渗透测试-小程序反编译渗透测试
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
0x01 工具准备
wxappUnpacker下载地址
https://github.com/xuedingmiaojun/wxappUnpacker
0x02 小程序包获取过程
打开某小程序,并等待其页面全部加载成功即可。接着寻找以下路径
/data/data/com.tencent.mm/MicroMsg/fe8e283f8451ecbdeeff8f12a5bf86a1 /
到该路经下找到相关时间的包
微信小程序的程序包后缀是wxapkg,真正的小程序包大小实则只有1-3M左右,依赖包会较大一些
使用adb导出
使用编译工具查找sign生成的JS代码
这里提供俩种方法来结合burp半自动化测试
- 使用nodejs起一个服务端进行上有代理进行替换
- 使用burp插件的方式
这里还有一种可以调试小程序的方法就是使用微信开发者工具进行调试、但是由于该小程序做过相关处理,一直找不到一个JS文件。有解决办法的大佬可以一起讨论下
还有一些小程序相关的漏洞
小程序可能会泄露如下信息,可以搜索关键词
username、password、passwd、
app_key、Appid、http、config、
AppSecret、Secret、server_key、
session_key,access key、secret key。
还有小程序可能暴漏一些API也可进行测试。
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/8739.html