APK与小程序渗透

最新推荐文章于 2025-05-10 12:33:52 发布
最新推荐文章于 2025-05-10 12:33:52 发布
阅读量1.6k 收藏 8
点赞数 8
文章标签: 小程序 网络安全 系统安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_58783105/article/details/133895057
版权
本文探讨了APK和小程序的安全性,通过抓包和反编译技术渗透,介绍如何获取HTTP请求、安装证书以及在安卓模拟器中操作。重点涉及APK分析工具、小程序源代码检查和证书安装方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

APK与小程序渗透

由于APK和小程序与服务器通信还是采用的是https协议,只是使用了加密。只要获取到了HTTP的请求报文就可以回归到Web渗透的层面。然后就可以直接抓包,分析流量数据包的特征。

抓不到小程序的包怎么办?或者对服务器之间的通信进行了加密如何解决?

  • 安装相应的证书。

  • 一般采用了对称加密算法的,由于密钥写在小程序的源码里的,需要对小程序进行反编译,小程序反编译出来的就是js代码。尝试通过源代码中找到密钥。

1. APK

双击apkAnalyser.exe后生成apps和result(结果)两个文件夹,随后将要需要渗透的小程序移动到apps中然后双击apkAnalyser.exe,结果生成在result中。

image-20231016203654211

image-20231016221016017

将小程序放在apps目录中,再次双击apkAnalyser.exe。

image-20231016223632239

结果目录中

image-20231016203925112

accessKey.txt文件

image-20231016221444733

apkanalyser

模拟器抓包,或者手机抓包

2. 小程序

image-20231016210352950

cmd运行该文件,查看系统上安装了哪些小程序

image-20231016210507038

回车进行解包

image-20231016210604431

返回exe文件位置,生成了一个目录,该目录里面就是小程序的源码。

image-20231016210727602

可以使用微信小程序开发工具来对代码进行审计。

image-20231016212913179

2.1 源代码

  • 查看url地址
    • url地址是否是所属公司的资产,扩大资产范围。
    • 对url地址进行抓包,渗透测试。
  • 查找关键字
    • api(接口)的作用,允许不登录访问,未授权访问漏洞。
    • info(信息)如:version_info表示版本信息。

2.2 小程序的默认下载位置

  • 安卓手机:/data/data/com.tencent.mm/MicroMsg/
  • Windows系统:C:\Program Files (x86)\Tencent\WeChat\WeChatApp
  • Mac系统:/Applications/微信.app/Contents/Resources/miniprogram

解包工具

  • wxapkg_1.5.0_windows_amd64
  • 使用微信开发者工具打开反编译的小程序,寻找url地址
  • wxapkg_1.5.0_windows_amd64.exe scan

