小程序渗透测试-前端打包调试解密

最新推荐文章于 2025-02-07 10:02:38 发布
最新推荐文章于 2025-02-07 10:02:38 发布
阅读量1k 收藏 1
点赞数
分类专栏: app渗透 文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/god_zzZ/article/details/120011021
版权

0x01 用到的环境

  • node环境
  • wxappUnpacker
  • 微信开发者工具
  • 网易mumu模拟器(Android6版本)
  • mt管理器(模拟器中的文件管理工具)

0x02 编译阶段

  • 首先找到小程序的安装包,可以找个手机,点开小程序后,找到手机文件目录, 一般是这样的目录。
/data/data/com.tencent.mm/MicromMsg/c6dxxxxxxxxxxxxx/appbrand/pkg/*.wxapkg

注:此时必须root

mt管理器

image-20210818135324406

然后自己想办法现在把这些包从手机里导出来(如果很多wxapkg建议清理一下,重启目标小程序。)

image-20210820140233664

0x03 反编译wxapkg获取源文件

Github上已经有大神写的node.js版本的,当然也有其它版本的,例如python版本,不用管什么版本的,能用就行了。

GitHub地址:

https://github.co

最低0.47元/天 解锁文章
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
杨秀璋的专栏
05-12 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。这篇文章将讲解Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
微信小程序H5测试打包详解
weixin_42216304的博客
08-04 1700
H5测试打包详解 要打包的项目根目录运行:npm run build:h5 2、全局安装express输入:npm install -g express 3、新建一个文件夹,并在其根目录初始化 4、在新建目录里面新建一个index.js文件并将要打包项目的dist文件拷贝过来 5、新建文件夹根目录输入:node index启动服务 6、本地启动 7、用3...
小程序之获取解密数据
yanpengfeil的博客
04-12 558
上篇文章有提到过,这次完善下,上张的链接 https://blog.csdn.net/yanpengfeil/article/details/85982935 先说一下之前一直碰到的问题,解密数据时 时而成功、时而失败。。。。 1.原因时key是有时限的,之前的思路是在使用之前马上获取,显然这个思路的方向是错误的。 正确的解决方式,小程序全局函数执行以后就把key获取回来,问题完美解决 ...
渗透测试】深度解析微信小程序漏洞挖掘!黑客技术零基础入门到精通教程建议收藏!
最新发布
wangluo12138的博客
02-07 936
今天讲讲微信小程序渗透,无论是护网、src挖掘、攻防演练,微信小程序都可以成为突破口微信小程序和普通网页渗透相比有以下不同点:1、抓包方式不同,不能直接进行抓包2、不能直接进行调试,如果遇到小程序进行了加密传输,这种情况就比较棘手3、微信小程序有自己特有的漏洞4、某些微信小程序会进行一些限制,增加了测试难度针对以上情况,我会分为四个章节逐一进行解答:抓包篇、逆向篇、漏洞篇、技巧篇微信小程序渗透本质和浏览器网页渗透没啥区别,解决了这些不同点就可以像正常网页一样测试了。
小程序体验版发版测试
小屁孩大帅-保密的博客
04-22 670
二维码生成 1.1二维码生成网站https://cli.im/weapp 1.2体验码生成 https://open.weixin.qq.com/sns/getexpappinfo?appid=wx5a2a964b1e3b6922&path=pages/carWare/carWare.html?Code=【要生成的仓库编码】#wechat-redirect 1.3仓库编码的查询 官网 https://dwldev.hisense.com/#/ 账号密码 Admin/admin .
uniapp 打包成微信小程序
阳阳的博客
04-06 5886
目录 一、HbuilderX打包 二、发行 四、打开小程序体验 注意 : 一、HbuilderX打包 选中项目-点击发行(U)- 小程序-(微信仅适用于uniapp)(W) 二、发行 填写微信小程序Appid 点击发行,项目会进行编译,等待编译完成,会提示前往小程序上传 前往小程序开发工具打开这个小程序 然后提示上传成功 四、打开小程序体验 这是你的第一个版本,点击蓝色的体验,会有一个二维码,用自己的账号体验,让别人体验的话,要先把对方加入到开...
渗透测试(一)Node渗透
weixin_42484187的博客
11-12 3853
