http: ["weixin.qq.com", "www.w3.org", "map.qq.com", "restapi.amap.com"]
  not_asyncio_stats: [404]
  # 最大线程数
  max_workers: 5

wx-tools:
  # 微信位置(必须配置),注意这里必须使用的是单引号
  wx-file: ''

bot:
  # 飞书机器人配置,是否开启飞书提醒
  feishu-tf: False
  api_id: ""
  api_secret: ""
  phone: [""]

config配置

1.配置wx文件夹位置配置

来到设置,查看文件管理对应的文件夹位置

来到WeChatOpenDevTools/Core/WeChatAppEx.exe at main · x0tools/WeChatOpenDevTools · GitHub,查看对应版本的addres

或者到 wx-hook/addres at master · eeeeeeeeee-code/wx-hook · GitHub 查看对应的基址

 来到脚本./tools/WeChatAppEx.exe.js文件中,修改addres参数为对应的版本addres

使用方法

# 不进行hook
python3 e0e1-wx.py

# 进行hook
python3 e0e1-wx.py --hook

 

 

Pluto-2003
关注
  • 32
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
探索技术创新:WXHook - 一款强大的微信插件开发框架
gitblog_00082的博客
04-04 721
探索技术创新:WXHook - 一款强大的微信插件开发框架 项目地址:https://gitcode.com/susnmos/WXHook 项目简介 WXHook 是一个专为微信小程序开发者设计的开源框架,它提供了对微信小程序运行时环境的深度钩子和增强功能。借助此项目,开发者可以更灵活地定制和扩展微信小程序的功能,实现一些在官方API之外的需求。 技术分析 1. 模块化设计 WXHook 采用模块...
微信小程序辅助渗透-自动化工具
Javachichi的博客
05-14 1266
1.还在一个个反编译小程序吗?2.还在自己一个个注入hook吗?3.还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露注:本工具仅用于学习参考,任何事情与作者无关平台限制:windows。
为什么国际顶级黑客大都没学过计算机专业,而是自学成才?
weixin_57514792的博客
05-29 6124
为什么国际顶级黑客大都没学过计算机专业
微信小程序辅助渗透-自动化工具_微信小程序辅助脚本
最新发布
weixin_57514792的博客
06-27 1139
微信小程序辅助渗透-自动化工具_微信小程序辅助脚本
微信小程序跳一跳的游戏辅助实现
热门推荐
Dreawer微信小程序联盟
01-02 2万+
0.前言 微信小程序跳一跳是个挺不错的游戏,但身为一个天生爱折腾的geek,还是忍不住挑战这游戏的上限。 效果如下动图,游戏开始,程序会自动识别小人的坐标,你只需点击要跳到的那一个方块,程序将自动算出并帮你按下屏幕若干秒,小人即完成一次跳跃。 效果图 1.相关技术 实现起来其实相当简单,主要用到几个技术点: 悬浮窗 在Android代码中执行Shell命令
vue3+ts+uniapp小程序封装获取授权hook函数
奔跑吧代码
09-12 643
基于vue3+ts+uniapp小程序实现封装获取授权的hook函数
基于微信小程序的教学辅助小程序
qq_61827376的博客
07-01 456
随着移动应用技术的发展,越来越多的学生借助于移动手机、电脑完成生活中的事务,许多的传统行业也更加重视与互联网的结合,由于学生学习的压力越来越大,教学辅助是一个非常不错的教育平台,对于很多冲冲刺时间紧的学生是一个非常头痛的事情,有的人可能就是查找资料也要用去半天时间,教学辅助微信小程序为了缓解学生解决问题的所在,本论文探讨利用不断发展和进步的网络技术,实现线上考试、成绩查询等主要功能模块的具体实现,最后对教学辅助进行了功能测试,并对测试结果进行了分析总结,得出教学辅助存在的不足及需要改进的地方,为以后的教学辅
HOOK与注入
weixin_43781139的博客
07-21 4494
