一、前言
深受阿里白帽大会depy师傅分享的议题《攻防演练中非传统web攻击面自动化利用与发现》的启发,尝试开发类似可以实现自动化提取分析的工具,于此文,分享我取得的进展。
二、实践
为保护知识成果,仅从自己实现的工程化设计出发,简要介绍功能模块:
-
main.py 任务推送、全局控制
-
server.py 与手机端autojs通信
-
hae.py 执行HAE扫描任务
-
auto_wx_.js 执行autojs业务逻辑
执行流程:
-
配置任务到
task.json,例如:[
{
"auto_status": 0,
"pc_status": 0,
"xiaoName": "饿了么"
}
] -
执行
server.py拉起PC电脑监听端 -
通过PC电脑推送手机执行
auto_wx_.js, 即小程序自动化加载 -
通过PC电脑,完成小程序提取,解包,扫描与结果输出
三、展示
原文始发于微信公众号(Art Of Hunting):[AOH 022]微信小程序自动化提取与扫描实践
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论