推荐文章:利用wechat_appinfo_wxapkg进行微信小程序渗透测试

最新推荐文章于 2025-04-25 09:33:28 发布
原创 最新推荐文章于 2025-04-25 09:33:28 发布 · 394 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

推荐文章:利用wechat_appinfo_wxapkg进行微信小程序渗透测试

wechat_appinfo_wxapkg项目地址:https://gitcode.com/gh_mirrors/we/wechat_appinfo_wxapkg

项目介绍

wechat_appinfo_wxapkg 是一款专为渗透测试设计的开源工具,它帮助安全研究人员和开发者在线收集微信小程序的相关信息,并从已获取的.wxapkg源码包中提取敏感数据。该项目定期更新,如最近增加了云服务密钥匹配和 token 匹配规则,以及对HAE的支持,以提高其功能全面性和准确性。

项目技术分析

该项目包含了三个主要的Python脚本:

  1. wechat_app_search.py: 批量搜索并收集微信小程序的相关信息,这包括但不限于名称、描述、图标等关键数据。
  2. wechat_domains_search.py: 这个脚本用于批量搜索微信小程序所使用的域名,这对于理解和评估潜在的安全风险至关重要。
  3. wechat_wxapkg_infoget.py: 这是一个强大的工具,可以从.wxapkg文件中提取各种敏感信息,比如手机号、身份证、JWT令牌、URL、IP、域名、API密钥以及用户名和密码等。它集成了一套灵活的规则系统,允许用户自定义匹配策略。

这些脚本充分利用Python的便利性,结合正则表达式进行信息匹配,提高了在复杂数据中的查找效率。

项目及技术应用场景

wechat_appinfo_wxapkg 广泛应用于以下几个场景:

  • 安全审计:企业或个人可以通过这款工具检查自己的微信小程序是否存在信息泄露或安全漏洞。
  • 教育研究:网络安全专业学生和研究人员可以借此学习如何识别并防止敏感信息暴露。
  • 渗透测试:对于第三方应用的安全评估,它可以作为一个有效的辅助工具,揭示可能的安全弱点。

项目特点

  1. 批量处理:支持对多个小程序或域名进行快速检索,提高了工作效率。
  2. 规则定制:内置多种匹配规则,并开放源代码供用户根据实际需求进行自定义扩展。
  3. 持续更新:项目维护团队积极跟进微信小程序的变化,确保工具的适用性。
  4. 易用性:所有脚本均为Python编写,易于理解和部署。

总结,wechat_appinfo_wxapkg 是一款实用且灵活的渗透测试工具,无论你是安全专家还是对信息安全感兴趣的学习者,都能从中受益。现在就加入我们的行列,使用这个强大的工具提升你的微信小程序安全测试能力吧!

wechat_appinfo_wxapkg项目地址:https://gitcode.com/gh_mirrors/we/wechat_appinfo_wxapkg

