我习惯用PC端微信测试,方法很简单。
在此之前还需要在电脑上安装BurpSuite的SSL证书,这个应该都安装过。
然后安装Proxifier,如何安装激活网上教程很多,自行安装。
然后打开微信,随便打开一个小程序。可以看到进程中出现如下名称。
图片
然后打开Proxifier添加上级代理。也就是填写BurpSuite的监听端口,类型选择HTTPS。
图片
再添加代理规则。填入WeChatAppEx.exe;,选择刚刚填入的代理服务器。然后勾选上就OK了。
图片
刷新,就能在BurpSuite中看到小程序的包,以腾讯文档为例。
图片
接下来就是点点点,和正常的渗透一样了。
2、逆向测试有两个步骤,解密和逆向。Github上有很多这类项目,就写我成功复现的,分别需要如下三个工具,解密逆向原项目已经删库跑路了。
解密:UnpackMiniApp(GitHub上能找到备份仓库)逆向:wxappUnpacker(GitHub上能找到备份仓库)模拟运行:微信小程序开发者工具(官网能下)首先找到小程序包的存储位置,在设置中可以看到根目录,然后找到这个目录下的Applet目录。
图片
可以看到有很多。以wx命名开头的文件夹,就是每个小程序包所在目录。
图片
这里存在只有__APP__.wxapkg和除此之外还有其它包的情况,就是主包和可能存在的分包。
图片
图片
然后对小程序包进行解密,用到刚刚提到的UnpackMiniApp工具。,先在UnpackMiniApp.exe同目录下创建一个wxpack文件夹选择加密小程序包为__APP__.wxapkg,有分包一样选择对应的分包。
图片
图片
就可以看到解密后的小程序包。
图片
解密后再逆向,首先先安装node.js环境,这个自行安装,然后再安装项目所需依赖。如果还提示缺依赖再另外安装就行了(我实际运行还安装了escodegen)。
npm install esprima css-tree cssbeautify vm2 uglify-es js-beautify
使用工具逆向,包选择刚刚解密过后的包,效果如下。
node ./wuWxapkg.js 主包路径node ./wuWxapkg.js 分包路径 -s=主包路径图片
解密完就可以看到对应的源码。
图片
再打开微信小程序开发者工具,导入
图片
就可以看到小程序的界面了。可以翻翻接口配置文件什么的。因为很多小程序不登录什么都看不见。这时候逆向就能看到接口。
图片
三、最后微信小程序很烦的就是很多都要获取用户信息,登录后才能打开。为了防止溯源,建议小程序渗透用自己不常用的微信,可以百度PC端微信双开,双开用小号测试。 本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。