微信小程序反编译+渗透笔记

最新推荐文章于 2024-06-28 17:35:44 发布
最新推荐文章于 2024-06-28 17:35:44 发布
阅读量2.4k 收藏 21
点赞数 3
分类专栏: 微信小程序 文章标签: 反编译 小程序 node.js android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47168538/article/details/107843795
版权

一、反编译:

1.wxapkg

首先需要将wxapkg包拷到本地,步骤:
第一种方法:
首先安装夜神模拟器
https://www.yeshen.com/

使用模拟器自带的应用商店进行微信下载,官网下载的存在兼容问题导致无法安装或者打开
安装微信后,登录开启一个小程序

在这里插入图片描述

然后使用Amaze找到对应的编译包
在这里插入图片描述
安卓位置:/data/data/com.tencent.mm/MicroMsg/(微信号(user哈希值32位))/appbrand/pkg
在这里插入图片描述
可以根据时间来判断是否为对应的小程序,然后将它拷到文件助手的位置

在这里插入图片描述
然后拷到在电脑共享路径中拷到本地

第二种方法(微信版本高的反编译会失败):
再windows打开微信,然后再左侧点击小程序面板

在这里插入图片描述
选择打开一个小程序

在这里插入图片描述
然后在微信左侧更多里面的设置中根据你的微信文件管理位置打开对应文件夹

在这里插入图片描述
小程序的编译包在:(微信文件管理的路径)\Documents\WeChat Files\Applet

2.nodejs

安装nodejs
https://nodejs.org/en/
下载完一直下一步就OK

在这里插入图片描述

3.wxappUnpacker

使用大神的微信小程序反编译工具
下载:https://github.com/xuedingmiaojun/wxappUnpacker

解压,然后在当前解压目录使用以下命令安装依赖包,提示什么就装什么

若设置为全局需要后面加-g

npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify
npm install cheerio

在这里插入图片描述
在这里插入图片描述
使用命令进行反编译:
Node wuWxapkg.js 编译包名称.wxapkg

在这里插入图片描述

编译后文件

在这里插入图片描述

二、渗透:

主要是解决抓包问题,由于CA证书问题导致无法抓包,可以通过安装xposed+justtrustme
Xposed:
下载:https://forum.xda-developers.com/showthread.php?t=3034811
Justtrustme:
下载:https://github.com/Fuzion24/JustTrustMe/releases
安卓使用5.0就可以(安装过程发现使用官方下载的微信没法安装,推荐使用应用商店下载微信,而且安卓版本过高会导致开启xposed的justtrustme会没有网络,建议使用默认的android5.0)