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

最新微信小程序抓包方法
渗透测试研究中心
08-25 3万+
最新微信小程序抓包方法
微信小程序.wxapkg解压工具。净核心)
01-27
SS.UnWxapkg 微信小程序.wxapkg解压工具 usage: SS.UnWxapkg.dll filepath 解包工具: .Net Core 版本: Python2版本: Python3版本: PHP版本: JAVA版本: nodejs版本: Kaitai Struct版本:
探索WeChat AppInfoWxapkg:揭秘微信小程序的幕后世界
gitblog_00083的博客
03-31 532
探索WeChat AppInfoWxapkg:揭秘微信小程序的幕后世界 wechat_appinfo_wxapkg项目地址:https://gitcode.com/gh_mirrors/we/wechat_appinfo_wxapkg 在移动互联网时代,微信小程序因其轻量级、即用即走的特点深受用户喜爱。而wechat_appinfo_wxapkg是一个开源项目,它提供了查看和分析微信小程序(W...
微信小程序】使用Charles抓包
最新发布
Minions_Fatman的博客
04-25 652
设置代理端口为8888,并且勾选图中复选框,最后点击确认。勾选启用ssl代理,点击添加,并且按照下图输入。看到如图所示明文,则证书安装成功。检查无误后,点击确认。
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 1万+
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
微信小程序信息在线收集wxapkg工具使用教程
gitblog_00496的博客
08-16 595
微信小程序信息在线收集wxapkg工具使用教程 wechat_appinfo_wxapkg项目地址:https://gitcode.com/gh_mirrors/we/wechat_appinfo_wxapkg 1. 项目目录结构及介绍 在wechat_appinfo_wxapkg项目中,主要的目录结构如下: src: 包含核心的源代码,如wxapkg模块用于解析wxapkg文件。 test:...
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 1万+
微信小程序手机抓包方案
渗透测试微信小程序信息在线收集wxapkg源码包内提取信息.zip
11-29
渗透测试微信小程序信息在线收集wxapkg源码包内提取信息wechat_appinfo_wxapkg渗透测试微信小程序信息在线收集wxapkg源码包内提取信息20220429 添加云服务密钥匹配、token匹配规则20231117 按建议添加了hae的...
xiaochengxu 渗透测试
02-13
### 小程序渗透测试概述 微信小程序作为一种便捷的应用形式,在提供便利的同时也带来了新的安全挑战。为了保障用户的数据安全和个人隐私,进行有效的渗透测试至关重要[^1]。 #### 测试准备 在启动任何类型的渗透...
从零开始学习网络安全渗透测试信息收集篇——(一)Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份
love6a6的博客
08-14 1854
明确目标之后,我们要对目标的信息进行收集,有时候甲方进行授权时,给我们的信息很少,刁难你一下,比如就给你一个IP地址,让你自己找一下我们有多少域名、IP地址、对外资产信息有哪些等等,我们就需要自行模拟黑客攻击流程,对企业的各类信息进行收集,其实不管是企业也好,还是你自己个人也好,想要测试某个网站的安全性,都要对这个网站的各类信息进行收集
微信小程序渗透测试微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 1万+
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
微信小程序(.wxapkg)文件解包
01-26
unweapp 微信小程序(.wxapkg)文件解包 使用方法: java -jar unweapp-0.1.jar "d:/test/xiaomi.wxapkg"
微信小程序抓包(手把手教你,保姆级教程)+原理分析
热门推荐
qq_68064663的博客
10-21 4万+
之前一直会抓包的操作,但是不懂为什么,这次理解了,写篇博客记录一下。
Fiddler 微信小程序抓图教程(非常详细)从零基础入门到精通,看完这一篇就够了
leah126的博客
07-26 3万+
本篇文章主要给大家详细讲解如何用Fiddler爬取微信小程序的图片,内容图文并茂,流程非常简单,我们开始吧。目录一、获取软件并打开二、点击工具设置相关代理三、如何抓图四、答疑五、总结一、获取软件并打开1、通过百度网盘下载获取安装包(链接是永久的)链接:https://pan.baidu.com/s/1GPwJfcNqkO0VtYklOcED4g提取码:0tsu2、进入fiddlerhhb文件夹,双击启动 Fiddler.exe。
微信小程序进行抓包分析
06-07 2195
如何对小程序进行网络抓包分析
做运维有前途吗?
ALLEN'Blog
10-10 4652
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
PC端微信小程序wxapkg解密
协议分析与还原
10-19 2万+
sh点击上方↑↑↑蓝字[协议分析与还原]关注我们“解密PC端wxapkg文件。”用过微信pc版的应该都知道,PC上也可以使用微信小程序。这个小程序用起来和手机端差不多,不过,在分析时,...
最新抓取微信小程序源码教程+附逆向工具wxappUnpacker使用方法
不定时分享最优质的网络技术与教程,满满的干货。
04-16 7314
想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。3秒抓取一个小程序源码
2024年了,你还不会小程序反编译吗?
weixin_45499352的博客
02-29 5455
查找过程可能会比较慢,但我们只需要查询这一次就可以了,查找过程中可能会出现一些弹框问我们是否允许我们访问文件夹我们直接点允许就可以了,然后我们关注控制面板的输出,当我们发现我们查找的这个appid出现就证明已经找到了,然后我们复制这个地址,终止查询。然后打开访达,然后点左上角的前往,然后点击前往文件夹,然后输入我们复制的地址,点击进去就可以了,然后里面会有很多appid,找到我们上面查找的appid 点击进去,然后再点击知道看到__APP__.wxapkg文件就可以了。,这样前置准备工作就完成了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高鲁榕Jeremiah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值