原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢!
前言:针对微信小程序的渗透测试除了需要抓包检测web端的漏洞外,还需要通过逆向解包还原客户端的源码,检测是否存在敏感信息泄露风险。
微信小程序抓包
PC端抓包
现在新版微信抓包只需要抓 WeChatAppEx.exe 的流量就可以了,很方便。
| 所需工具 | 备注 |
|---|---|
| 微信 | 版本:3.9.2.23(建议升级到3.9.x版本) |
| Proxifier | 针对指定的exe文件进行流量代理转发 |
Proxifier + Burpsuite 抓包步骤:
1、安装好Proxifier后配置Burpsuite的代理:配置文件 -> 代理服务器 。
2、创建一个新的代理规则,然后将"WeChatAppEx.exe;"加入:配置文件 -> 代理规则。
3、接着重启PC微信,就可以在bp中抓到包了。
Android 端抓包
| 测试机型 | 安卓版本 |
|---|---|
| Oneplus6(ROOT) | 安卓 10 |
1、首先生成BP证书“burp.der”,接着在Kali中执行如下命令,将 der 格式的证书转为 pem 证书 :
openssl x509-inform der-in burp.der-out burp.pem
2、生成 pem 证书的 hash :
openssl x509-inform PEM-subject_hash_old-in burp.pem-noout
3、通过获取到hash值,进行证书重命名 :
cpburp.pem9a5ba575.0
4、adb连接手机,执行如下命令重新挂载文件系统,使其具有可写权限 :
adbrootadb remount
5、导入证书:
adbpush9a5ba575.0/data/local/tmp
6、将证书复制到系统根证书所在目录 :
adb shellcp/data/local/tmp/9a5ba575.0/system/etc/security/cacerts/cd/system/etc/security/cacertschmod6449a5ba575.0
7、手机设置好http代理就可以抓包了。
微信小程序解包
| 所需工具 | 备注 |
|---|---|
| UnpackMiniApp | https://share.weiyun.com/uMqNGOXv |
| wxappUnpacker | https://github.com/xuedingmiaojun/wxappUnpacker |
| node.js | https://nodejs.org/download/release/v13.14.0/node-v13.14.0-x64.msi |
1、PC端小程序包所在路径:
| 平台 | 小程序包路径 |
|---|---|
| PC端 | C:Users用户DocumentsWeChat FilesApplet |
| Android端 | /data/data/com.tencent.mm/MicroMsg/(wxid)/appbrand/pkg/(小程序版本号).wxapkg |
2、微信电脑端小程序包存在加密,需要使用工具进行解密。可以使用UnpackMiniApp将wxapkg包解密。
3、需要安装node.js环境,并且安装好如下依赖:
npmconfig set registry https://registry.npm.taobao.orgnpminstall esprimanpminstall css-treenpminstall cssbeautifynpminstall vm2npminstall uglify-esnpminstall js-beautifynpminstall escodegennpminstall cheerio
4、将包文件放到 /wxapkg/ 目录下,然后运行程序:
windows系统使用: ./bingo.bat wxapkg/__APP__.wxapkgwindows系统使用: ./bingo.bat wxapkg/sub-1-xxx.wxapkg-s=../master-xxx
Linux系统使用: ./bingo.sh wxapkg/__APP__.wxapkg
Linux系统使用: ./bingo.sh wxapkg/sub-1-xxx.wxapkg -s=../master-xxx
3、/wxapkg/ 目录下。得到解包后的文件:
END
原文始发于微信公众号(Fighter 安全):微信小程序抓包/解包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论