1.安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2.安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书——微信7.0以下已无法使用
3.安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
然后tmd发现不可以抓包了,换了两个安卓7.0以下版本的模拟器都不可以抓包了。
开启代理点击小程序就提示【运行环境加载失败】,关闭代理就正常了。看来低版本安卓也需要配置证书才行。
发现Cherles【茶杯】也不能抓取微信小程序数据包了
但是Proxifier+Burpsuite还可以抓取小程序数据包
免责声明:不得将小程序反编译源码程序和反编译图片素材挪作商业或盈利用
使用教程地:https://www.kancloud.cn/ludeqi/xcxzs/2607637
最新版下载地址:https://xcx.siqingw.top/xcx.zip
下载:http://nodejs.cn/download/
2.解压工具之后,来到根目录,右键使用管理员权限运行,成功启动工具
4.来到WeChat FilesApplet目录,Ctrl+A 删除里面的小程序运行缓存
5.打开要抓包的小程序,WeChat FilesApplet目录就会生成该小程序的运行缓存
6.进入生成的目录,有一个.wxapkg文件。使用工具——选择解压文件——打开
7.选择解压文件打开后——刷新反编译包——选择反编译包——新版反编译——成功反编译小程序
8.工具反编译小程序成功的时候提示:小程序有分包,让我们将分包找出来再次反编译。
再次进入到生成的小程序缓存目录,可以看到只要一个.wxapkg文件
点击目标小程序的各个功能点,可以看到目录下又生成了两个.wxapkg文件,这两个.wxapkg文件就是分包。
再次使用反编译工具——选择生成的分包文件反编译即可得到分包的小程序源码。
9.反编译成功,小程序源码放在工具根目录的wxpack文件夹下对应的APPID目录
10.成功获取源码,接下来就可以打开源码,进行一些资产收集和白盒安全测试
原文始发于微信公众号(哆啦安全):小程序反编译
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2331227.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论