浅谈小程序逆向

已于 2022-09-16 19:48:02 修改
阅读量3.2k 收藏 12
点赞数 1
文章标签: 小程序 爬虫 安全
于 2022-09-16 15:06:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42545308/article/details/126890607
版权

这里我从pc端入手,从wx设置里面可以找到文件存储路径,小程序的路径为:文件管理路径\WeChat Files\Applet。进入目录后如果发现有很多,不知道哪个是目标文件,可以全删了,重新打开小程序。小程序的包可能有一个,也可能分包有多个。
在这里插入图片描述
从pc端得到的wxapkg文件不能直接反编译,需要先进行解密。解密后得到新的wxapkg,才能进行反编译。
解密工具:
链接:https://pan.baidu.com/s/1qlSDpYmkQK8_2c5y1AETuA
提取码:qam3
图片

反编译工具:https://gitee.com/ksd/wxappUnpacker

需要注意的是这里的反编译工具运行需要node环境。下载好反编译工具还需配置环境,在wxappUnpacker的目录下打开cmd,安装一些依赖(一定要cd到wxappUnpacker目录下进行安装,不然安装了也没用)。

npm install uglify-es

npm install esprima

npm install css-tree

npm install cssbeautify

npm install vm2

npm install js-beautify

安装好后可以开始进行反编译,如果小程序只有一个包,直接运行命令:node wuWxapkg.js ***.wxapkg即可。如果小程序分包,有多个wxapkg,主包还是按照刚才的命令进行反编译,子包需要运行命令:node wuWxapkg.js ***.wxapkg -s=刚才主包反编译得到的项目路径。以上路径最好写绝对地址以免出现问题。
运行反编译命令时可能会遇到两个报错问题:

报错1:Error: Cannot find module ‘escodegen’

解决方案:npm i --save-dev escodegen

报错2:Error: Cannot find module ‘cheerio’

解决方案:

npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install uglify-es --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save
以上命令均需要在wxappUnpacker目录下执行
遇到分包时,如何区分子包和主包,可直接运行主包反编译命令如果是子包会报错提示使用-s命令。
图片

使用-s命令反编译子包时,可能也会报错:Error: ENOTDIR: not a directory, scandir。遇到这个报错可以不用管,运行完可以看下解出来的文件,实际上需要用到的东西已经解出来了。
图片

最后把所有子包得到的文件全部复制到主包的项目目录下,即可得到一套完整的反编译代码。
在这里插入图片描述

用微信开发者工具打开,就可以开始调试啦。这里还有一点需要注意的是,如果打开的是小游戏,是没有app.json的,微信开发者工具中的appid需要写小游戏类型的appid。如果是小程序的appid会无法编译,提示找不到app.json,而小游戏走的是game.json。

