实战|微信小程序渗透测试

已于 2023-08-21 18:35:23 修改
阅读量3.2k 收藏 28
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 微信小程序 小程序 网络安全 web安全 编程
于 2023-07-05 23:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fly_enum/article/details/131565560
本文介绍了如何使用burpsuite、夜神模拟器和相关工具获取微信小程序的源码,然后通过wxappUnpacker进行反编译。在渗透测试阶段,作者发现可以通过openid访问接口获取用户信息,并能对用户的水卡进行操作。此外,文章还提到了网络安全学习的路线和资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、工具准备

burpsuite、夜神模拟器(把微信装好)、node.js、wxappUnpacker

二、获取源码

1、配置Burp和模拟器(模拟器需导入ca证书),打开模拟器的WLAN–>高级设置–>输入物理机的ip以及一个没被占用的端口,Burp用于代理该端口,我使用的模拟器安卓版本为5.0。

(长按wifi为高级设置)

3、打开/data/data/com.tencent.mm/MicroMsg/目录,把该目录下所有文件删除,再打开微信,打开任意一个小程序。

4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。

5、选中复制到与电脑的共享文件夹

 

6、获取源码后,使用wxappUnpacker进行反编译,分包需要使用-s参数。

三、渗透

1、使用微信开发者工具打开源码。

2、发现一个接口只需要openid即可访问,进行查看此接口功能

3、发现此处为用户报修,可获取大量用户openid。

 

4、使用获取到的openid在另一接口处可用户获取用户详细信息。

 

5、利用获取到的studentID又可对学生的水卡进行绑定,绑定后可对学生的水卡进行充值、挂失等操作

四、结束

到此本次渗透就基本结束,通过子域名爆破还发现了该程序的管理后台,但是莫得密码,也没发现其它漏洞,便没有继续进行了。

 

 
🍻支持一下

觉得我写的好的话可以支持一下我哦~持续关注我,会更新其他好玩且实用的项目。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

1.学习路线脑图

高清的可自行下载

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

 2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 (都打包成一块的了,不能一一展开,总共300多集)

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

 优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

微信小程序渗透测试技巧
07-19 1万+
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。1、小程序解包(反编译)(1)安装手机模拟器,比...
渗透实战-抓取微信小程序流量包
beirry的博客
12-04 2732
现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。 接下来我将对微信小程序来进行抓包发送给burpsuit。Proxifier是一款功能非常强大的代理客户端。我们将用此软件来抓取微信小程序的流量包。 勾选Enable HTTP proxy servers support 选择proxy Servers 添加监听地址 点击此按钮,设置规则 添加规则 以下是添加规则 以小程序肯德基(疯狂星期四YYDS)为例,先打开小程序,再打开任务管理器,找到小程序肯德基+的进程,右键打
微信小程序安全测试指南
07-07
由于新技术新业务的发展速度较快,可能存在客户要求的测试项不在指南中 的情况,本文档提供对微信小程序进行测试的基本思路。
渗透测试】深度解析微信小程序漏洞挖掘!黑客技术零基础入门到精通教程建议收藏!
白帽阿叁的博客
11-27 4001
今天讲讲微信小程序渗透,无论是护网、src挖掘、攻防演练,微信小程序都可以成为突破口微信小程序和普通网页渗透相比有以下不同点:1、抓包方式不同,不能直接进行抓包2、不能直接进行调试,如果遇到小程序进行了加密传输,这种情况就比较棘手3、微信小程序有自己特有的漏洞4、某些微信小程序会进行一些限制,增加了测试难度针对以上情况,我会分为四个章节逐一进行解答:抓包篇、逆向篇、漏洞篇、技巧篇微信小程序渗透本质和浏览器网页渗透没啥区别,解决了这些不同点就可以像正常网页一样测试了。
微信小程序渗透测试指北(附案例)
lza20001103的博客
06-12 1525
微信小程序渗透测试指北(附案例)
微信小程序渗透测试
weixin_41308444的博客
10-14 3887
微信小程序渗透测试
针对微信小程序渗透测试
热门推荐
None安全团队
10-18 3万+
2020.9.19凌晨3点23 深夜难眠,回想起今天waf上一大堆误报和寥寥无几的告警,甲方爸爸提供的两荤一素已经换成了白粥榨菜,农夫已经换成了怡宝,猪肉换成了榨菜,或许我们是时长一个月实习生的身份,已经彻底暴露了,明天不知道是不是只能吃开水泡面了。唉,明天又要穿上白衬衫,继续假装自己是5年工作经验的安全专家,今晚终于认清现实,活捉红队0day依然是我们遥不可及的梦。 生而为人,我很抱歉。材料准备: burp suite、模拟器(把微信装好)、node.js、wxappUnpacker、ro...
微信小程序渗透测试流程
最新发布
07-13
### 微信小程序渗透测试流程 微信小程序本质上是一种混合应用,其前端代码(WXML、WXSS、JS)和配置文件被打包成一个`.wxapkg`文件。渗透测试的关键步骤包括: 1. **获取小程序包**: - 在安卓设备上,小程序包...
微信小程序开发中的本地存储与数据持久化
master_chenchen的博客
09-13 1989
在移动互联网时代,用户期望应用能够在离线状态下依然保持功能的完整性。对于微信小程序而言,本地存储与数据持久化不仅是提升用户体验的关键,更是实现应用功能完整性的基石。想象一下,当用户在网络信号不佳的环境中打开一个小程序,如果应用能够从本地读取数据并继续提供服务,这样的体验无疑会让用户感到满意和安心。然而,要在微信小程序中实现本地存储与数据持久化并非易事。首先,开发者需要了解微信小程序提供的本地存储API,并掌握如何正确地使用它们来保存和读取数据。
微信小程序开发中的手势识别和触摸事件处理
master_chenchen的博客
09-12 1043
微信小程序作为移动互联网时代的一大创新,其便捷的开发体验和无缝的用户交互赢得了广大开发者和用户的青睐。而在众多的交互方式中,手势识别和触摸事件处理无疑是提升用户体验的关键之一。想象一下,当你轻轻滑动屏幕就能翻阅照片,或是双击就能放大查看细节,这样的自然交互多么让人愉悦。然而,要在微信小程序中实现这些功能并不简单。首先,开发者需要熟悉微信小程序提供的触摸事件API,包括touchstarttouchmovetouchend等,这些事件可以帮助我们捕捉用户的触摸行为。
针对微信小程序渗透测试实战
Python_0011的博客
03-23 2794
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2830
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
初探微信小程序渗透测试
chenfeng857的博客
03-18 1万+
初探微信小程序渗透测试
微信小程序渗透测试微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 1万+
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
小程序渗透测试的两种方法——burpsuite、yakit
weixin_45802999的博客
07-05 3687
5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。2、在MITM 交互式劫持中,设置监听地址和端口,劫持启动。
微信小程序渗透测试方案,从零基础到精通,收藏这篇就够了!
Python_0011的博客
01-10 1879
微信小程序作为一种轻量级的应用程序,因其无需下载、即用即走的特点,迅速获得了广大用户的青睐。然而,随着小程序应用的普及,其安全性问题也日益凸显。为了确保小程序安全运行,保护用户数据和隐私,进行微信小程序渗透测试显得尤为重要。本文将深入探讨微信小程序渗透测试的方案,从测试准备、测试方法、测试步骤到漏洞修复,全方位解析如何有效地进行渗透测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值