APP渗透—微信小程序、解包反编译、数据抓包

这篇具有很好参考价值的文章主要介绍了APP渗透—微信小程序、解包反编译、数据抓包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1. 前言

  在之前的第一篇文章中简单的描述了一下微信小程序抓包的过程,但是不是很详细,所以这里单独写一篇关于微信小程序抓包、解包、反编译的一篇文章。

  这里对小程序进行抓包、反编译等操作,都是为了进行信息收集,主要就是提取资产进行渗透测试。

2. 小程序抓包

  不管是在真机还是模拟器中在安卓系统上抓包,可能会存在以下问题:

  • 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书
  • 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书
  • 安卓系统 7.0 以上版本,微信 7.0 以上版本,微信只信任它自己配置的证书列表

  相应的解决办法就是如下:

  • 将证书安装到系统证书中(需要 root)
  • 苹果手机(苹果手机不受此影响)
  • 采用安卓系统低于 7.0 的模拟器

2.1. 安卓系统5.0版本测试

  这里我使用夜神安卓系统5.0版本进行测试。

2.1.1. 添加模拟器

  这里只需要在模拟器助手中点击添加模拟器,选择安卓5即可。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.2. 安装证书

  这里使用Burp来进行抓包,至于Fiddler在之前已经提过了,这里就不再提了。

2.1.2.1. 确保在同一局域网

  关于如何确保在同一局域网这方面我就不再赘述了,之前的文章中也是多次提到,这里我们直接设置burp工具。

2.1.2.2. 设置burp工具

  首先打开burp,添加一个监听端口,这里的监听IP要与你主机的IP是一致的才可以。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.2.3. 设置模拟器代理

  这里进入WIFI``长按WIFI``设置代理,这里的IP地址也同样是主机的IP地址端口需要和burp工具上的端口对应,详细的教程可以看之前的文章,之前的文章中有非常详细的介绍。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.2.4. 下载证书

  这里就需要安装burp证书了,访问IP:端口,即可下载证书。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.2.5. 修改证书

  证书下载完之后,需要将下载的证书 cacert.der 修改为cacert.cer,否则无法安装证书,下载后打开模拟器共享,就能够看到这个证书了,这里将cacert.der 修改为cacert.cer即可。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.2.6. 安装证书

  这里需要提前找到证书存放的位置,可以去按照共享中找一找。

APP渗透—微信小程序、解包反编译、数据抓包

  打开设置安全从SD卡安装cacert.cer设置一个密码为证书命名确定证书就安装了,这里我没截到图,我用之前的图片代替一下。

APP渗透—微信小程序、解包反编译、数据抓包

2.1.3. 抓包测试

  在我们把证书按照完成后,就可以进行抓包测试了,这里可以看到已经抓到包了。

APP渗透—微信小程序、解包反编译、数据抓包

2.2. 电脑版微信抓包

  在电脑版中进行小程序抓包,其实也是可以的。

2.2.1. 下载证书

  这里使用Fiddler来抓电脑版微信小程序的包,由于我看了一下使用burp老是会跳,并不会停留,虽然也能够抓取到,但是一瞬间就消失了,所以还是使用Fiddler来抓取。

  这里选择第二个就会在桌面上生成一个证书。

APP渗透—微信小程序、解包反编译、数据抓包

2.2.2. 安装证书

  这里需要将Fiddler的证书安装到浏览器中,注意这里安装证书一定要在控制面板中打开internet选择进行安装证书,同时在安装的时候一定要选择受信任的根证书颁发机构,这样安装的证书才有效果。

APP渗透—微信小程序、解包反编译、数据抓包

2.3. 尝试抓包

  这里其它的设置,看了那么多篇APP渗透测试,想必一些常见的设置都会了,这里我就不在赘述了,直接开始尝试抓包。

2.3.1. 微信设置代理

  这里需要在微信的登陆页面设置代理,IP地址就是你主机的IP地址,端口与Fiddler中设置的是一样的即可,这里点击确定后会自动显示是否能够连接成功,一般都会显示连接成功的,如果显示连接不成功请提前将Fiddler打开。

