千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

0 前言

1 webpack简介

Webpack五大核心模块：

1. entry：
2. 入口提示Webpack以哪个文件为入口起点开始打包，分析构建内部依赖图。
3. output：
4. 输出提示webpack打包后的资源输出到哪里去，以及如何命名。
5. (loader)module：
6. 让Webpack能够去处理那些非js文件（webpack自身只能理解js/json,不能处理css/img等其他资源）
7. plugins：
8. 插件可以用于执行范围更广的任务。插件的范围包括，从打包优化到压缩，一直到重新定义环境中的变量等。
9. mode：
10. 开发模式：能让代码本地调试的环境会将process.env.NODE_ENV = development.
11. 生产模式：能让代码优化上线运行的环境。process.env.NODE_ENV =

2 怎么确定是webpack打包站点呢

特征1

大家F12（或者鼠标右键点检查），查看源代码，这个就是最典型的一种，直接显示了webpack。

特征2

特征3

好的也就是这个.js.map文件，大家直接访问这个.js.map文件，就可以下载下来

这里有一个小技巧，就是直接右键这个js文件，然后访问之后拼接.map就好，有时候这个trunk路径会很多层,如./static/js/啥的

特征4

必备插件Wappalyzer

大家直接在edge浏览器添加拓展就可以啦

3 shuji（周氏）配置

3.1 安装nodejs环境

没有nodejs的参考以下这篇文章进行安装，我版本不够卸载之后照着这个一步一步装的。
https://blog.csdn.net/WHF__/article/details/129362462

3.2 安装shuji工具

1. npm install --global shuji

1. C:Users大帅比AppDataRoamingnpmnode_modulesshuji

3.3 .js.map文件存放位置

1. C:Users大帅比

这里大家可以把.js.map文件放在这里，然后再放到。。Node_jsnode_global文件下试试
别的路径我都试过了，文件路径指定绝对路径也不行，不知道是不是什么问题，但是后面存放的路径可以绝对路径任意指定位置。

3.4 运行shuji 反编译.js.map文件获取源码

哎，要用这个node.js command prompt这个运行框，尝试了一上午cmd，稀里糊涂才实验出来用这个框，谁懂！

1. 所以我的命令：
2. shuji swagger-ui-bundle.js.map -o D:secToolsshujifolder

3.5 代码审计

4 实战记录

1. 命令：
2. naabu -host 127.0.0.1
3. 这个一般只跑很多常用端口
4. 想跑全就端口全指定，会很慢
5. naabu -host 127.0.0.1-p 1-65535

一个个尝试访问然后找到了这么个webpack打包的站点，可以看到插件识别出来了是webpack站点，没识别出来swagger-ui。

当然还要跑，然后就跑出来了swaggger-ui未授权，兄弟们见谅，项目敏感所有码多打一点一步到位

这里 怎么跑swaggerui未授权，springbootscan怎么用，请参考大佬Tobisec“针对Swagger接口泄露未授权的初探”一文，这里我不再赘述
链接：https://bbs.zkaq.cn/t/31799.html

访问.js.map下载，然后用上述的shuji利用方法还原源码，最后一个站写了俩成果（装自己不那么菜），然后进行简单的代码审计，测其他接口未授权，关键字查信息泄露啥的。

5 总结

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：干货！ | 利用shuji还原webpack打包源码