小程序反编译以及抓包渗透测试
2022-12-2 08:30:57 Author: HACK之道(查看原文) 阅读量:41 收藏

转载自公众号hack boy。

前言

随着微信pc端可以点击进入小程序以及公众号,给我们抓包带来了极大的便利,以下主要讲解微信小程序的抓包以及反编译(公众号抓包也一样)

小程序反编译

由于近期需要测试小程序但是抓包发现前端传参都是加密的状态,根本无从下手,所以尝试进行反编译,看看是否从源码中找到一些泄露的关键信息。

第一步:安装微信pc端,登录后点击设置找到,文件管理处,点击打开。

第二步:点击小程序,加载小程序,同时查看下的文件夹中增加了哪个(如果怕不好看可以删除带wx开头的文件夹)

第三步:加载完后进入小程序的保存位置在\WeChatFiles\Applet\小程序id\一个数字目录\_APP_.wxapkg文件

第四步:现在的这个pkg是加密的,需要使用解密工具进行解密。(有的是未加密的)

第五步:解密后会在同目录的wxpack下生成一个新的wxapkg,这是使用反编译的工具对其进行反编译即可。会生成一个目录,其中就是一些反编译的js文件等。

小程序和公众号抓包

目前微信支持在pc端打开公众号和小程序,我们只需要全局代理到bp上即可。

Mac具体操作

  1. 首先连接一个wifi,然后点击设置高级,找到代理,在http和https代理那选择bp的端口即可。

选择好以后点击确认,然后点击应用。这时即可完成抓包了。(如果你本身设置有vps,可能会冲突,建议关闭vps。)

Windows操作

  1. windows直接设置--》网络和Internet,找到代理,打开设置为bp的端口即可。

如有侵权,请联系删除


文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzIyMjYzNA==&mid=2247506068&idx=3&sn=3de7f0ebaa2c0be9a2e4655127a43674&chksm=96d02391a1a7aa87ba21e02638f2c310b2d7db540687e19bcfef7746b325f9b79eb0afa30760#rd
如有侵权请联系:admin#unsafe.sh