1.Xposed

下载下来之后先安装Xposed,直接拖进模拟器就行,打开后点击安装/更新,再点击Install

在这里插入图片描述
这个安装需要多次请求超级用户访问权限,允许使用就可以了

2.Justtrustme

然后安装Justtrustme,直接拖进模拟器就行,再打开Xposed的模块功能,勾选Justtrustme

在这里插入图片描述
在这里插入图片描述

重启手机,这时候再电脑上开启burpsuite等抓包工具,设置好抓包工具的代理和模拟器的代理便可以打开微信小程序进行抓包了

三、结束语

谢谢一些大佬的建议、研究和耐心。

sli_ant
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序渗透测试技巧
07-19 1万+
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。1、小程序解包(反编译)(1)安装手机模拟器,比...
反编译微信小程序
白糕茶的博客
11-12 842
最近准备仿“今日某条”的微信小程序,为了弄到代码可以说是费了不少心思,终于在github上找到大神写的反编译代码,亲测可用。 微信小程序代码是放在腾讯的服务器上的,但是在用户点击运行某个小程序的时候,会将代码下载到手机上,当然这里的代码是被编译压缩过的,所以需要用到大神的代码,此外还需要android模拟器(手机也行,但是需要root,只要你舍得。。还要安装nodejs环境) 一 、安装MuMu模...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 641
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
可用的微信小程序抓包方式(Charles + bp)
最新发布
小司机的奥拓
06-28 3006
接到对公司小程序进行渗透的任务,尝试了网上几种对小程序抓包的方式(Burp+Proxifier、Burp+安卓模拟器等)都无法完成抓包,可能已经失效,结合不同的文章尝试了bp+Charles,成功抓包。
网络安全----小程序渗透测试反编译审计漏洞
ytdd66的博客
05-06 2021
微信小程序反编译渗透测试是一种针对微信小程序安全测试方法,是在通过对小程序源代码的反编译和分析,发现潜在的安全漏洞,并对其进行渗透测试以验证其安全性的一种方法。
基于微信小程序渗透-反编译小程序
做自己喜欢的事,并将其发挥到极致!
05-25 1536
微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,那么一般就是用电脑上的安卓模拟器登录微信利用burp抓包、要么就是用burp抓手机的包、要么就是从手机上直接抓包。方式方法有很多种,个人一般用来抓包的工具也就是IOS上用Stream软件,或者是Postman等工具很容易就抓包了。接下来主要介绍的时微信小程序反编译,因为反编译出来可以看到小程序的前端源码,可以渗透出更多的东西。
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 5712
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
微信小程序反编译
GOOD_Like的博客
03-05 3239
微信小程序反编译 最近微信小程序开始学习微信小程序对于小程序的运行模式有些兴趣,便上网查询了它的编译形式,发现是可以被反编译出来的,于是便开始了尝试之旅。 准备工具 1、node和npm 2、夜神模拟器(需要下载微信、qq、RE文件管理器)、 3、反编译脚本,https://github.com/qwerty472123/wxappUnpacker 获取小程序的源码包 首先现在夜神模拟器上登录微...
微信小程序反编译+渗透笔记_makenicesyntaxerror(2),程序员35岁真的是分水岭吗
2401_83945851的博客
04-20 719
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。安卓使用5.0就可以(安装过程发现使用官方下载的微信没法安装,推荐使用应用商店下载微信,而且安卓版本过高会导致开启xposed的justtrustme会没有网络,建议使用默认的android5.0)
实战 微信小程序渗透测试,太牛了
2301_76225520的博客
04-20 895
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。6、获取源码后,使用wxappUnpacker进行反编译,分包需要使用-s参数。
kaliWEB渗透笔记
fhl5203的博客
11-01 5163
抓包协议分析 一般每300M分成一个包,这样抓包分析工具打开速度不会太慢。 首先剔除对分析没有用处的协议,剔除IP地址是224以上的组播地址。 WEB攻击面 Network、OS、WEB Server、App server、Web Application、Database、Browser 重要的header • Set-Cookie:服务器发给客户端的SessionlD (被窃取的风险) • Co...
android反编译工具!开发者必备的顶级Android开发工具,大厂直通车!
Sunbuyi的博客
02-27 712
前言 2020年是转折的一年,上半年疫情原因,很多学android开发的小伙伴失业了,虽找到了一份工作,但高不成低不就,下半年金九银十有想法更换一份工作,很多需要大厂面试经验和大厂面试真题的小伙伴,想提前准备刷下题。接下来分享一份我的字节跳动、阿里巴巴、百度、小米等大厂面试经验和总结。(文末附真题解析大全) 阿里(被拒) 字节跳动(offer) 小米(offer) 手百 (offer) 面对现有的如此多跨平台方案,为何当下最火的跨平台技术是Flutter,有哪些优势呢? RN、Weex均使用JavaS.
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5448
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
微信小程序渗透测试技巧-小程序解包-反编译
leenhem的博客
07-20 1785
微信小程序渗透测试技巧-小程序解包-反编译简述安装手机模拟器,比如说夜神、MuMu下载和安装两个应用,微信和RE文件管理器获取root权限打开微信,搜索相对应的小程序,然后再打开RE文件管理器,定位到目录下载微信小程序反编译脚本,解包 简述 随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。 安装手机模拟器,比如说夜神、MuMu 下载和安装两个应用,微信和RE文件管理器 获取root权限 打开微信,搜索相
微信小程序渗透学习
weixin_45794666的博客
02-22 1228
微信小程序 小程序测试流程 分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。 搜索目标小程序 目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。 小程序主体信息确认 查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息 小程序包获取 PC端 首先在微信中搜索到小程序,并打开简单浏览 然后在自己
实战|微信小程序渗透测试
fly_enum的博客
07-05 2869
4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
反编译微信小程序无需root或模拟器
代码果的博客
12-25 1690
一 准备工具 1 node.js 运行环境 下载地址:https://nodejs.org/en/ 2 反编译的脚本 https://github.com/xuedingmiaojun/wxappUnpacker 3 小程序包解密工具 https://download.csdn.net/download/m0_46243789/13777343 二 开始反编译 1 获取小程序pkg包: 登录电脑端微信,访问你想解包的小程序小程序包会在:我的文档\WeChat Files\Applet下生
安卓渗透测试--反编译
qq_36583958的博客
11-25 1935
akptool、dex2jar、luyten
app&小程序渗透
qq_45758325的博客
07-19 890
drozer是一款针对android安全测试框架,最主要的功能是测试安卓四大组件Content Provider、Activity、Service、Broadcast Receiver。
微信小程序+java+mysql_微信小程序后台Springboot+Mysql
05-25
微信小程序可以使用小程序开发框架进行开发,而后台可以选择使用Springboot框架+Mysql数据库进行开发。 具体步骤如下: 1. 创建小程序开发项目,包括前端页面和相关的业务逻辑处理。 2. 在后台使用Springboot框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值