Day18:信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

这篇具有很好参考价值的文章主要介绍了Day18:信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

小程序获取-各大平台&关键字搜索

小程序体验-凡科建站&模版测试上线

小程序抓包-Proxifier&BurpSuite联动

小程序逆向-解包反编译&动态调试&架构

思维导图


章节知识点

Web:语言/CMS/中间件/数据库/系统/WAF

系统:操作系统/端口服务/网络环境/防火墙等

应用:APP对象/API接口/微信小程序/PC应用等

架构:CDN/前后端/云应用/站库分离/OSS资源等

技术:JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术:APK反编译/小程序解包反编译/动态调试APP&小程序等

技术:指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

小程序获取-各大平台&关键字搜索

-微信
-百度
-支付宝
-抖音头条

直接搜索寻找

小程序体验-凡科建站&模版测试上线

凡科快速搭建小程序

测试:https://qz.fkw.com/

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

参考:https://blog.csdn.net/qq_52445443/article/details/122351865

小程序结构
1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:
    文件                 必需               作用    
    app.js               是            小程序逻辑
    app.json             是            小程序公共配置
    app.wxss             否            小程序公共样式表


2.一个小程序页面由四个文件组成,分别是:     
    xxx.js        页面逻辑
   xxx.json      页面配置
    xxx.wxml      页面结构
    xxx.wxss      页面样式


3.项目整体目录结构
    pages                页面文件夹
    index                首页
    logs                 日志
    utils , util                 工具类(mina框架自动生成,你也可以建立一个:api)
    app.js               入口js(类似于java类中的main方法)、全局js
    app.json             全局配置文件
    app.wxss             全局样式文件
    project.config.json  跟你在详情中勾选的配置一样
    sitemap.json         用来配置小程序及其页面是否允许被微信索引
 

小程序抓包-Proxifier&BurpSuite联动

对抓到的IP或域名进行Web安全测试
对抓到的IP或域名进行API安全测试
对抓到的IP或域名进行端口服务测试

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

小程序逆向-解包反编译&动态调试&架构

对源码架构进行分析
更多的资产信息
敏感的配置信息
未授权访问测试
源码中的安全问题

相关工具:

小程序多功能组手
复杂操作:https://www.cnblogs.com/oodcloud/p/16964878.html
简单工具:http://xcx.siqingw.top/
-微信官方开发工具
https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

首先下载小程序助手和微信小程序官方开发工具

小程序动态调试,信息收集,Web安全

首先打开微信小程序包的相关目录D:\WeChat Files\Applet

微信设置→文件管理→即可找到目录

  • 将里面wx开头的微信小程序生成的缓存包全部删除(便于后期确认哪个是目标缓存包)
  • 再次打开小程序,查看目录下出现目标缓存包,点击进入直到找到APP.wxapkg以此尾缀结尾的如果出现多个,记得把app.wxapkg排序到最前即可

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

如果有多个全选打开,_APP_.wxapkg为首个

小程序动态调试,信息收集,Web安全

一般选择新版反编译,如果看着小程序比较老旧就选择旧版反编译

解包成功后再刷新

小程序动态调试,信息收集,Web安全

选中后进行反编译,文件目录下出现反编译源码,还可以再修复一下源码

打开微信官方开发工具,并拉入反编译好的源码即可

然后点击微信开发者工具,默认即可

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

  • 如果出现大面积报错无内容,点击详情→本地设置→取消勾选将JS编译为ES5即可

小程序动态调试,信息收集,Web安全

点击可视化

小程序动态调试,信息收集,Web安全

点击左上角可视化,并打开源码目录,点击list下的list.wxml发现页面跳转

点击index.wxml发现又跳转回首页页面,点击category.wxml发现页面跳转到栏目页面

小程序动态调试,信息收集,Web安全

小程序动态调试,信息收集,Web安全

打开转发工具和burp进行抓取小程序的数据包,在首页源码中进行对抓包内容检索,发现一一对应,例如:icl/2 在源码找得到

小程序动态调试,信息收集,Web安全

  • 仔细检阅源码可以发现,其中回泄露一些资源如:域名,图片等资产
  • 还可能回遇到绕过授权,直接访问到资产信息的情况
  • 还可以在源码尝试全局搜索,Accesskey,查看是否泄露oss的密钥

小程序动态调试,信息收集,Web安全

思维导图

小程序动态调试,信息收集,Web安全文章来源地址https://www.toymoban.com/news/detail-845824.html

到了这里,关于Day18:信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全学习DAY16_信息打点-CDN绕过

