-
小程序
行为 | 工具 |
小程序抓包 | 全局代理,Proxifer |
小程序渗透 | |
小程序反编译 | Wxapkg 参数:scan 联网自动扫描,-r 指定 wx文件路径 |
小程序逆向 | WeChatOpenDevTools |
-
小程序抓包
工具 | 步骤 |
全局代理 |
|
工具: |
|
-
小程序渗透
- 小程序的渗透 与 Web渗透相差不多,且逻辑漏洞比重 大于 Web漏洞;
- 参考链接(推荐从"0x04其他类型漏洞案例" 开始看):https://zhuanlan.zhihu.com/p/485217852
-
小程序反编译 -
wxapkg
-
打开微信设置,寻找微信小程序源码存储位置
-
返回上级目录,进入
Applet
文件夹 -
发现众多以
wx
开头的文件,找到修改日期最新的文件夹 或 将其全部删除再访问生成新的文件; -
其中
__APP__.wxapkg
为小程序加密后的文件 -
工具解密 -
wxapkg
使用 # 下载链接 https://github.com/wux1an/wxapkg/releases/tag/v1.5.0 # 常用参数 # 联网自动查找路径(推荐):scan # 手动指定解密文件:-r # 常用语句 # 联网自动扫描(需为默认路径) wxapkg_1.5.0_windows_amd64.exe scan # Shift 下的箭头可以选择,Enter指定解密文件 # 上方的彩条是进度条,代表可以下拉的程度 # 指定文件扫描,将结果保存到工具的unpack文件下 wxapkg_1.5.0_windows_amd64.exe unpack -r "wx文件路径" wxapkg_1.5.0_windows_amd64.exe unpack -r "C:\Users\Lenovo\Documents\WeChatFiles\Applet\wx7649daed8f2335c4"
联网自动扫描 -
联网自动扫描
-
解密完成后,会在工具目录下生成解密后的文件
指定文件扫描 -
指定文件扫描
-
解密完成后,会在工具目录下生成解密后的文件
-
-
小程序逆向 -
WeChatOpenDevTools
# 稍微了解一下就行了,容易被封微信;
# 作用:强制微信小程序开启开发者模式,对代码进行调试和测试;
# 下载链接:https://github.com/JaveleyQAQ/WeChatOpenDevTools-Python/releases/tag/0.3.2
# 使用方法:
# 安装依赖
pip3 install -r requirements.txt
# 运行(运行时要启动微信)
python main.py
# 如果版本号对了,则会提示注入成功
# 支持版本:8447,8461,8501,8519,8529,8531,8555,9079,9115,9129,11159,11205,11253,11275;
# 查看版本:
# Ctrl+Alt+Del 选中任务管理器,打开;
# 从任务管理器中选中 WeChatAppEx ,右键打开文件位置,路径中包含的数字即位版本号
#(同 工具:proxifier)
# 发现版本对不上是正常的,一般用的时候会下载特定版本的微信(如3.9.7.29版)
# 注入成功后,打开小程序,点击右上角的...
# 会发现多出了 devTools 的功能
# 具体的可以查看下载链接中的 README.md
-
免责声明
-
本专栏内容仅供参考,不构成任何投资、学习或专业建议。读者在参考本专栏内容时,应结合自身实际情况,谨慎作出决策。
-
本专栏作者及发布平台尽力确保内容的准确性和可靠性,但无法保证内容的绝对正确。对于因使用本专栏内容而导致的任何损失,作者及发布平台概不负责。
-
本专栏部分内容来源于网络,版权归原作者所有。如有侵权,请及时联系我们,我们将尽快予以处理。
-
读者在阅读本专栏内容时,应遵守相关法律法规,不得将内容用于非法用途。如因读者行为导致不良后果,作者及发布平台不承担任何责任。
-
本免责声明适用于本专栏所有内容,包括文字、图片、音频、视频等。读者在阅读本专栏内容时,视为已接受本免责声明。
-
作者及发布平台保留对本免责声明的解释权和修改权,如有变更,将第一时间在本专栏页面进行公告。读者继续使用本专栏内容,视为已同意变更后的免责声明。
敬请广大读者谅解。如有疑问,请联系我们。谢谢!