小程序反编译

admin 2023年12月23日14:30:31评论57 views字数 1176阅读3分55秒阅读模式
微信小程序-模拟器抓包
安卓系统抓包(微信小程序):
1.安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2.安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书——微信7.0以下已无法使用
3.安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表

基于上述我们解决的方式如下:
1.将证书安装到系统证书中(需要root)
2.苹果手机(苹果手机不受此影响)
3.采用安卓系统低于7.0的模拟器
4.使用低版本电脑版微信小程序抓包
演示:逍遥模拟器5.1安卓系统微信小程序抓包
打开逍遥多开器,新建一个安卓5的模拟器
小程序反编译
模拟器中下载微信,来到发现——小程序
小程序反编译
模拟器开启代理
小程序反编译
Burpsuite开启监听
小程序反编译
模拟器微信打开任意小程序
然后tmd发现不可以抓包了,换了两个安卓7.0以下版本的模拟器都不可以抓包了。
开启代理点击小程序就提示【运行环境加载失败】,关闭代理就正常了。看来低版本安卓也需要配置证书才行。
发现Cherles【茶杯】也不能抓取微信小程序数据包了
但是Proxifier+Burpsuite还可以抓取小程序数据包
小程序反编译
PC--微信小程序反编译
小程序反编译工具:
欢迎使用多功能小程序助手工具,点击确定开始使用。
免责声明:不得将小程序反编译源码程序和反编译图片素材挪作商业或盈利用
使用教程地:https://www.kancloud.cn/ludeqi/xcxzs/2607637
最新版下载地址:https://xcx.siqingw.top/xcx.zip
1.安装node.js
下载:http://nodejs.cn/download/
小程序反编译
2.解压工具之后,来到根目录,右键使用管理员权限运行,成功启动工具
小程序反编译
3.来到电脑微信,设置——文件管理——打开文件夹
小程序反编译
4.来到WeChat FilesApplet目录,Ctrl+A 删除里面的小程序运行缓存
小程序反编译
5.打开要抓包的小程序,WeChat FilesApplet目录就会生成该小程序的运行缓存
小程序反编译
6.进入生成的目录,有一个.wxapkg文件。使用工具——选择解压文件——打开
小程序反编译
7.选择解压文件打开后——刷新反编译包——选择反编译包——新版反编译——成功反编译小程序
小程序反编译
8.工具反编译小程序成功的时候提示:小程序有分包,让我们将分包找出来再次反编译。
怎么找分包呢?
再次进入到生成的小程序缓存目录,可以看到只要一个.wxapkg文件
小程序反编译
点击目标小程序的各个功能点,可以看到目录下又生成了两个.wxapkg文件,这两个.wxapkg文件就是分包。
再次使用反编译工具——选择生成的分包文件反编译即可得到分包的小程序源码。
小程序反编译
9.反编译成功,小程序源码放在工具根目录的wxpack文件夹下对应的APPID目录
小程序反编译
10.成功获取源码,接下来就可以打开源码,进行一些资产收集和白盒安全测试
小程序反编译

原文始发于微信公众号(哆啦安全):小程序反编译

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月23日14:30:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   小程序反编译https://cn-sec.com/archives/2331227.html

发表评论

匿名网友 填写信息