浅谈微信小程序渗透
浅谈微信小程序渗透
免责声明
大仙安全说的技术文章仅供参考,此文所提供的信息只为网络安全人员进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他! ! !
前言
- 小程序测试流程分为两个方面,解包可以挖掘信息泄毒问题、隐藏的接口,抓包可以则试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。
- 本文就从自己平时的抓包+解密+解包的方式去做简单技术分享
1 PC端小程序抓包教程
ProxyPin是一款免费开源抓包工具,支持Windows、Mac、Android、IOS、Linux 全平台系统。
01 准备工作
ProxyPin(本机安装SSL证书)
BurpSuite(本机安装SSL证书)
流量走向和抓包方案:
在这个流程中,流量首先从个人电脑上的微信小程序发出,然后通过ProxyPin代理到达Burpsuite工具,最终使用Burpsuite对流量进行修改和重放。简而言之,这个过程中使用了一个代理链。
02 配置环境
001 设置ProxyPin监听
安装SSL证书到本机并开启HTTPS代理
打开需要抓包的微信小程序
将流量转发到BurpSuite,在ProxyPin中设置外部代理
这块设置BurpSuite的监听端口
002 打开BurpSuite
设置监听本地8080端口(BurpSuite需要安装证书,自行百度)
现在就可以使用Burpsuite对流量进行修改和重放
2 解密 + 解包
这块有很多工具推荐,下面简单列几个自己觉得比较好用方便的:
01 wxapkg
一般用法如下,目前只支持 windows 系统:
- 用 PC 版微信打开小程序来让微信下载小程序
- 使用 wxapkg.exe scan 命令来扫描所有小程序。需要联网获取小程序的名称、路径、wxid(用于后续解密)等信息
- 使用键盘上下键选中想要处理的小程序,然后按回车来执行解密+解包
注意:如果wx是默认安装位置,直接scan就行,否则需要指定路径
键盘选中要测试的程序,回车进行解密+解包
拿vscode打开审计即可,也可以利用正则去匹配一些信息,url、路径、ak/sk、IP、token之类的
02 wxAppInfo
该工具就比较自动化,支持微信小程序一键自动化解密–>反编译–>提取敏感信息。
001 环境准备
需要安装nodejs环境,自行百度教程安装,安装完成打开cmd输入node
如果能进入到node的交互式终端,说明node已经可以正常使用了
002 使用
python3 wxAppInfo.py -d "E:\vx-upload\WeChat Files\Applet" -o result
-d 指定微信小程序路径
-o 结果导出地址
源码文件
敏感信息
03 总结
抓包是指捕获和分析小程序与服务器之间的通信数据包。通过抓包工具,如Burpsuite,测试人员可以拦截和查看小程序发送和接收的网络请求和响应。这样可以检测小程序中的逻辑漏洞、API安全问题以及可能的数据传输问题。抓包还可以用于模拟攻击、重放请求、修改数据等,以测试小程序在各种攻击场景下的安全性。
解包是指将小程序的源代码进行解压,以便分析和挖掘潜在的安全问题。通过解包,测试人员可以深入研究小程序的逻辑和实现细节,并发现可能存在的信息泄漏问题或隐藏的接口。解包还可以揭示小程序中使用的第三方库、组件和插件,帮助测试人员更好地理解小程序的构建和功能。
结合解包和抓包,测试人员可以在调试和测试过程中相互补充。解包提供了对小程序代码和结构的深入了解,帮助测试人员发现潜在的漏洞和安全隐患。而抓包则提供了对小程序与服务器交互的实时监控和分析能力,使测试人员能够模拟攻击并检测可能的安全问题。
04 项目地址
wxAppInfo+nodejs环境 回复【wxappinfo】获取下载链接
wapkg下载地址 回复【wapkg】获取下载链接
ProxyPin 下载地址 回复【proxypin】获取下载链接
微信搜索大仙安全说 进入公众号
回复关键字【 】获取 下载链接