微信小程序任意用户登录挖掘--神器

2024年12月3日12:16:46评论9 views字数 744阅读2分28秒阅读模式

一、工具说明

wx_sessionkey_decrypt 是一款专门用于微信小程序加解密处理的工具。其核心功能是利用微信小程序在用户登录过程中所产生的加密数据进行解密，进而实现获取敏感信息并模拟用户登录。这一工具的操作原理基于微信小程序的登录流程，主要涉及三个关键要素：

SessionKey：在用户通过微信小程序登录时，微信服务器会生成并返回一个会话密钥（SessionKey）。这个密钥用于加解密后续与用户相关的数据。SessionKey 是一个短期有效的密钥，通常只在用户会话期间有效。

IV（初始化向量）：IV 是一个用于加密算法中的输入值，确保同一明文数据每次加密得到的密文不同。它对于加密过程中的数据随机性和安全性至关重要，通常与加密数据一起传输。

EncryptedData：微信小程序通过加密方式保护用户的敏感数据（如用户信息、账户信息等）。这些加密后的数据就是EncryptedData，需要通过解密才能获取到原始的明文数据。

二、功能

三、使用方法

1、将工具下载到本地打开即可使用

如图，讲微信的SessionKey和IV填入其中即可进行加解密操作

2、该工具兼容URL编码和解码，亦可批量加密

四、解密示例

如下图，渗透测试中获取到的SessionKey和IV，这时我们只需要将相应的值填入工具当中即可进行加解密。

之后再将加密内容替换到请求包当中即可

五、获取方式

https://github.com/mrknow001/wx_sessionkey_decrypt/releases/tag/v0.1

最后工具有个错别字，当然不影响功能哈，如下

原文始发于微信公众号（克莱因蓝的灰色空间）：微信小程序任意用户登录挖掘--神器

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

一个基于 AI 的代码安全分析工具，专注于自动化检测和分析代码中的潜在安全漏洞。