    超级Ping:http://www.17ce.com/ 超级Ping:https://ping.chinaz.com/ 接口查询:https://get-site-ip.com/ 接口查询:https://fofa.info/extensions/source 国外请求:https://tools.ipip.net/cdn.php 国外请求:https://boce.aliyun.com/detect/ IP社区库:https://www.cz88.net/geo-public 全网扫描:https://github.com/Tai7sy/fuckcdn 全网扫描

    2024年02月12日
    浏览(45)
  • 安全学习DAY17_信息打点-语言框架&组件识别

    cms指纹识别工具-本地工具: https://github.com/newbe3three/gotoscan 漏洞平台靶场(靶场功能好像不能用了 https://vulfocus.cn/ https://vulhub.org/ 52类110个主流Java组件和框架介绍: https://blog.csdn.net/agonie201218/article/details/125300729 Fastjson/Jackson组件的判断 https://forum.butian.net/share/1679 工具箱 ONE-

    2024年02月12日
    浏览(44)
  • 013-信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

    0、Web架构资产-平台指纹识别 1、开源-CMS指纹识别源码获取方式 2、闭源-习惯配置特性等获取方式 3、闭源-托管资产平台资源搜索监控 演示案例: ➢后端-开源-指纹识别-源码下载 ➢后端-闭源-配置不当-源码泄漏 ➢后端-方向-资源码云-源码泄漏 标签 名称 地址 指纹识别 在线

    2024年01月21日
    浏览(47)
  • 第13天:信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

    标签 名称 地址 指纹识别 在线 cms 指纹识别 http://whatweb.bugscaner.com/look/ 指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer 指纹识别 TideFinger 潮汐 http://finger.tidesec.net/ 指纹识别 云悉指纹 https://www.yunsee.cn/ 指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb 指纹识别 数字观星 Finger-P

    2024年04月14日
    浏览(43)
  • 移动应用安全合规动态:网信办发布2大重磅文件!《儿童智能手表个人信息和权益保护指南》发布;iOS出现0 day漏洞(第2期)

    一、监管部门动向: 网信办发布《网络安全事件报告管理办法(征求意见稿)》、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》;《 儿童智能手表个人信息和权益保护指南》爱加密深度参编! 二、安全新闻: 苹果\\\'Lockdown Mode\\\'的破解之法被发现;中国

    2024年02月03日
    浏览(132)
  • Java:Jar包反编译,解压和压缩

    1、简述 JAR 文件就是 Java Archive ( Java 档案文件),它是 Java 的一种文档格式。 JAR 文件非常类似 ZIP 文件。准确的说,它就是 ZIP 文件,所以叫它文件包。JAR 文件与 ZIP 文件唯一的区别就是在 JAR 文件的内容中,多出了一个META-INF/MANIFEST.MF 文件,这个文件是在生成 JAR 文件的时

    2024年02月14日
    浏览(54)
  • idea:jar包反编译成java文件

    步骤: 1.根据安装的idea找到如下路径 2.将所需的jar包放到同目录下,并创建与jar包名称相同的空文件夹  3.在java-decompiler.jar包中在导航栏输入cmd进入命令提示符中 4。在命令提示符中输入如下代码:         java -cp \\\"D:ideaIntelliJ IDEA 2021.3.3pluginsjava-decompilerlibjava-decompil

    2024年02月12日
    浏览(38)
  • jar包反编译工具(java-decompiler)

    下载地址:http://java-decompiler.github.io/ 优点:反编译的源代码基本符合,没有乱七八糟新增的修饰符 缺点:反编译过程耗时较长(50MB需要10分钟左右)            无法还原内部类 可以查看对应的class文件 导出源代码:点击file - Save All Sources按钮进行导出 下载地址:Release L

    2024年02月08日
    浏览(44)
  • 微信小程序逆向 小程序包使用unveilr工具解包后在开发者工具报[ WXML 文件编译错误] xxx.wxs Unexpected token `}`

    微信小程序逆向 使用解包工具后后在开发者工具报[ WXML 文件编译错误] xxx.wxs Unexpected token } 页面上则报编译.wxml文件错误… 解决方案: 很简单,因为是解包出来的,一般代码都是没有错的,我们只需要微信微信开发者工具中的资源管理器或者其他地方,找到这个文件,然后

    2024年02月08日
    浏览(59)
  • Jar包反编译,修改代码后,重新打jar包

    最近遇到一个问题,需要把现有的jar包反编译成java代码,然后运行,测试,修改后再次打jar包。并不复杂的项目,只是一个很简单的main方法,并不是spring项目。可能是之前的开发走了,然后代码丢失了,只剩下客户那边有一个用的jar包。 jar包:xxx-0.0.1-SNAPSHOT-jar-with-dependen

    2023年04月08日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包