Android反编译支付宝,Wechat&Alipay小程序源码反编译 | 0x24bin's Blog

0x01 前言

随着小程序的火爆，越来越多的企业开始开发自身的小程序，小程序便成了我们挖洞的一个切入点。常用的平台有微信、支付宝、百度app等。日常渗透、众测中经常会遇到小程序，在获取到小程序客户端源码的情况下，对于Bypass数据包签名、GET敏感接口等都有一定的帮助。这里对最常遇到的微信小程序、支付宝小程序的源码反编译做个方法记录。

0x02 需要的准备

安卓手机(需ROOT)

PC安装adb套件

0x03 微信小程序

微信使用小程序

手机连接电脑，注意手机开启USB调试模式，可用电脑命令行下运行adb devices来确认是否连接成功。

进入微信小程序.wxapkg文件存放位置：

导出小程序：

通常利用android手机的/sdcard/作为中间目录来导出wxapkg文件

.wxapkg文件反编译

如上已经将wxapkg文件导出到电脑本地，此时需要利用脚本将其解压，即可得到最终的源码文件

0x04 支付宝小程序

大致思路与微信小程序一致，需要注意的是支付宝小程序的存放位置不同,位置如下。另外具体目录名为小程序tinyAppId值，其中的tar包即为源码文件。tar包未加密，adb pull出来之后直接解压即可

导出方法一致，最终导出来之后效果图如下：

0x05 js美化

小程序源码使用的是js，而通常会加密、混淆等，如上图的js文件，对于我们分析会有一定的阻碍。方法还是有的，我们只需要对js进行美化即可帮助我们分析，这里推荐一个js美化在线工具：

https://tool.lu/js/

0x06 参考链接

原文链接：https://www.ohlinge.cn/web/mini_app_decompile.html