前言
在渗透测试时,除了常规的Web渗透,小程序也是我们需要重点关注的地方,微信小程序反编译后,可以借助微信小程序开发者工具进行调试,搜索敏感关键字,或许能够发现泄露的AccessKey等敏感信息及数据
工具安装
小程序解密:
https://github.com/Angels-Ray/UnpackMiniApp
小程序反编译:
https://github.com/Angels-Ray/wxappUnpacker
微信小程序开发者工具
https://sw.pcmgr.qq.com/655664d78a9d34bcf316f6a5a76b97b0/667bc1ac/spcmgr/download/wechat_devtools_1.06.2303220_ia32.exe
查找本地小程序文件
在微信设置-文件管理中查看小程序的默认存储位置,一般在默认文件夹下的\Applet里
创建wxpack文件夹,默认小程序解密后的文件会存放到这里
UnpackMiniApp小程序解密
wxappUnpacker反编译
- 在wxappUnpacker文件夹下开启CMD
- npm install 安装所需模块
只有一个包时:
node ./wuWxapkg.js 刚才解密的包的路径
存在多个包时:
node ./wuWxapkg.js 分包 -s=主包
微信开发工具调试运行
查找关键字
key,user,pass,name,http,url
