Android反编译支付宝,Wechat&Alipay小程序源码反编译 | 0x24bin's Blog

最新推荐文章于 2024-06-18 17:11:04 发布
最新推荐文章于 2024-06-18 17:11:04 发布
阅读量4.5k 收藏 9
点赞数
文章标签: Android反编译支付宝

0x01 前言

随着小程序的火爆,越来越多的企业开始开发自身的小程序,小程序便成了我们挖洞的一个切入点。常用的平台有微信、支付宝、百度app等。日常渗透、众测中经常会遇到小程序,在获取到小程序客户端源码的情况下,对于Bypass数据包签名、GET敏感接口等都有一定的帮助。这里对最常遇到的微信小程序、支付宝小程序的源码反编译做个方法记录。

0x02 需要的准备

安卓手机(需ROOT)

PC安装adb套件

0x03 微信小程序

微信使用小程序

手机连接电脑,注意手机开启USB调试模式,可用电脑命令行下运行adb devices来确认是否连接成功。

进入微信小程序.wxapkg文件存放位置:

6bca1399e51f2aa9ea7351108b3bcbc6.png

导出小程序:

通常利用android手机的/sdcard/作为中间目录来导出wxapkg文件

.wxapkg文件反编译

如上已经将wxapkg文件导出到电脑本地,此时需要利用脚本将其解压,即可得到最终的源码文件

a333cc855904f3d6fde285ea368f95ce.png

0x04 支付宝小程序

大致思路与微信小程序一致,需要注意的是支付宝小程序的存放位置不同,位置如下。另外具体目录名为小程序tinyAppId值,其中的tar包即为源码文件。tar包未加密,adb pull出来之后直接解压即可

7c8eb66cda9cf2aaa1fe94d5305bec27.png

导出方法一致,最终导出来之后效果图如下:

ad42483128c32168ebb3549fb71d6c57.png

0x05 js美化

小程序源码使用的是js,而通常会加密、混淆等,如上图的js文件,对于我们分析会有一定的阻碍。方法还是有的,我们只需要对js进行美化即可帮助我们分析,这里推荐一个js美化在线工具:

https://tool.lu/js/

0x06 参考链接

原文链接:https://www.ohlinge.cn/web/mini_app_decompile.html

樊兆强
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
alipay:Alipay sdk 反编译解析
06-25
支付宝无线SDK反编译代码解析 [郑重声明]此项目仅用于技术研究,无任何商业用途或非法目的 通过反编译alipaysdk.jar,得到混淆过的代码 分析混淆代码,还原原有的实现方式与处理机制 梳理sdk的网络请求消息结构 使用动态语言重写sdk,实现可动态化地使用支付sdk
支付宝小程序框架分析
cyjmosthandsome的博客
02-28 4690
支付宝小程序框架逆向分析 本文对支付宝小程序的正向开发做了简单介绍,并从正向开发的文件类型入手,对小程序的宿主框架进行了逆向分析,包括运行机制、通信模型以及安全防护体系等内容。 代码开发 支付宝小程序开发在语法方面与传统的前端网页开发非常类似,开发者主要编写 .axml、.acss、.js三部分文件,分别对标前端开发中的HTML、CSS、JS。 其中 .axml 的内容如下所示,AXML 是小程序框架设计的一套标签语言,用于描述小程序页面的结构。 <view> Hello {{name}}!
uni-app开发微信小程序支付宝小程序、百度小程序代码混淆加固反编译
Li_Ning21的博客
04-28 685
整体来说混淆过后,对小程序反编译和代码混淆都是有帮助的,防止被别人轻易破解后二次开发,或者造成损失。对于支付宝小程序和百度小程序,目前只有1 2 方案可用。
【Burpsuite抓取APP、小程序数据包教程】
最新发布
heike_Ch的博客
06-18 299
本节主要讲如何利用burpsuite抓取APP和小程序数据包,希望对你有帮助!
小程序逆向加密步骤小结
Steven_yang_1的博客
11-14 461
5,找到对应的位置进行解读跟踪,如果源码不能很好的进行阅读,就去格式化,通过搜索进行跟踪定位。4,找到接口搜索接口中的关键词进行定位。3,如果调试不好就取看代码。2,在小程序中进行调试。
小程序反编译脚本下载,从此小程序源码就是囊中取物了
09-25
小程序反编译脚本下载,从此小程序源码就是囊中取物了; 大佬出品的反编译脚本,轻松上手,直接使用
最新小程序反编译详细教程,亲测可用
weixin_42092736的博客
09-25 1万+
小程序解密解包、小程序反编译小程序抓取素材、小程序转uni-app
xpose 调试支付宝
dalangtaosha2011的专栏
01-28 1398
第一部分 一、前言 Xposed 能干嘛?我可以告诉你 Root + Xposed ,真的可以为所欲为。而 Android 开源,为“搞机”带了更多的乐趣的同时,当然也引入安全性问题,部分流氓软件在 Root 下,会盗取用户私密信息,例如:号码、照片、短信、密码······,所以需要慎重使用 Root,此外本文仅作为技术学习。 二、Xposed 安装 1.首先你的手机 必须 Root,关于...
APP 抓包 | 支付宝小程序抓包
payjs1的博客
03-28 5782
开启一个 linux 子系统(WSL:微软商店即可直接下载安装,挺方便的)(只要是 liunx 即可或者只要是能打开 openssl 即可,你可以把文件传到 kali 中)开启一个 cmd 或者 powershell,(我这里用的是 powershell,如果用 cmd 那么执行的命令去掉。将该文件拖放到模拟器中 (直接从 win 桌面拖到 模拟器桌面即可,系统会自动将文件放到 Download 目录下)接下来涉及的目录都可以通过安卓系统的搜索功能查看到,如果不一样呢,以实际为准。
支付宝app反编译遇到的问题及心得
u011930916的博客
09-27 1043
这个报错是dex2jar无法反编译支付宝的部分代码,可能是支付宝混淆时防止dex2jar反编译的。 目前只得到了部分代码: 一共5个包,另外附上部分代码 这个大概是支付用的,没有注释,看了一部分就不想看了。 之后我会在我的资源里共享反编译得到的代码,大家一起学习。 另外附上遇到的问题日志 ...
关于反编译的经验之一次支付宝破解尝试
Simple_Man_Just的博客
03-30 8632
自己没有写过博客,更没有写过技术类的博客。------第一次。本博客纯粹为了学习、兴趣,别无他意 我这次对支付宝的手机软件进行反编译,目的是为了尝试获取应用中保存在本地的账号、密码。大家都知道,支付宝第一次登录后会记住账号、密码,以至于第二次登录不用登录就可以直接进入主界面。这意味着应用在本地存储了机主的私密信息,那么手机丢了,就很有可能会。。。
破解支付宝小程序ssl验证,实现代理抓包.zip
09-30
破解支付宝小程序ssl验证,实现代理抓包
反编译小程序获取小程序源码傻瓜式操作—(有效)
前端应知应会
04-14 1710
反编译小程序获取小程序源码傻瓜式操作—(有效) 在学习小程序的过程当中难免会遇到各种坑槛,这时候拿大神的源码来借鉴学习一下不失为一种提升自身功力的办法,切记不要拿人家源码从事商业或者不法活动噢,此篇文章也是笔者借鉴总结供大家学习和自己积累的,再次明确声明,仅供学习,产生的后果笔者不负任何责任哈。 1、分析 想要获取小程序的源码,必须先得获取到小程序加密之后的编译文件包(.wxapkg),文件包...
小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构
siu~
08-30 2199
小程序应用&解包反编译&抓包&源码架构&微信开发者工具
小程序如何反编译
热门推荐
kuizuo12的博客
08-30 1万+
环境安装 微信开发者工具 下载地址:稳定版 Stable Build | 微信开放文档 (qq.com) 只支持windows和mac nodejs 下载 | Node.js (nodejs.org) 模拟器 这里推荐用雷电模拟器,真机都,只要能登录微信即可 解包工具 xuedingmiaojun/wxappUnpacker: 小程序反编译(支持分包) (github.com) 选择一个文件夹,通过如下命令安装 git clone https://github.com/xuedin.
小程序反编译亲测成功
zhaung_9的博客
11-28 2261
看了一位网友的分享,成功帮我解决了,特地贴出来,欢迎来一起交流 以下为大神的分享———————————— 一、获取小程序资源包,流程如下 1 微信PC版登录微信 2 使用PC微信打开小程序(此时在电脑里已经加载了该小程序的apkg源码包) 3 此时wxapkg包保存在文件路径 C:\Users{{电脑用户名}}\Documents\WeChat Files\Applet{{小程序AppID}}{{...
微信和支付宝小程序测试
m0_57098592的博客
05-24 4407
效率加倍,再也不用每次开抓包工具啦
[另类方式破解]支付宝小程序sign验签参数算法
闷骚小贱男
07-26 8266
前段时间想到支付宝的一个做任务领集分宝的小程序… 挺好的,想要做一个获取到所有任务,然后全自动做任务的工具,抓包发现有sign验签,于是有了本帖 抓完才发现,整个小程序是用https传输数据的。 另类方式破解的目的 小白就要有小白的办法,咱们要让小程序投降,让他自己乖乖的把sign用到的所有参数都告诉我。 0x0手机环境 安卓11 K40稳定版/miui12/解锁BL 已刷面具(刷了Move Certificates) LSPosed框架 0x1用到的工具 手机端 Drony 1.3.154
APK逆向实战--内购
提桶跑路20年的博客
01-29 1793
** 街机捕鱼达人v1.4.4.1金币破解 ** 一.打开应用试试水 打开游戏–金币商城–购买325000 点击支付宝 退出支付宝 显示购买未成功 二.逆向破解流程 1.打开AndroidKiller 全局搜成功(记得要转UNICODE) 2.找到关键Smali(提示支付未成功的) 3.因为有混淆,用JADX搜索“成功”找到该smali 4.分析该smali得到下面有支付成功的 思路:修改传入参数i2=3010,接着在一开始判断时跳转到成功位置 5.返回AndroidKiller,找到sma
微信小程序反编译uniapp
04-04
微信小程序是一种基于微信平台的应用程序,而UniApp是一种跨平台的开发框架,可以将同一套代码编译成多个平台的应用程序,包括微信小程序。关于微信小程序反编译和UniApp的相关介绍如下: 1. 微信小程序反编译: 微信小程序的代码是经过压缩和加密处理的,目的是保护开发者的代码安全。因此,直接对微信小程序进行反编译是违法行为,也是不被允许的。根据微信小程序开发者文档的规定,开发者只能通过微信开发者工具进行调试和修改自己的小程序代码。 2. UniApp: UniApp是一种基于Vue.js框架的跨平台开发框架,可以使用Vue.js语法进行开发,并将代码编译成多个平台的应用程序,包括微信小程序、H5、App等。UniApp提供了一套统一的API和组件库,方便开发者在不同平台上进行开发和调试。 关于微信小程序反编译和UniApp的相关问题,以下是几个相关问题供您参考:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值