微信小程序渗透学习

最新推荐文章于 2024-05-27 13:58:51 发布
最新推荐文章于 2024-05-27 13:58:51 发布
阅读量1.2k 收藏 11
点赞数 2
分类专栏: 安全 文章标签: 微信小程序 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/123075597
版权

微信小程序

小程序测试流程

分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。

搜索目标小程序

目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。

小程序主体信息确认

查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息

image-20220221184434374小程序包获取

PC端

首先在微信中搜索到小程序,并打开简单浏览

然后在自己微信文件保存路径下找到applet下找到该小程序包,可以通过时间或者小程序的appid快速定位到目标包

微信电脑端小程序包存在加密,需要使用工具进行解密下载地址

https://share.weiyun.com/uMqNGOXv

image-20220221185311116

至于位置在微信文件夹Applet下

image-20220221185339833

移动端

找到对应目录,把包拉出来即可

安卓保存路径:/data/data/com.tencent.mm/MicroMsg/{⽤户ID}/appbrand/pkg/

iOS保存路径:/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{⽤户ID}/WeApp/LocalCache/release/{⼩程序ID}/ )

由于安卓data目录需要root权限访问,所以需要手机或模拟器root

android模拟器获取小程序包流程

这里我用到的是夜神模拟器,登录微信,找到小程序

方法是将复制的内容放到mnt->shared->orther下,就会自动同步到PC端,这是模拟器的共享目录

image-20220221190016998

解包

工具地址

https://github.com/xuedingmiaojun/wxappUnpacker

kali安装npm

apt-get update
apt install npm

环境安装

npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save

执行node wuWxapkg.js xxxxxx.wxapkg

node wuWxapkg.js wx6693076a088ea68e.wxapkg

image-20220221190506201

调试

打开微信开发者工具,选择导入项目,即可调试

后记

因为解包获取到的都是静态资源,所以小程序更多的是进行敏感信息的测试(例如对js文件中的接口进行渗透测试)

