话不多说,上干货
小程序代码哪里搞
- pc端
只要你登录电脑wx并使用过小程序,那么对应的C:\Users\{用户名}\Documents\WeChat Files\Applet下就会产生很多.wxapkg结尾的文件,例如__APP__.wxapkg。pc端的小程序代码是加密的,需要先用工具解密出来再反编译。
python版:https://github.com/nieweiming/pc_wxapkg_decrypt_python (需要本地安装python3运行环境)
如图dec.wxapkg文件就是解密出来的待反编译的前端代码文件
- andriod
同样的,用过小程序之后,代码目录位置:/data/data/com.tencent.mm/MicroMsg/{undefined{一串32位的16进制字符串名文件夹}}/appbrand/pkg/ 在这个目录下会有一些 xxx.wxapkg 这样后缀的文件,这些就是小程序或者小游戏的包。
小程序代码怎么反编译?
- 电脑没有node js环境的需要先安装 下载 | Node.js
- git下载反编译工具 https://github.com/gudqs7/wxappUnpacker/tree/master
- 下载完成后进入脚本所在文件夹,然后依次执行
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify 下载好脚本运行所需环境
- 最后一步,执行反编译命令
> node wuWxapkg.js 要反编译的小程序代码路径.wxapkg - 执行完成之后,会在当前脚本目录产生一个默认dec的文件夹,里面就是我们想要的小程序前端代码了
如何拿到加密规则调用接口?
- 利用Charles抓包工具拿到请求服务器的具体报文,找到加密字段。在这里,我找到的是x-sign字段。
- 然后去代码里查找x-sign这个关键字,果然被我找到了。ps:在反编译的代码里,虽然是我们能看懂的代码,但是还是压缩之后的代码,这就要靠我们自己去找加密规则的代码了- -
剩下的就是走代码看具体的生成逻辑了,在这里我就不方便透漏这个加密规则了,每个人每个平台都是不一样的。
调用接口爬取数据
这一步就比较简单了,用python或者java都可以,无非是组建通过抓包工具获取的信息+自己破解的加密规则模拟小程序调用服务器接口获取数据就ok啦