渗透测试(一)Node渗透一、实验环境二、实验过程三、实验步骤信息收集前端代码审计解密数据提权 一、实验环境 攻击机:kali 192.168.150.131 靶机: node(https://www.vulnhub.com/entry/node-1,252/) ip未知 二、实验过程 信息收集:IP、端口 代码审计:访问api 解密数据:获得敏感信息 系统内核漏洞提权 三、实验步骤 信息收集 **扫描网段192.168.150.0/24,**获得目标ip:192.168.150.129 **扫描
前端框架-小程序uniApp
aming小老弟
12-03 480
获取集合Collection示例如下。nosql 非关系型数据库。
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
前端知识宝典
qq_37759901的博客
01-29 1402
搜索框输入,文本剪辑器实时保存代码实现思路如下:(利用定时器,每次触发先清掉以前的定时器,从新开始)
渗透技巧之当爆破遇到JS加密
zkaqlaoniao的博客
10-22 1004
目录 前言 Python JS库:execjs 安装execjs 安装JS环境依赖PhantomJS execjs的简单使用 Python脚本简单实现js加密 网上搬的js加密文件 简单加密python文件 简单优化脚本 完整加密脚本 测试脚本 使用脚本​ 存在的问题 加密所用时间过长 针对不同的JS加密方法 如果文章对你有帮助,欢迎关注、点赞、收藏一键三连支持以下哦! 想要一起交流学习的小伙伴可以+ hacker_899,群里会分享学习资料、和大佬一起探讨交流学习,
wxappUnpacker:小程序反编译(支持分包)
05-12
说明 来自网友基于 改进的开源项目。 安装 npm install 安装依赖 npm install esprima      npm install css-tree      npm install cssbeautify      npm install vm2      npm install uglify-es      npm install js-beautify 分包功能 当检测到 wxapkg 为子包时, 添加-s 参数指定主包源码路径即可自动将子包的 wxss,wxml,js 解析到主包的对应位置下. 完整流程大致如下: 获取主包和若干子包 解包主包 windows系统使用: ./bingo.bat testpkg/master-xxx.wxapkg Linux系统使用: ./bingo.sh testpkg/master-xxx.wxapkg 解包子包 window
微信小程序 ---在Vscode上编辑,微信开发者工具上预览,快速上手
weixin_43323097的博客
08-17 1万+
微信小程序 ---在Vscode上编辑,微信开发者工具上预览,快速上手
基于微信小程序渗透-反编译小程序
李火火的安全圈
05-25 1650
微信小程序渗透时,因为小程序没有网页端页面,所以不能直接访问抓包分析,如果需要抓包分析,那么一般就是用电脑上的安卓模拟器登录微信利用burp抓包、要么就是用burp抓手机的包、要么就是从手机上直接抓包。方式方法有很多种,个人一般用来抓包的工具也就是IOS上用Stream软件,或者是Postman等工具很容易就抓包了。接下来主要介绍的时微信小程序的反编译,因为反编译出来可以看到小程序前端源码,可以渗透出更多的东西。
微信小程序测试策略和注意事项?
2301_78843735的博客
08-23 268
对于非公用的部分:不同版本直接的切换,需要保证彼此的功能模块和数据独立性不受干扰影响,即不同版本的管理后台所加的数据只应该调用到各自对应模板的前台小程序中,不同版本的小程序从前台提交的数据也只会提交到各自管理后台,不应该有交差重叠。前台从A1页面提交的数据,可能需要在前台A2页面查看到,也会在对应后台的 B 页面查到记录;根据数据从某一端操作输入和输出流向,设计基于数据流的测试用例,输出的数据也可能成为另外一端的输入,检查输入的数据是否按照代码逻辑执行正确的输出,是否数据发生异常(无法输入;
微信小程序渗透测试技巧
07-19 1万+
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。1、小程序解包(反编译)(1)安装手机模拟器,比...
前端uniapp加密解密工具之crypto-js
weixin_41871166的博客
09-13 2823
【代码】前端uniapp加密解密工具之crypto-js。
最新抓取微信小程序源码教程+附逆向工具wxappUnpacker使用方法
不定时分享最优质的网络技术与教程,满满的干货。
04-16 7244
想成为一名微信小程序的开发者,前端思路的学习和安全意识是非常有必要的,故务必掌握小程序反编译技能。3秒抓取一个小程序源码!
三菱FXPASS-PLC电梯调试解密软件介绍
标题和描述中提到的知识...总结来说,三菱FX系列PLC是工业自动化领域的成熟产品,而PLC程序的解密和电梯调试软件的应用是高度专业化和技术化的领域,涉及深入的电子和软件知识,同时也要求具备严格的安全意识和责任感。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值