一、工具整备
1.反编译工具unveilr :百度网盘链接:https://pan.baidu.com/s/10Wle8CwvBq54GPWcbEnxLQ 提取码:bivh 解压即可用。
2.微信开发者工具:https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html
二、小程序反编译过程
1.获取小程序存储文件夹
(1)打开PC端微信设置,在文件管理中找到存储路径,选择打开文件夹。
(2)在WeChat Files目录下Applet目录下wx.......开头的文件就是小程序存储的位置(为快速定位,可提前清空前期存储的小程序文件,或者按修改时间进行排序)
(3)在电脑PC端小程序面板打开需要反编译的小程序(尽量多访问小程序的功能点,保证本地存储的小程序文件的完整性)。
2.开始反编译
(1)下载解压unveilr工具。
(2)在unveilr所在目录打开cmd窗口,执行以下命令:unveilr.exe "D:\Users\weixin\WeChat Files\Applet\wxda137c2efa9b7955\13"。(记得路径需要双引号,不然会报错,被坑了)进行小程序反编译。
(3)执行之后,在小程序对应目录生成文件目录,即是小程序反编译之后的源码。
(4)源码可以通过微信开发者工具导入打开查看,也可用通过其他IDE或者文件查看工具进行查看(这里介绍微信开发者工具打开)。
首先打开微信开发者工具,选择小程序,点击导入。
将整个文件夹导入
AppID可以自己注册,也可以使用测试号,后端服务选择“不使用云服务”。点击确定即可。
然后选择信任并运行。
就能清楚看到小程序的源代码,基本有js文件、json文件和一些wxml控件格式文件。js文件包含小程序调用的js函数, json文件包含小程序的路径和接口信息,一般可以用来测试未授权访问。文章来源:https://www.toymoban.com/news/detail-849173.html
反编译获取源码后,可以进行以下渗透:(1)可以开展接口测试,找到未授权访问漏洞;(2)搜索OSS信息泄露,利用OSS连接客户端连接;(3)可以搜索小程序加解密算法js文件,能找到小程序加解密用的密钥,获取请求和返回的敏感信息。文章来源地址https://www.toymoban.com/news/detail-849173.html
到了这里,关于手把手教你小程序反编译的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[Linux]手把手教你制作进度条小程序](https://imgs.yssmx.com/Uploads/2024/02/631370-1.gif)
