走进小程序逆向

欢迎转发，请勿抄袭

        微信小程序，小程序的一种，是一种不需要下载安装即可使用的应用。因此近几年火了起来，安全也应该重视起来。

        准备一个小程序，随便搜索了一个，搜索一个小程序，就拿这个小程序作为例子。

    打开小程序，使其加载进来本地。主页面为如下，

    手机在root权限下，获取小程序包。目录地址为/data/data/com.tencent.mm/MicroMsg/{User}/appbrand/pkg/xxxxxxxxx.wxapkg。其中user为一串很长的字符串~

    将wxapkg的数据包，导出本地电脑环境，进行解压。

使用kali 安装npm和node，之后执行相关软件（请看文末），安装完成以后，在资源文件下执行

./bingo.sh xxxxx.wxapkg

得到文件夹，将文件夹导入微信开发者工具。

如果没有id，点击测试号就行了~

成功获取到源码，下一步就可以进行审计了~那这样子，又要学微信小程序代码才能对得起渗透测试的身份了~

涉及部分工具，公众号回复“小程序逆向”获取下载

文章声明：该工具、教程仅供学习参考，请勿非法使用。否则与作者无关！