HOOK和注入技术经常被恶意代码使用。利用HOOK和注入技术,恶意代码提高了执行隐蔽性,增加了恶意代码分析难度,在某些情况下还能实现权限提升和内存常驻。 HOOK技术 挂钩(HOOK)就是在来往信息间安装“钩子”,钩取来往信息。 在用户层,常见的Hook技术有: ①消息钩子 ②Inline Hook ③IAT Hook 消息钩子 原理: 用户对应用程序的各种操作(eg:键盘输入、点击、移动等)都会产生事件;发生事件时,操作系统会把该事件对应的消息发送给相应的应用程序,应用程序分析收到的信息后执行相应的动作。
微信跳一跳小程序脚本(全)
01-05
微信跳一跳小程序Python脚本和adb安卓调试工具,集成了各位大神的脚本,只需要配置Python和adb环境变量,连接手机调整分辨率参数即可使用
脚本渗透系列教程
05-06
脚本语言是一种编程语言,其特点是解释执行而非编译执行,常用于自动化任务处理、快速开发小型应用程序等场景。在网络安全领域,熟练掌握脚本语言能够帮助安全专家更高效地进行渗透测试、漏洞扫描等工作。常见的脚本...
2020双十一淘宝领喵币&京东全名营业の自动化任务.zip
10-25
总之,“2020双十一淘宝领喵币&京东全名营业の自动化任务.zip”中的JavaScript脚本利用了先进的Web自动化技术,旨在帮助用户自动完成电商平台上的活动任务,提高了参与双十一活动的效率。然而,用户在使用此类工具时...
程序辅助工具-辅助程序辅助工具
01-07
自己制作的一个小工具 用来检测句柄之类的东西颜色也可以自己制作的一个小工具 用来检测句柄之类的东西颜色也可以
跳一跳微信小程序辅助基于Python
03-21
基于python的微信跳一跳小程序辅助,新增详细安装说明文档,已经修复了一些程序bug。 调整参数时先根据手机分辨率调整,若效果不好,可根据机型调整,已打包好机型配置参数,包括 华为,小米,苹果,三星多种机型。
「端点安全」基于DT、生物识别技术的金融安全实践 - 安全知识.zip
11-27
自动化工具可以辅助进行安全测试,提高效率并减少人为错误。访问管理策略,如最小权限原则,确保员工只能访问执行职责所需的信息,降低了内部威胁的风险。 Swoole作为PHP的扩展,常用于构建高性能的服务器应用,但...
kali渗透测试缓冲区溢出
02-09
3. 模糊测试:自动化工具向程序输入大量随机或半随机的数据,观察程序的反应来确定是否会出现溢出。 在实际的缓冲区溢出攻击中,攻击者通常会使用以下步骤: 1. 确定漏洞:首先要找到存在缓冲区溢出风险的程序和...
ZCookies-crx插件
04-02
- **自动化测试**:在编写自动化脚本时,可以利用插件快速获取Cookie,以便模拟用户登录状态或其他依赖Cookie的流程。 总的来说,ZCookies-crx插件通过提供便捷的Cookie管理功能,为IT专业人士提供了强大的辅助工具...
Python 打造微信小程序-加减大师辅助程序
啦啦啦的博客
05-28 9227
写在前面:      主要运用python进行简单的图像处理,不得不说python用起来是真的爽,各种库的学习使得开发变得越来越简单...     其实玩过这个小程序的应该知道实现起来也不是很难,很适合新手练手。第一次到了500多题不知道是因为被检测了还是网掉了分数没提交。。。结果以后到200分就手动停了,发现提交是正常的......   话不多说先上效果:(gif太麻烦了将就着看吧......)...
微信小程序跳一跳辅助程序(手动版)
qq_30569745的博客
01-11 3751
最近,微信官方推出了demo小程序游戏《跳一跳》,这个游戏操作简单,容易上手,却又不容易获得高分,受到很多人的喜爱(emm...这游戏有毒)。自己也尝试了玩了几次,作为一个手残+脑残的资深玩家,对于这种游戏的分数简直低的可怕...既然自己这么菜,就找些工具辅助一下吧,于是,就有了做一个辅助外挂的尝试。       本人玩这个游戏的时候比较晚,所以先去度娘上查了一下现有的方法,果然,搜索出的结果还
Android"挂逼"修练之行--微信小程序逆向辅助插件工具开发详解
编码美丽
05-08 1万+
一、前言之前一篇文章已经详细介绍了:微信小程序包的格式解析,在之前文章中也了解到小程序包存放在沙盒目录,但是微信为了让小程序包安全就对文件名做了一个处理,导致我们很难找到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pluto-2003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值