当然,操作到这一步直接开始编译肯定还是会有问题的,关于代码报错的修复以及羊了个羊的详细的逆向分析,后续的文章会中再进行详细介绍。

平底锅煎蛋
关注
小程序逆向过程
西门一刀的博客
08-21 309
清空微信目录下Applet文件夹中所有目录。
手机平台应用开发微型技术博客——浅谈Android和微信小程序的对比
Lone奔跑者的博客
06-17 568
在本学期手机平台应用开发课上,老师同时给我们提供了微信小程序开发的资源。跟着做了一两个项目之后越发感觉两者在很多思想上的共性,最主要的几个区别比如逻辑层分别使用的是Java和Javascript语言、而视图层安卓使用XML而微信小程序借鉴了前端语言的思想,HTML变成了WX(微信) 正好先举一个我在安卓和微信小程序两个项目上都用到的例子来“抛个砖”: 关于如何实现一个界面里图片的轮播效果,来直...
Error: ENOTDIR: not a directory, scandir ‘C:\getwxcode\_-588782754_77\appservice.js‘
weixin_41089823的博客
02-27 2730
编译错了,编译了基础包才会报错。
微信小程序本地应用包逆向工具
01-26
wxappUnpacker 这是著名微信小程序反编译脚本项目,我不是原作者,我只是该项目的搬运工,用于自己的项目中,同时修复了因微信升级导致该脚本运行报错的BUG。上传该项目的初衷就是有两个: 原项目已被作者移除,估计是涉及到不可描述的社会问题; 备份一份项目,供大家使用,也是给自己一份保障 使用方法 第一步 npm install 第二步 node wuWxapkg.js <wx> 之后会在你运行JS脚本的同级目录生成跟.wxapkg同名的目录,解压后的源码就在该目录下面 常见问题 1. Module build failed: Error: Cannot find module 'escodegen'(本项目已经修复该问题) 解决方法: npm i escodegen -S 2. Error: This Package is unreco
微信小程序
最新发布
随便写写
10-06 1021
简单记录一次小程序逆向
小程序逆向分析 (一)
qq_53058639的博客
02-13 3956
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
记一次微信小程序逆向
2301_80115097的博客
07-26 2787
环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。这边数据包中有个签名值,还有个时间戳timestamp,防止重放,所以要尝试知道怎么计算这个sign值。看js里有挺多接口的,一开始稍微看了一下都没有什么敏感泄露,也没有什么未授权,字段中存在uid,尝试是否存在越权,结果uid与token关联的,所以无果。但总感觉是有点问题的,来都来到这一步,总不能放弃吧,至少把接口都看一遍。加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄。
微信小程序逆向分析
For_John的博客
03-02 6089
微信小程序逆向;微信小程序逆向分析;实战逆向入门
算法文档无代码正难则反–浅谈逆向思维在解题中的应用
04-15
2. 问题简化:通过逆向思考,可以将复杂的问题分解为更小的部分。例如,在排序问题中,正向思维可能会关注如何构建排序算法的步骤,而逆向思维则可能从期望的排序结果出发,反向推导出排序过程中的关键操作。 3. ...
浅谈从CTF到实战1
08-03
在CTF中,由于程序小,完全逆向工程是可行的;但在实战中,由于分析对象的规模巨大,需要依赖攻击面分析、数据流分析和模糊测试(fuzzing)等高级技术来发现漏洞。例如,对于Android二进制漏洞的挖掘,可以通过分析...
V8 编译浅谈
阿里云云栖号
12-23 1513
简介:本文是一个 V8 编译原理知识的介绍文章,旨在让大家感性的了解 JavaScript 在 V8 中的解析过程。 作者 | 子弈 来源 | 阿里技术公众号 一 简介 本文是一个 V8 编译原理知识的介绍文章,旨在让大家感性的了解 JavaScript 在 V8 中的解析过程。本文主要的撰写流程如下: 解释器和编译器:计算机编译原理的基础知识介绍 V8 的编译原理:基于计算机编译原理的知识,了解 V8 对于 JavaScript 的解析流程 V8 的运行时表现:结合 V8 的编译原理,实践
微信小程序框架逆向
01-26
背景 在研究/升级后,目前已实现XX小程序框架跑通了devtools模式 支持了大部分微信小程序常用API, 支持小游戏 :warning_selector:但是XX小程序框架很多下基础API跑不起来,比如无法使用原生播放器/蓝牙等; 原因: 微信小程序ios/android模式下, 是通过原生去支撑这些基础API. 目标 参考微信小程序ios/android模式, XX小程序框架支持ios/android模式, 进而通过原生去支撑这些基础API. 思路 逆向微信小程序 ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置 IDA/hopper查看微信小程序ios端实现伪代码 XX小程序框架 参考微信小程序实现ios/android模式 研究微信小程序ios/android模式实现步骤 ios/andriod 原生模块支撑 通过tweak hook JSCo
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1399
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
微信小程序逆向过程
qq_38217747的博客
06-15 951
文件地址:D:\soft\WeChat\WeChat Files\Documents\WeChat Files\Applet\wxea66c202aa4af979\44。安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D。nodejs环境—>https://nodejs.org/zh-cn/download/微信PC版本—>https://pc.weixin.qq.com/将文件 放入 \wxappUnpacker\apkg文件夹下。
小程序逆向工程:这个开源的小程序逆向工具真不错,2023年亲测成功
江咏之
03-23 4423
安全部门的大哥又双叒叕报了一个小程序的高危漏洞,他使用逆向工程破解了加密信心,用抓包修改了请求参数。又是头疼的一天…想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。这里用到了2个工具《解密》与《逆向》(非原创,均来自网上的大佬)。特别适合新手,而且都是免费的!都是免费的!都是免费的!第一次操作可能会慢一些,熟练了之后,3秒抓取一个小程序源码!
实用的微信小程序逆向教程!
热门推荐
风洞网
10-17 1万+
洞悉安全,风洞网,认准官方网站! 简单复现一下小程序逆向过程。 准备工具 一、pc端复现 微信PC版本—>https://pc.weixin.qq.com/ 小程序解密工具—>https://share.weiyun.com/uMqNGOXv nodejs环境—>https://nodejs.org/zh-cn/download/ 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker 二、移动端复现 安卓环境(安
逆向一个非常有意思的小程序”的非汇编解读
caterpillarous的博客
11-21 1403
基于C++机制对一段小程序的解读
微信小程序逆向
qq_59848320的博客
01-20 5627
前言:在学校的时候,每次都要在晚上查寝的时候都要签到。而且是在一个特定的时间点。晚上10点开始。到11点半。其实也没啥。但是我这记性呀。就经常忘记就这样,我就在不知不觉中少签七八次。 我人傻了(派大星表情包)_大星_我人表情 就这样,我就想能不能写个程序自动签到。就不会忘签了。嘻嘻 人类正出于懒惰而掌握各种的技术 ————佚名 开始解密 1.寻找小程序 因为我们签到是用手机app来进行签到的,但是手机app抓包和反编译比较麻烦。那我们能不能...
微信小程序逆向
Codeooo 博客
09-10 1万+
微信小程序逆向 大致思路:抓包分析–>加密参数查找–>小程序源码获取–>分析加密逻辑 1.抓包分析: 返回结果json中,data都是加密数据,初看一看为base64。 2.小程序源码都是微信放在本地的数据,故而在data/data/目录下。 微信包名:com.tencent.mm 小程序源码:/data/data/com.tencent.mm/MicroMsg/项目/appbrand/pkg 3.adb查看下文件: 我用的夜神模拟器(nox_adb): nox_adb shell
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值