APP渗透—微信小程序、解包反编译、数据抓包

2.3.2. 登陆微信

  这里就只需要登陆微信,在登陆过程中其实就能够看到有很多的数据包了。

APP渗透—微信小程序、解包反编译、数据抓包

2.3.3. 抓取小程序

  这里就可以抓取小程序了,不过最好可以将之前的数据包删除,这里可以看到我打开了逆水寒手游,获取到https的信息,那么这样就是获取成功了。

APP渗透—微信小程序、解包反编译、数据抓包

2.3.4. 注意事项

  在一些情况下,你会发现之前还是能够获取好好的,突然无法获取了,这个由于你使用电脑版微信在登陆一下小程序后。

  这时候就需要将C:\Users\Administrator\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime这个目录下的所有文件夹都清空,这个文件夹主要就是加载小程序的。

  这里是我提前删除了。

APP渗透—微信小程序、解包反编译、数据抓包

3. 小程序分包反编译

  关于小程序的分包反编译,目前没有特别好的免费工具来进行,好的工具都需要充值vip。

3.1. 小程序缓存目录

  找到微信小程序的缓存目录,当然里面会存在很多的文件夹,可以都删除,然后打开一个小程序加载。

APP渗透—微信小程序、解包反编译、数据抓包

3.2. 尝试加载小程序

  这里我们只点击一个小程序加载,太多的话容易搞混,在wx开头的文件夹下面会有一个后缀为wxapkg文件,这个文件就是小程序编译后的文件。

APP渗透—微信小程序、解包反编译、数据抓包

3.3. 尝试反编译小程序

  这里我们就尝试手动反编译吧,不过会存在问题哦,不一定是百分比能够成功的,毕竟像之前说的好工具是要钱的,尝试找破解版的,但是没用。

3.3.1. 安装nodejs

  这里我不知道我是什么时候安装的,可能安装的工具多了就曾经在某一刻是安装过的,这里我就不再安装了,给个连接自行安装吧。

  nodejs

  安装后打开cmd输入node -v看到显示版本就证明安装成功了。

APP渗透—微信小程序、解包反编译、数据抓包

3.3.2. 解密小程序

  这里我们将加密的小程序添加进去,然后在wxpack文件夹中找到刚刚解密的文件夹即可。

  解密小程序提取码:tncx

APP渗透—微信小程序、解包反编译、数据抓包

3.3.3. 反编译脚本

  打开反编译脚本,将刚刚解密后的文件放入该目录下。

  反编译脚本提取码:031b

APP渗透—微信小程序、解包反编译、数据抓包

3.3.3.1. 安装依赖

  这里就需要先在反编译脚本目录下安装依赖,这里挺麻烦的,但是没办法呀,穷买不起会员,无法一键反编译。

npm install esprima
npm install css-tree
npm install js-beautify
npm install uglify-es
npm install vm2
npm install cssbeautify

APP渗透—微信小程序、解包反编译、数据抓包

3.3.3.2. 执行反编译

  如果上面一切顺利的话就可以执行反编译了。

node wuWxapkg.js wx6642bb131bfd374b.wxapkg

APP渗透—微信小程序、解包反编译、数据抓包

3.3.4. 查看反编译后文件

  这里我们就可以在当前目录下查看对应的反编译文件夹了,看到后就可以使用微信开发者工具打开了。

  微信开发者工具

APP渗透—微信小程序、解包反编译、数据抓包

3.3.5. 查看工程

  到这里就可以将文件加入微信开发者工具的工程中了,不过这里需要申请一个测试账号,非常简单,无需什么麻烦的操作。

APP渗透—微信小程序、解包反编译、数据抓包文章来源地址https://www.toymoban.com/news/detail-491644.html

到了这里,关于APP渗透—微信小程序、解包反编译、数据抓包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 微信小程序(.wxapkg)源码包解包的方法

    首先下载微信小程序的解包工具:微信小程序(.wxapkg)文件解包工具 下载地址: 工具下载 cmd切换到源码的存放目录,直接将工具和源码放一个文件夹吧,执行: 执行后即可看到解压后的文件夹,进去就可以看源码了。

