小程序sign逆向和渗透两种思路

最新推荐文章于 2025-06-09 16:42:51 发布
最新推荐文章于 2025-06-09 16:42:51 发布
阅读量1.3k 收藏 21
点赞数 16
文章标签: 小程序

解开微信devtools进行debug获取加密逻辑和还原js后硬逆,两种思路各有利弊
小程序sign逆向和渗透两种思路,总有一款适合你
0x01 sign发现和排查思路
起因是在做小程序渗透的过程中,改了数据重新发包显示系统异常,数据包如下图所示,猜测可能是signature这行是sign校验,所以才会出现异常
在这里插入图片描述
然后因为正常请求是显示的是code无效,且请求头中存在大量参数,于是为了排除干扰就开始依次修改请求头中的每一组值再发包,如果修改后发包显示系统异常,那就证明这个sign值校验跟这个请求头也有关,最后如下图所示,初步判断请求头中有四处busi-timestamp、busi-noncestr、busi-appid、json请求体、这四处变一下响应就变成了系统异常,所以盲猜busi-signature就是根据他们四个的值进行计算得来的

在这里插入图片描述
0x02 解开微信devtools进行debug获取加密逻辑
​ 接下来使用第一种方式进行破译sign校验,虽然这个方法非常简单,但是其实这个方式我并不推荐,因为它是需要解开微信小程序devtools,存在封号风险,所以如果要尝试一定要使用自己的微信小号、同时注意一定不要使用虚拟机!!!

​ 我这里远控我另一台电脑登录我的微信小号,工具地址:https://github.com/JaveleyQAQ/WeChatOpenDevTools-Python

​ 打开微信后执行

WechatOpenDevTools-Python.exe -x
​ 成功打开devtools
在这里插入图片描述
在这里插入图片描述
上图代码分析,首先要知道busi-appID是写死的后续不会改变,然后可以看到busi-signature的值是a,而a又是一个函数计算得到的,我们直接跟进这个函数,如下,可以看到它先创建个HMAC对象秘钥是t,然后对e进行了计算,这里直接debug

