实战|微信小程序渗透测试

这篇具有很好参考价值的文章主要介绍了实战|微信小程序渗透测试。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、工具准备

burpsuite、夜神模拟器(把微信装好)、node.js、wxappUnpacker

二、获取源码

1、配置Burp和模拟器(模拟器需导入ca证书),打开模拟器的WLAN–>高级设置–>输入物理机的ip以及一个没被占用的端口,Burp用于代理该端口,我使用的模拟器安卓版本为5.0。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

(长按wifi为高级设置)

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

3、打开/data/data/com.tencent.mm/MicroMsg/目录,把该目录下所有文件删除,再打开微信,打开任意一个小程序。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

5、选中复制到与电脑的共享文件夹

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

6、获取源码后,使用wxappUnpacker进行反编译,分包需要使用-s参数。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

三、渗透

1、使用微信开发者工具打开源码。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

2、发现一个接口只需要openid即可访问,进行查看此接口功能

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

3、发现此处为用户报修,可获取大量用户openid。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

4、使用获取到的openid在另一接口处可用户获取用户详细信息。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

5、利用获取到的studentID又可对学生的水卡进行绑定,绑定后可对学生的水卡进行充值、挂失等操作。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

四、结束

到此本次渗透就基本结束,通过子域名爆破还发现了该程序的管理后台,但是莫得密码,也没发现其它漏洞,便没有继续进行了。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

————————————————

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享文章来源地址https://www.toymoban.com/news/detail-580895.html

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

小程序渗透测试,职业与发展,网络安全,计算机,微信小程序,小程序,微信

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

到了这里,关于实战|微信小程序渗透测试的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全合规-职业发展路线

    网络安全人才一将难求,缺口高达 95% 在以前,很多政企单位在进行 IT 部门及岗位划分时,只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响

    2024年02月13日
    浏览(47)
  • 2023年全国职业院校技能大赛信息安全管理与评估网络安全渗透任务书

    全国职业院校技能大赛 高等职业教育组 信息安全管理与评估 任务书 模块三 网络安全渗透、理论技能与职业素养 比赛时间及注意事项 本阶段比赛时长为180分钟,时间为 9:00-12:00。 【注意事项】 (1)通过找到正确的flag值来获取得分,flag统一格式如下所示: flag{flag值 } 这种

    2024年02月10日
    浏览(48)
  • 微信小程序自动化测试实战,支持录制回放、智能遍历

      ​为了满足小程序性能、功能等方面的测试需求,微信团队上线 小程序云测服务 ,提供丰富的自动化测试能力。其中 智能化 Monkey 服务 凭借着零代码、低成本的优势吸引不少开发者使用。 在服务使用过程中,我们发现开发者有更多的进阶需求: 先完成指定操作,例如登

    2024年02月03日
    浏览(49)
  • 微信小程序自动化测试实战教程,框架源码应有尽有

    目录 1. 微信小程序自动化测试介绍 2. 搭建微信小程序自动化测试框架 步骤1:选择测试工具 步骤2:搭建测试环境 步骤3:编写测试脚本 步骤4:执行测试 3. 实现微信小程序自动化测试的关键技术 技术1:微信小程序自动化测试工具 技术2:测试脚本的编写 技术3:测试环境的

    2024年02月14日
    浏览(50)
  • 2023年“楚怡杯“湖南省职业院校技能竞赛“网络安全”竞赛 B模块 Windows渗透与Linux提权

    服务器场景:Server2003 服务器场景操作系统:Windows7 nmap没扫出来,得多扫几次,这里使用masscan直接快速扫描端口。 发现一个232的tcp端口,看看是不是telnet 确实是。 FLAG: 232 FLAG: hydra -l teltest -P /usr/share/wordlists/dirb/small.txt telnet://172.16.102.248 -s 232 本题有两种做法: 1.通过使用ms_

    2024年02月04日
    浏览(50)
  • 基于Android职业技术课程在线培训考试系统uniapp微信小程序

    CREATE DATABASE /*!32312 IF NOT EXISTS*/ `springboote60t2` /*!40100 DEFAULT CHARACTER SET utf8mb4 */; USE `springboote60t2`; -- -- Table structure for table `config` -- DROP TABLE IF EXISTS `config`; /*!40101 SET @saved_cs_client     = @@character_set_client */; /*!40101 SET character_set_client = utf8 */; CREATE TABLE `config` (   `id` bigint(20) NOT NUL

    2024年02月11日
    浏览(53)
  • 软件测试职业发展方向规划~

    说起软件测试,很多人的印象,大概是有手就能做,「点点点」就行了。确实,大多数基础测试工程师做的都是「点点点」的工作,但是这个点呢,讲究逻辑,通过什么方式来「点点点」,能尽早暴露问题,用更少的操作覆盖更多的测试场景,从而保证产品质量,这就涉及到

    2024年02月03日
    浏览(52)
  • 浅谈微信小程序渗透

    最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使用的是 6.6.1.1 的版本,算是很老的版本了,内设系统为 Android5.0 。新的版本中安卓似乎都是7.0以上了,抓取 HTTPS 包会比较麻烦,所以我就

    2024年02月09日
    浏览(31)
  • 请教ChatGPT若干个关于测试开发职业发展的问题

    最近比较热门的ChatGDT,正好有空,问它几个比较热门的问题,看看如何答复? 未来的测试和开发将更加自动化, 自动化测试和开发的工具和技术将更加完善, 对于提升软件开发效率和质量起到了巨大的作用。 AI和机器学习也将大大提升编程效率,可以自动完成大量的繁琐的

    2024年02月08日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包