支付宝小程序反编译

于 2024-08-30 11:31:05 发布
阅读量221 收藏 5
点赞数 1
文章标签: 小程序 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52381874/article/details/141713311
版权

  前两天做支付宝小程序的渗透测试,做js逆向找解密密钥的时候去找支付宝小程序源码,在网上搜索发现大部分都是在/data/data/com.eg.android.AlipayGphone/files/nebulaInstallApps/ 目录下进行搜索,但其实现在的支付宝早就已经改版,小程序源码换了存储位置,下面说下目前可以找到源码的方法

  首先找到小程序专属的appid,这个id以前可以从/data/data/com.eg.android.AlipayGphone/databases/nebulax_app.db db文件中查找

但是目前db文件修改过了,不会存储小程序名称这一列

 

所以appid只能在小程序的抓包过程中找到,一般小程序打开的时候都有数据包传输appid字段,然后拿到appid后在/data/data/com.eg.android.AlipayGphone/files 目录下进行全局搜索
 

grep -rl "appid" ./
 

搜索结果最后是0.data文件的就是源码tar包的压缩包,这里多个0.data文件,只能一个一个找
 

 

最好进入0.data文件目录中将文件复制到/sdcard/文件夹内,然后用adb pull
 

cp 0.data /sdcard/
adb pull /sdcard/0.data
 

最后找到源码
 

 

 

其中难的点应该就是找appid了,如果实在找不到appid,可以将支付宝回退版本,退到之前的版本,然后按以前的办法在/data/data/com.eg.android.AlipayGphone/files/nebulaInstallApps/ 目录下进行搜索
 

 

 

参考文章:
 

https://juejin.cn/post/7405836855725801506#heading-2

                

        

        

    




    

      

        

            

              
                
                  anthony77777
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
uni-app开发微信小程序支付宝小程序、百度小程序代码混淆加固反编译

				
			

			

				

					Li_Ning21的博客
				

				

					04-28
					
					875
					
				

			

		

		

			
				
整体来说混淆过后,对小程序反编译和代码混淆都是有帮助的,防止被别人轻易破解后二次开发,或者造成损失。对于支付宝小程序和百度小程序,目前只有1 2 方案可用。

			
		

	



                

              
                



	

		

			

				
					
APK逆向实战--内购

				
			

			

				

					提桶跑路20年的博客
				

				

					01-29
					
					1883
					
				

			

		

		

			
				
**
街机捕鱼达人v1.4.4.1金币破解
**
一.打开应用试试水
打开游戏–金币商城–购买325000

点击支付宝

退出支付宝

显示购买未成功

二.逆向破解流程
1.打开AndroidKiller 全局搜成功(记得要转UNICODE)

2.找到关键Smali(提示支付未成功的)

3.因为有混淆,用JADX搜索“成功”找到该smali

4.分析该smali得到下面有支付成功的
思路:修改传入参数i2=3010,接着在一开始判断时跳转到成功位置

5.返回AndroidKiller,找到sma

			
		

	



                


  
              

                


	

		

			

				
					
小程序反编译的几点心得

				
			

			

				

					qq_41297837的博客
				

				

					01-13
					
					1万+
					
				

			

		

		

			
				
我是从电脑端微信客户端获取的wxapkg文件

用网上的所有脚本都报magic number is not correct

最后试了试原始的方法 用模拟器去获取wxapkg,就成了

大型项目遇到分包问题

用下面这个大神的脚本就成了,致敬

https://blog.csdn.net/qq_42521446/article/details/94173203

脚本地址

https://git...

			
		

	





	

		

			

				
					
反编译获取任何微信小程序源码——看这篇就够了(最新)

					
热门推荐

				
			

			

				

					源码好优多
				

				

					12-10
					
					2万+
					
				

			

		

		

			
				
一 准备工具
1 node.js  运行环境
下载地址:https://nodejs.org/en/
2 反编译的脚本
链接:https://pan.baidu.com/s/1InxRoozDDb-C-g2rKGi1Cw
提取码:i50k
3 夜神模拟器
下载地址:https://www.yeshen.com/cn/download/fullPackage
二 开始反编译
1 获取小程序pkg包:
在模拟器中登录微信,随便打开一个小程序A
打开文件管理器,找到/data/data/com.tencent.m

			
		

	



		

			
		



	

		

			

				
					
支付宝app反编译遇到的问题及心得

				
			

			

				

					u011930916的博客
				

				

					09-27
					
					1068
					
				

			

		

		

			
				
这个报错是dex2jar无法反编译支付宝的部分代码,可能是支付宝混淆时防止dex2jar反编译的。

目前只得到了部分代码:



一共5个包,另外附上部分代码



这个大概是支付用的,没有注释,看了一部分就不想看了。



之后我会在我的资源里共享反编译得到的代码,大家一起学习。

另外附上遇到的问题日志


...

			
		

	





	

		

			

				
					
小程序反编译脚本下载,从此小程序源码就是囊中取物了

				
			

			

				

					09-25
				

			

		

		

			
				
本文将详细探讨如何通过反编译工具,如"小程序反编译脚本",来获取和分析微信小程序的源码。  标题中的“小程序反编译脚本下载”指的是利用特定的工具或脚本来解析已经编译的小程序二进制文件,将其还原为源代码的...