    2024年02月14日
    浏览(36)
  • 导入微信小程序出现的错误: app.json app.json 未找到,未找到入口 app.json 文件,或者文件读取失败,请检查后重新编译。小程序app.json报错

    相信很多新手小宝贝在导入别人的微信小程序文件时肯定遇到过这个问题,然后去网上查了很久,却还是解决不了这个问题。接下来,我来告诉大家怎么一招解决这个问题: 类似下面这些文件,不要直接选择这些它,不然会直接报错 一定要双击点进去,到下一层再选择文件

    2024年02月11日
    浏览(52)
  • 解决微信小程序报[ app.json 文件内容错误] app.json: app.json 未找到,未找到入口 app.json 文件,或者文件读取失败,请检查后重新编译

    问题原因: 导入微信开发者工具后project.config.json文件被微信开发者工具修改,缺少代码:“miniprogramRoot”: “./dist”从而导致微信开发者工具无法找到app.json文件进而报错:app.json: app.json 未找到,所以需要找到app.json 文件所在的文件夹,然后在project.config.json文件里写上aap.

    2024年02月12日
    浏览(44)
  • uni-app开发使用uni-ui组件uni-data-checkbox编译微信小程序报错

    uniapp开发使用uni-ui控件uni-data-checkbox,编译成微信小程序报错VM50 WAService.js:1 TypeError: Cannot read property \\\'length\\\' of undefined,并且页面无法显示。  解决方法: 1、 HBuilder X 编译器下载 sass 或更新 HBuilder X 版本 2、更新uni-ui组件库 3、如果不使用uniCloud就注释uni-data-checkbox.vue文件中的

    2024年02月06日
    浏览(75)
  • 如何快速搭建springboot+前后端分离(vue),多商户客户端实现微信小程序+ios+app使用uniapp(一处编写,处处编译)

    kxmalls外卖生鲜多商户,针对中小商户、企业和个人学习者开发。使用Java编码,采用SpringBoot、Mybatis-Plus等易用框架,适合个人学习研究。同时支持单机部署、集群部署,用户与店铺范围动态定位,中小商户企业可根据业务动态扩容。kxmalls使用uniapp前端框架,可同时编译到 微

    2024年01月25日
    浏览(74)
  • 实战|微信小程序渗透测试

    一、工具准备 burpsuite、夜神模拟器(把微信装好)、node.js、wxappUnpacker 二、获取源码 1、配置Burp和模拟器(模拟器需导入ca证书),打开模拟器的WLAN–高级设置–输入物理机的ip以及一个没被占用的端口,Burp用于代理该端口,我使用的模拟器安卓版本为5.0。 (长按wifi为高级设

    2024年02月17日
    浏览(35)
  • 浅谈微信小程序渗透

    最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使用的是 6.6.1.1 的版本,算是很老的版本了,内设系统为 Android5.0 。新的版本中安卓似乎都是7.0以上了,抓取 HTTPS 包会比较麻烦,所以我就

    2024年02月09日
    浏览(31)
  • 【Uni-App】微信小程序编译每次都出现[ project.config.json 文件内容错误] project.config.json: libVersion 字段需为 string

    当前用的开发工具版本不是 稳定版 根据微信小程序文档内容进行配置。 值 说明 latest 最新的非灰度中的基础库 trial 最新的基础库 widelyUsed 使用比例最高的基础库 在 manifest.json中加入 重启项目即可 根据自己需要,关闭 微信开发者工具 的 自动更新最新版本 功能 通过点击菜

    2024年02月21日
    浏览(48)
  • uni app 微信小程序 一次性加载几千条数据优化处理

    公司销售订单详情里 机器明细数据超过4、5000台的时候整个页面出现空白,当然也别问我为什么要一次性加载这么多条数据,问就是需求设计如此。 因为需要显示每个类别需要统计总数量、总金额,所以后台返回的数据格式是包裹两层list,前端需要遍历两次。setData一次性能

    2024年02月14日
    浏览(43)
  • 微信小程序渗透测试指北(附案例)

    ❝ 本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。 (本文首发博客:https://sanshiok.com/archive/14.html) ❞ 为什么要使用小程序? 小程序相较于APP来说: 对用户

    2024年04月11日
    浏览(31)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包