6ri9ht
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对某小程序的一次渗透记录
布啦啦
03-25 562
最近报了一个驾校,然后在报名回家以后,就开始疯狂的挂科目一的时长,突然想到这个小程序会不会存在漏洞呢,如果发现了,还可以去CNVD(https://www.cnvd.org.cn/)报一下,一是拿个积分,二是间接修复一下漏洞,毕竟自己的所有信息都在这个小程序里,不想自己有一天因为它存在什么漏洞,导致自己的信息被人偷走,所以本着保护自己的原则,我开始了一次【试探】。具体是哪个小程序,这里我就不说啦,漏洞已经报到CNVD了,写本文只是做一个分享。
微信小程序学习
Wby_Nju的博客
07-01 177
微信小程序客户端渗透测试
03-14
小程序2017年面世以来,微信小程序以其相较于APP的进入门槛更低,开发周期更短,费用更低的优势,已经构造了新的微信小程序开发环境和开发者生态。 当前,微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。 但随着小程序生态的建立,其特有的安全风险也逐步显示出来:因为小程序本质也是网页交互,其通讯更容易被破解。 我们将从客户端和服务器两个层面学习微信小程序渗透测试。 客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。 在服务端层面,主要是依据微信小程序的特性,模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试,这个其实与常规的web安全测试类似。 本此主要是对客户端测试的总结,包括操作流程,所需解密工具和反编译工具
微信小程序测试工具
11-12
这个微信小程序测试工具,包含微信支付测试,token验证等,非常好用
小程序渗透测试系列 | 解密与解包及抓包环境搭建
最新发布
2401_84466223的博客
05-27 1222
小程序的抓包环境也有非常多的搭建方式,同样可以采用模拟器或者移动端,可以参考APP抓包的方式,这里同样是以PC端为例,搭建一个 Wechat -> Proxifier -> Burp 的抓包环境。双击打开解密工具,选择对应小程序包的位置,需要注意的是,不能将包拷贝到其他目录,否则会无法获取到小程序的ID,导致解密失败;本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由。因篇幅有限,仅展示部分资料,朋友们如果有需要。
针对微信小程序渗透测试实战
Python_0011的博客
03-23 1785
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
微信小程序渗透测试
weixin_41308444的博客
10-14 3262
微信小程序渗透测试
实战|微信小程序渗透测试
fly_enum的博客
07-05 2812
4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 6634
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 3678
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
针对微信小程序渗透测试
热门推荐
None安全团队
10-18 3万+
2020.9.19凌晨3点23 深夜难眠,回想起今天waf上一大堆误报和寥寥无几的告警,甲方爸爸提供的两荤一素已经换成了白粥榨菜,农夫已经换成了怡宝,猪肉换成了榨菜,或许我们是时长一个月实习生的身份,已经彻底暴露了,明天不知道是不是只能吃开水泡面了。唉,明天又要穿上白衬衫,继续假装自己是5年工作经验的安全专家,今晚终于认清现实,活捉红队0day依然是我们遥不可及的梦。 生而为人,我很抱歉。材料准备: burp suite、模拟器(把微信装好)、node.js、wxappUnpacker、ro...
微信小程序-微信小程序-仿豆瓣电影-demo小程序项目源码-原生开发框架-含效果截图示例.zip
05-22
微信小程序,作为腾讯旗下的轻量级应用平台,凭借其独特的优势和特点,已经深入渗透到人们的生活中。以下是微信小程序的一些关键优势和特点,以及我们为您准备的资源介绍: 优势与特点: 即用即走,无需安装:用户...
基于物联网的智慧农业监测系统微信小程序端代码
06-07
综上所述,这个基于物联网的智慧农业监测系统微信小程序端代码涉及了物联网数据采集与传输、微信小程序开发技术、前端数据可视化、以及项目配置管理等多个方面。开发者需要具备物联网硬件通信、Web开发和小程序平台...
微信小程序蓝牙.zip
01-09
总的来说,微信小程序凭借其轻便、快捷的特性,已经渗透到日常生活的各个领域。结合蓝牙技术,更是在物联网应用中展现出巨大潜力,为用户提供了无处不在的智能化体验。开发者可以利用微信小程序的开发框架和蓝牙接口...
微信小程序-汽车行业小程序项目源码-原生开发框架-含效果截图示例.zip
05-22
微信小程序,作为腾讯旗下的轻量级应用平台,凭借其独特的优势和特点,已经深入渗透到人们的生活中。以下是微信小程序的一些关键优势和特点,以及我们为您准备的资源介绍: 优势与特点: 即用即走,无需安装:用户...
APP小程序渗透方法
weixin_67488888的博客
08-27 2740
微信小程序:通过微信(扫描二维码、搜索、分享)即可获得;App:从应用商店(App Store、应用汇等)下载安装;微信小程序:无需安装,和微信共用内存使用,占用内存空间忽略不计;App:安装于手机内存,一直占用内存空间,太多的 App 可能导致内存不足;微信小程序:一次开发,多终端适配;App:需适配各种主流手机,开发成本大;微信小程序:提交到微信公众平台审核,云推送;App:向十几个应用商店提交审核,且各应用商店所需资料不一样,非常繁琐;微信小程序:限于微信平台提供的功能;
基于微信小程序渗透-反编译小程序
做自己喜欢的事,并将其发挥到极致!
05-25 1488
微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,那么一般就是用电脑上的安卓模拟器登录微信利用burp抓包、要么就是用burp抓手机的包、要么就是从手机上直接抓包。方式方法有很多种,个人一般用来抓包的工具也就是IOS上用Stream软件,或者是Postman等工具很容易就抓包了。接下来主要介绍的时微信小程序的反编译,因为反编译出来可以看到小程序的前端源码,可以渗透出更多的东西。
初探微信小程序渗透测试
chenfeng857的博客
03-18 1万+
初探微信小程序渗透测试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值