点击蓝字关注我们

微信小程序之反编译

安装node.js

下载nodejs，下载后直接安装即可检查是否安装完毕，打开cmd，输入：node -v

获取小程序源码文件

首先在微信打开需要反编译的小程序，目的是让微信在本地下载小程序的源码包

随后在设置-文件管理-打开文件夹

找到Applet文件夹，里面类似“wx0c50e2f07d9023ac”就是打开过的小程序的id（如果打开过的小程序太多可以根据后面的修改日期锁定你需要解密的小程序包）

由于PC端的小程序都是加密过的，接下来我们需要解密，进入提前准备好的解密工具的文件夹

在当前文件夹路径打开cmd命令

注意：路径中不要带空格，否则会报错，类似“Program File”这种，要避免！（如果无法避免就复制要解密的微信小程序文件夹到没有带空格路径的地方去）

pc_wxapkg_decrypt.exe -wxid 微信小程序id -in 要解密的wxapkg路径

解密后的文件默认名称为dec.wxapkg，会直接生成在当前路径下

安装反编译工具wxappUnpacker

在wxappUnpacker所在文件夹打开cmd，输入以下命令安装依赖库

npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2 
npm install uglify-es
npm install js-beautify

反编译主包，命令如下

node .wuWxapkg.js D:渗透微信小程序渗透工具小程序反编译微信小程序解密wecgatMiniAppReverse-mainwecgatMiniAppReverse-maindecryptdec.wxapkg

反编译完成后，在"decrypt"文件中得到的dec文件夹就是小程序的所有源码了

下载安装微信小程序开发者工具

使用微信小程序开发者工具打开上面生成的文件夹

漏洞挖掘思路：JS敏感信息泄露（AK/SK等敏感信息）、隐藏接口漏洞

SecretId
tmpSecretId
tmpSecretKey