			
		

	





	

		

			

				
					
小程序反编译-获取源码

				
			

			

				

					Moooorri的博客
				

				

					08-16
					
					1565
					
				

			

		

		

			
				
反编译-得源码

			
		

	





	

		

			

				
					
小程序反编译工具,试过能用。

				
			

			

				

					06-14
				

			

		

		

			
				
本知识点将围绕标题“小程序反编译工具,试过能用。”和描述中的内容展开,主要涉及小程序的加密机制、解密过程以及反编译工具的使用。  1. **小程序的加密机制**:  小程序的源代码在发布时会经过一系列的编译和...

			
		

	





	

		

			

				
					
大神些的反编译小程序工具源码

				
			

			

				

					10-14
				

			

		

		

			
				
本文将深入探讨"大神些的反编译小程序工具源码"这一主题,帮助你掌握反编译小程序的相关知识。  首先,我们需要了解什么是小程序小程序是微信、支付宝等平台推出的一种无需下载安装即可使用的应用形式,它实现了...

			
		

	





	

		

			

				
					
小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

				
			

			

				

					siu~
				

				

					08-30
					
					2409
					
				

			

		

		

			
				
小程序应用&解包反编译&抓包&源码架构&微信开发者工具

			
		

	





	

		

			

				
					
支付宝小程序demo

				
			

			

				

					08-14
				

			

		

		

			
				
主要涉及地图扫码功能,个人资料的获取,组件的调用。

			
		

	





	

		

			

				
					
一键实现微信小程序项目到支付宝小程序的迁徙

				
			

			

				

					08-10
				

			

		

		

			
				
一键实现微信小程序项目到支付宝小程序的迁徙,不再为重复开发而烦恼。

			
		

	





	

		

			

				
					
一键反编译微信小程序获取源码,并转换为uniapp或taro跨端项目

				
			

			

				

					01-06
				

			

		

		

			
				
一键反编译微信小程序获取源码,并转换为uniapp或taro跨端项目

			
		

	





	

		

			

				
					
抓取微信小程序源码并反编译

				
			

			

				

					07-21
				

			

		

		

			
				
在网上找如何抓取小程序反编译后自己找的软件和总结的文档,有需求的小伙伴可以参考下,参考的文档和脚本的地址都在文本,大家可以参考下我的总结,然后再去看看大佬的文章
node太大没法上传 自行百度官网下载左边那个稳定版就行了

			
		

	





	

		

			

				
					
alipay:Alipay sdk 反编译解析

				
			

			

				

					06-25
				

			

		

		

			
				
支付宝无线SDK反编译代码解析
[郑重声明]此项目仅用于技术研究,无任何商业用途或非法目的
通过反编译alipaysdk.jar,得到混淆过的代码
分析混淆代码,还原原有的实现方式与处理机制
梳理sdk的网络请求消息结构
使用动态语言重写sdk,实现可动态化地使用支付sdk

			
		

	





	

		

			

				
					
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag

					
最新发布

				
			

			

				

					2401_84252281的博客
				

				

					04-26
					
					925
					
				

			

		

		

			
				
任务环境说明:服务器场景:Server1。

			
		

	





	

		

			

				
					
微信小程序反编译”实战(一):解包

				
			

			

				

					weixin_33816821的博客
				

				

					05-08
					
					1483
					
				

			

		

		

			
				

本实践教程将一步步告诉你如何“反编译”获得其它小程序的源代码,包括“解包”和“源码还原”两篇,主要参考了看雪论坛、V2EX、GitHub 等网站上的帖子、教程、工具,在此不胜感激,参考链接详见文章底部,以及加上了我自己的一些理解和总结。


知识小集是一个团队公众号,每周都会有原创文章分享,我们的文章都会在公众号首发。欢迎关注查看更多内容。


我们知道,在微信开发者工具中开发完小程序后,我们点...

			
		

	





	

		

			

				
					
小程序逆向工程:这个开源的小程序逆向工具真不错,2023年亲测成功

				
			

			

				

					江咏之
				

				

					03-23
					
					4361
					
				

			

		

		

			
				
安全部门的大哥又双叒叕报了一个小程序的高危漏洞,他使用逆向工程破解了加密信心,用抓包修改了请求参数。又是头疼的一天…想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。这里用到了2个工具《解密》与《逆向》(非原创,均来自网上的大佬)。特别适合新手,而且都是免费的!都是免费的!都是免费的!第一次操作可能会慢一些,熟练了之后,3秒抓取一个小程序源码!

			
		

	





	

		

			

				
					
小程序逆向和抓包技巧浅析

				
			

			

				

					哆啦安全
				

				

					09-14
					
					926
					
				

			

		

		

			
				
1.抓取移动端项目的前端页面和后台的交互数据,对请求信息和响应内容进行分析

(1).普通手机APP的前端页面和后台一般是通过http请求进行交互

(2).微信小程序的前端页面和后台一般是通过https请求进行交互



以前微信是可以直接信任用户证书,从某个版本以后,这个特性被限制了



Android系统

(1).Android7.0及以下(不影响)



(2).Android7.0以上

微信7.0以下版本(不影响)

微信7.0及以上版本(无法抓包)



iOS系统(不影响)



And

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值