3. 安装证书

burp证书格式不能直接安装到Android系统上,需要借助openssl工具转换证书格式。

3.1 openssl配置环境变量

image-20231016222437776

3.2 安装证书

高版本安卓不信任bp,安装证书

开启代理然后url中输入https://

image-20231016221910005

执行如下命令

openssl x509 -inform DER -in cacert.der -out cacert.pem

openssl x509 -inform PEM -subject_hash -in cacert.pem

image-20231016222752125

运行后发现生成了一个cacert.pem文件,将7bf17d07对该文件进行重命名设置后缀名为0。

image-20231016222823566

nox是夜神模拟器,adb可以进入安卓系统的模拟shell,可以以linux终端的形式进入安卓系统,也可以直接在真实机复制粘贴某些文件,直接放在虚拟程序中。

# 进入nox目录的bin目录
F:\ruanjian\夜神模拟器\Nox\bin> adb.exe devices   # 查看模拟器是否启动

adb.exe root

adb.exe remount

# 将证书放到夜神模拟器的目录下
adb.exe push ./7bf17d07.0 /system/etc/security/cacerts/
 
adb.exe shell  # 获取shell

chmod 644 /system/etc/security/cacerts/7bf17d07.0	# 权限修改

reboot

image-20231016224433121

配置BurpSuite

image-20231016224545817

image-20231016224616661

重新启动夜神模拟器,点击设置,选择无线网络。

image-20231016224807119

image-20231016224837848

image-20231016224910701

只需要点击模拟器上的小程序即可

image-20231016225123582

BurpSuite中就会有相应的数据包

image-20231016225152392

对某小程序的一次渗透记录
布啦啦
03-25 964
最近报了一个驾校,然后在报名回家以后,就开始疯狂的挂科目一的时长,突然想到这个小程序会不会存在漏洞呢,如果发现了,还可以去CNVD(https://www.cnvd.org.cn/)报一下,一是拿个积分,二是间接修复一下漏洞,毕竟自己的所有信息都在这个小程序里,不想自己有一天因为它存在什么漏洞,导致自己的信息被人偷走,所以本着保护自己的原则,我开始了一次【试探】。具体是哪个小程序,这里我就不说啦,漏洞已经报到CNVD了,写本文只是做一个分享。
apk小程序渗透测试
m0_56578216的博客
10-16 570
将测试用的exe文件放到目录下: 使用下面命令进行扫描: 然后选择要进行渗透apk,以峰友学堂为例,回车后进行解包:如图,解包成功,出现很多资源:目录下出现解包后的文件夹:接下来使用微信开发者工具进行代码审计,导入4文件夹并打开:点击app-service.js,找到APP的源码:在该界面Ctrl+F搜索HTTPs找它的网站地址,找到后可以对它进行访问、抓包等渗透测试操作:搜索api,APP中可能存在api接口的未授权:使用bp和模拟器对apk进行渗透,由于模拟器没有bp的证书,所以需要下载,打开bp,用
微信小程序渗透测试指北(附案例)
Javachichi的博客
03-12 1万+
❝本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧,点击**「阅读原文」**体验更佳。(本文首发博客:https://sanshiok.com/archive/14.html)❞。
小程序代理抓包+反编译+动态调试
最新发布
m0_72199724的博客
05-10 867
Proxifier是一款功能强大的网络代理工具,它可以让你将网络应用程序通过代理服务器进行连接。它提供了一个简单而灵活的方式,让你能够将任何应用程序的网络流量路由到指定的代理服务器上,从而实现匿名浏览、绕过网络封锁、访问受限网站等功能。Proxifier 的工作原理是通过修改操作系统的网络设置,将应用程序的网络连接引导到代理服务器上。它支持多种代理协议,包括HTTP、HTTPS、SOCKS v4和SOCKS v5,可以各种代理服务器兼容。
app&小程序渗透
qq_45758325的博客
07-19 1229
drozer是一款针对android的安全测试框架,最主要的功能是测试安卓四大组件Content Provider、Activity、Service、Broadcast Receiver。
小程序渗透教程——接口测试proxifier+burp+xray及代码反编译KillWxapkg
sfsgtc的博客
12-05 1543
对于小程序渗透任务,我们可以通过proxifier+burp+xray进行接口测试,使用KillWxapkg进行代码反编译。
微信小程序渗透测试
weixin_41308444的博客
10-14 3850
微信小程序渗透测试
小程序渗透测试-前端打包调试解密
god_Zeo的安全博客
08-31 1036
0x01 用到的环境 node环境 wxappUnpacker 微信开发者工具 网易mumu模拟器(Android6版本) mt管理器(模拟器中的文件管理工具) 0x02 编译阶段 首先找到小程序的安装包,可以找个手机,点开小程序后,找到手机文件目录, 一般是这样的目录。 /data/data/com.tencent.mm/MicromMsg/c6dxxxxxxxxxxxxx/appbrand/pkg/*.wxapkg 注:此时必须root mt管理器 然后自己想办法现在把这些包从手机里导出来(
微信小程序抓包及测试
hackzkaq的博客
10-24 883
本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式。
记一次授权的APK渗透测试
wulanlin的博客
01-04 3053
作为一个渗透测试小白,本文的目的是希望能为那些和我一样的小白提供一些测试思路。 涉及的内容可能比较基础,表哥们见谅。 APK 解包 拿到 apk 之后直接用 7-Zip 解压可以得到几个文件夹、一个 AndroidManifest.xml 文件、一个dex文件。使用 dex2jar将这个dex文件解压会生成一个jar文件,然后使用jd-gui就可以查看java源代码了。 当然可以从源码里找代码的漏洞,但是一般会有混淆,在这也不做深入讨论。 上边提到的 xml 文件一定不能发放过,里边涉及到许多重.
针对微信小程序渗透测试
热门推荐
None安全团队
10-18 3万+
2020.9.19凌晨3点23 深夜难眠,回想起今天waf上一大堆误报和寥寥无几的告警,甲方爸爸提供的两荤一素已经换成了白粥榨菜,农夫已经换成了怡宝,猪肉换成了榨菜,或许我们是时长一个月实习生的身份,已经彻底暴露了,明天不知道是不是只能吃开水泡面了。唉,明天又要穿上白衬衫,继续假装自己是5年工作经验的安全专家,今晚终于认清现实,活捉红队0day依然是我们遥不可及的梦。 生而为人,我很抱歉。材料准备: burp suite、模拟器(把微信装好)、node.js、wxappUnpacker、ro...
浅谈微信小程序渗透
dys的博客
11-15 2735
浅谈微信小程序渗透
APP小程序渗透方法
weixin_67488888的博客
08-27 3437
微信小程序:通过微信(扫描二维码、搜索、分享)即可获得;App:从应用商店(App Store、应用汇等)下载安装;微信小程序:无需安装,和微信共用内存使用,占用内存空间忽略不计;App:安装于手机内存,一直占用内存空间,太多的 App 可能导致内存不足;微信小程序:一次开发,多终端适配;App:需适配各种主流手机,开发成本大;微信小程序:提交到微信公众平台审核,云推送;App:向十几个应用商店提交审核,且各应用商店所需资料不一样,非常繁琐;微信小程序:限于微信平台提供的功能;
微信小程序渗透学习
weixin_45794666的博客
02-22 1324
微信小程序 小程序测试流程 分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。 搜索目标小程序 目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。 小程序主体信息确认 查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息 小程序包获取 PC端 首先在微信中搜索到小程序,并打开简单浏览 然后在自己
wx小程序渗透思路
金灰的博客
09-12 1111
免责声明:本文仅做分享!
初探微信小程序渗透测试
chenfeng857的博客
03-18 1万+
初探微信小程序渗透测试
实战|微信小程序渗透测试
fly_enum的博客
07-05 3200
4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

来日可期x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值