在这里插入图片描述

[网络安全自学篇] 八十二.WHUCTF之隐写逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬师傅们(尤其出题解题的老师们)~
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
热门推荐
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计会连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
记一次某微信小程序wasm的sign逆向
m0_62206938的博客
08-22 1040
WebAssembly 是一种可移植、体积小、加载快并且兼容 Web 的新式二进制指令格式,设计用于提高 web 应用的运行速度。上述函数入口点,一眼可以看出来所有的逻辑都在rsa_sign.js这个文件下,直接拷贝小程序中define的这个rsa_sign.js的代码到一个本地新文件中。WXWebAssembly是微信小程序的新式二进制指令格式, 需要使用nodejs中的brotli库进行二次转换,textencoder 扣取出来后,发现其实可以去除掉,hhh,白白又多掉一根头发。
记一次微信小程序逆向
2301_80115097的博客
07-26 4311
环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。这边数据包中有个签名值,还有个时间戳timestamp,防止重放,所以要尝试知道怎么计算这个sign值。看js里有挺多接口的,一开始稍微看了一下都没有什么敏感泄露,也没有什么未授权,字段中存在uid,尝试是否存在越权,结果uid与token关联的,所以无果。但总感觉是有点问题的,来都来到这一步,总不能放弃吧,至少把接口都看一遍。加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄。
逆向实战(4)-微信 创见小程序 反编译 解包 接口签名参数研究
最新发布
WolffyOne的博客
06-09 1052
创见小程序、js、KillWxapkg、参数逆向
小程序逆向分析 (一)
qq_53058639的博客
02-13 4144
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
微信小程序逆向分析
For_John的博客
03-02 6720
微信小程序逆向微信小程序逆向分析;实战逆向入门
微信小程序逆向
m0_73193124的博客
03-26 2344
首先我用一道CTF题目来说说微信小程序逆向是什么,以及如何去解密,拆包题目的附件是这两个。
小程序逆向过程
西门一刀的博客
08-21 624
清空微信目录下Applet文件夹中所有目录。
小程序开发的金融小程序安全保障:小程序领域的重要课题
小程序开发
05-11 891
金融小程序作为移动互联网时代金融服务的重要载体,其安全性直接关系到用户资金安全隐私保护。本文旨在系统性地分析金融小程序开发中的安全挑战,提供全面的安全保障方案技术实现细节。金融小程序的安全架构设计数据传输存储安全用户身份认证机制交易风险控制策略合规性要求安全审计本文首先介绍金融小程序安全的基本概念背景,然后深入分析核心安全技术实现方案,接着通过实际案例展示安全开发实践,最后探讨未来发展趋势挑战。金融小程序
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDAOD逆向
杨秀璋的专栏
03-06 6862
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDAOD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
微信小程序本地应用包逆向工具
01-26
wxappUnpacker 这是著名微信小程序反编译脚本项目,我不是原作者,我只是该项目的搬运工,用于自己的项目中,同时修复了因微信升级导致该脚本运行报错的BUG。上传该项目的初衷就是有两个: 原项目已被作者移除,估计是涉及到不可描述的社会问题; 备份一份项目,供大家使用,也是给自己一份保障 使用方法 第一步 npm install 第二步 node wuWxapkg.js <wx> 之后会在你运行JS脚本的同级目录生成跟.wxapkg同名的目录,解压后的源码就在该目录下面 常见问题 1. Module build failed: Error: Cannot find module 'escodegen'(本项目已经修复该问题) 解决方法: npm i escodegen -S 2. Error: This Package is unreco
微信小程序框架逆向
01-26
背景 在研究/升级后,目前已实现XX小程序框架跑通了devtools模式 支持了大部分微信小程序常用API, 支持小游戏 :warning_selector:但是XX小程序框架很多下基础API跑不起来,比如无法使用原生播放器/蓝牙等; 原因: 微信小程序ios/android模式下, 是通过原生去支撑这些基础API. 目标 参考微信小程序ios/android模式, XX小程序框架支持ios/android模式, 进而通过原生去支撑这些基础API. 思路 逆向微信小程序 ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置 IDA/hopper查看微信小程序ios端实现伪代码 XX小程序框架 参考微信小程序实现ios/android模式 研究微信小程序ios/android模式实现步骤 ios/andriod 原生模块支撑 通过tweak hook JSCo
[系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解
杨秀璋的专栏
02-07 7632
作者前文介绍了宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。本文将详细介绍什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。这些基础性知识不仅系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验实践进行撰写,也推荐大家阅读参考文献。
微信小程序逆向过程
qq_38217747的博客
06-15 2062
文件地址:D:\soft\WeChat\WeChat Files\Documents\WeChat Files\Applet\wxea66c202aa4af979\44。安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D。nodejs环境—>https://nodejs.org/zh-cn/download/微信PC版本—>https://pc.weixin.qq.com/将文件 放入 \wxappUnpacker\apkg文件夹下。
微信小程序逆向
qq_59848320的博客
01-20 5801
前言:在学校的时候,每次都要在晚上查寝的时候都要签到。而且是在一个特定的时间点。晚上10点开始。到11点半。其实也没啥。但是我这记性呀。就经常忘记就这样,我就在不知不觉中少签七八次。 我人傻了(派大星表情包)_大星_我人表情 就这样,我就想能不能写个程序自动签到。就不会忘签了。嘻嘻 人类正出于懒惰而掌握各种的技术 ————佚名 开始解密 1.寻找小程序 因为我们签到是用手机app来进行签到的,但是手机app抓包反编译比较麻烦。那我们能不能...
【Web实战】微信小程序逆向
若有战,召必回
11-01 1617
2E 70 6E 67”为带存放路径的文件名称,“00 00 11 7C”对应文件在小程序包中的具体偏移位置,“00 01 01 F7“对应文件在小程序包中的数据长度。但这并不是最初的原项目文件结构,原因是微信服务器会将小程序源码中所有的“js”文件压入“app-service.js”文件中,将所有的“json”文件压入“app-config.json”中,将所有的“wxml”文件压入“page-frame.html”文件中,“wxss”则在处理之后以“html”文件的形式存留在对应页面目录之下。
浅谈小程序逆向
weixin_42545308的博客
09-16 3564
怀着学习的心研究小程序
探索Java经典小程序:从LED SIGN到PIE CHART
从标题“Java经典小应用程序”中,我们可以推断,本文涉及的是在Java Applet时代开发的一些具有代表性历史意义的小程序。 描述中提到的“非常经典的小应用程序”意味着这些应用程序在当时可能非常流行,被广泛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值