走进小程序逆向

  • A+
所属分类:移动安全

欢迎转发,请勿抄袭

        微信小程序,小程序的一种,是一种不需要下载安装即可使用的应用。因此近几年火了起来,安全也应该重视起来。

        准备一个小程序,随便搜索了一个,搜索一个小程序,就拿这个小程序作为例子。

走进小程序逆向

    打开小程序,使其加载进来本地。主页面为如下,

走进小程序逆向

    手机在root权限下,获取小程序包。目录地址为/data/data/com.tencent.mm/MicroMsg/{User}/appbrand/pkg/xxxxxxxxx.wxapkg。其中user为一串很长的字符串~

走进小程序逆向

    将wxapkg的数据包,导出本地电脑环境,进行解压。

使用kali 安装npm和node,之后执行相关软件(请看文末),安装完成以后,在资源文件下执行

./bingo.sh xxxxx.wxapkg

走进小程序逆向

得到文件夹,将文件夹导入微信开发者工具。

走进小程序逆向

如果没有id,点击测试号就行了~

走进小程序逆向

成功获取到源码,下一步就可以进行审计了~那这样子,又要学微信小程序代码才能对得起渗透测试的身份了~

涉及部分工具,公众号回复“小程序逆向”获取下载

文章声明:该工具、教程仅供学习参考,请勿非法使用。否则与作者无关!

走进小程序逆向


扫码关注我们


本文始发于微信公众号(yudays实验室):走进小程序逆向

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: