最近群里的师傅问的挺多的,关于小程序渗透相关的,故做一片自用整理
大部分工具还是Windows更方便,建议MacOS&Linux的师傅们使用虚拟机做测试。
反编译相关的工具皆需要配置wx路径
Windows:
macOS:
/Users/{username}/Library/Containers/com.tencent.xinWeChat/Data/.wxapplet/packages/
抓包分析->和正常Web一样测试
逆向->解包->vscode匹配正则表达式->查找敏感信息
抓包使用Proxifier
Windows抓包规则:WeChatAppEx.exe
MacOS抓包规则:“WeChatAppEx Helper.app”;“WeChatAppEx Helper”;“com.tencent.xinWeChat.WeChatAppEx.helper”
1.这里首推yait的“Yak原生插件”
配置好wx-file目录即可开始自动执行,这里Windows首推这个工具,可以自动化反编译以及敏感信息查找(爱不释手)
下载地址
官网:https://www.yaklang.com/
2.强开F12
用于上传文件成功,但是不论怎么样都找不到文件路径,可以强开F12试一下
Windows&Mac通用,但是需要指定微信版本,尽量少用或者用小号,不然有封号风险
Github:
https://github.com/JaveleyQAQ/WeChatOpenDevTools-Python
网盘下载:
https://pan.quark.cn/s/cf2acbc9bdf9
3.自动化反编译/hook/敏感信息查找
Github:https://github.com/eeeeeeeeee-code/e0e1-wx
4.KillWxapkg
自动化反编译微信小程序,小程序安全评估工具,发现小程序安全问题,自动解密,解包,可还原工程目录,支持Hook,小程序修改
Github:https://github.com/Ackites/KillWxapkg
5.API利用工具
在匹配到一些敏感信息/api之类的,可以使用以下工具进行利用
支持应用功能
应用 | 功能 | 数据库接口 |
---|---|---|
微信公众号 | 支持 | 完成部分常用功能 |
微信小程序 | 支持 | 完成部分常用功能 |
企业微信 | 支持 | 完成部分常用功能 |
钉钉 | 支持 | 完成部分常用功能 |
飞书 | 支持 | 只写了两个接口 |
腾讯地图 | 支持 | 完成部分常用功能 |
高德地图 | 支持 | 完成部分常用功能 |
百度地图 | 支持 | 完成部分常用功能 |
下载地址:
Github:
https://github.com/mrknow001/API-Explorer
原文始发于微信公众号(知攻善防实验室):【自用分享】微信小程序渗透常用工具指北
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论