技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

微信小程序渗透测试微信小程序抓包及反编译通杀方法,附漏洞挖掘案例

 收录于 未分类
   约 979 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=135282456

【微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例

一、微信小程序抓包通杀方法

微信PC端+ Proxifier + burp

burp设置

监听本地8080端口,导出证书,双击并安装在本地计算机上

https://i-blog.csdnimg.cn/blog_migrate/e10ebf52c4f6ff58187e87b4e5883473.png

https://i-blog.csdnimg.cn/blog_migrate/a37bd704df887b6db74e1401086e40c9.png

双击安装

https://i-blog.csdnimg.cn/blog_migrate/2b6a0c6c577a213e5fdc58250ed5ffc6.png

选择本地计算机

https://i-blog.csdnimg.cn/blog_migrate/b583339ddffd2e86051a0a7aa6d404c6.png

https://i-blog.csdnimg.cn/blog_migrate/075333944f3c68830aaa1d3490a9e3a9.png

https://i-blog.csdnimg.cn/blog_migrate/f1b6ecf9191186e8fbd0c4b643289a31.png

Proxifier 设置

设置代理,将抓包流量转发到本地8080端口

点击配置文件->代理服务器->添加 ,设置如下:

https://i-blog.csdnimg.cn/blog_migrate/4a5e9458f0036560703338c2f8e021d9.png

设置代理规则,抓取小程序数据包

点击配置文件 -> 代理规则 -> 添加 -> 在应用程序中填写小程序的进程 WeChatAppEx.exe ,设置如下:

https://i-blog.csdnimg.cn/blog_migrate/931f4892cd4c82a04cad21869d5a6c0b.png

然后点击微信小程序,就可以开始抓包了。

二、实战

比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有

https://i-blog.csdnimg.cn/blog_migrate/1f465630f228d649c3a0eb47378ddcab.png

针对数据包中提交的几个参数进行爆破 (wxs_id和submit_status参数)

https://i-blog.csdnimg.cn/blog_migrate/4d92c42b36bb38484439185b73f3243d.png

可以看出遍历出了很多信息

三、小程序反编译

搜先找到微信小程序源码存储位置:

打开PC版微信设置

https://i-blog.csdnimg.cn/blog_migrate/b4391bae3f398198e6d49bc8a7f5f375.png

找到文件管理,查看微信文件存储位置,打开文件夹

https://i-blog.csdnimg.cn/blog_migrate/4de633f80fb896ed29be1b6bcc51d35d.png

然后进入其上一级目录,WeChat Files目录,找到Applet目录

https://i-blog.csdnimg.cn/blog_migrate/40dd0d3b9204cb0d8e04a01c9dd61623.png

该目录下 wx开头的就是小程序文件夹

https://i-blog.csdnimg.cn/blog_migrate/f3fc2ffd97403bd6b2ff8b5961acfd8a.png

我们可以通过最新的修改日期,找到我们刚刚打开的小程序。

https://i-blog.csdnimg.cn/blog_migrate/5c02ea474f4432c0cd7aac5dedeb1adc.png

为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。

开始反编译

工具:

反编译工具:unveilr (网上已经下载不到了,下载方式见文末)

小程序源码查看工具:微信开发者工具 (官方可下载,直接百度搜索)

将unveilr 解压,然后在当前目录打开cmd

https://i-blog.csdnimg.cn/blog_migrate/9812d7fe6f16b6df89621b18b3adb9ac.png

unverilr 使用参数如下:

https://i-blog.csdnimg.cn/blog_migrate/cc7d85f9a5eeeb2e55716faf01431392.png

反编译方法,找到要反编译的文件夹

直接输入命令

unveilr "路径"

https://i-blog.csdnimg.cn/blog_migrate/828e37dd935dea1b3bb7ae7194182029.png

https://i-blog.csdnimg.cn/blog_migrate/0a94930d7c9a68f1ac691421ed702c78.png

反编译成功后,会在当前目录下生成一个 APP文件夹,这里面就是小程序源码

https://i-blog.csdnimg.cn/blog_migrate/f659afa84ba5f0c37adf81830ccd0f92.png

然后使用微信小程序开发者工具打开

选择小程序 –> 导入

https://i-blog.csdnimg.cn/blog_migrate/ee8dd92237912eccf3b11ab89c6a700d.png

https://i-blog.csdnimg.cn/blog_migrate/523d966ef9724118c7bf9599a331ca8b.png

导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。

https://i-blog.csdnimg.cn/blog_migrate/90c0d63f36ffbb054efa05aefa6d6d7c.png

然后选择信任并运行

https://i-blog.csdnimg.cn/blog_migrate/0eca29e37f658ff83897d0e9ddc2eaae.png

一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。 json文件包含小程序的路径,一般可以用来测试未授权访问。

https://i-blog.csdnimg.cn/blog_migrate/16abe73c9a96a4291285780ae9d9e6af.png

https://i-blog.csdnimg.cn/blog_migrate/ee8e1c506c1ebc539638129bb944aa93.png

到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。

反编译简单小案例

反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露

https://i-blog.csdnimg.cn/blog_migrate/66db6d3942b2891cbced4c32f62a12f0.png

利用OSS连接客户端连接

https://i-blog.csdnimg.cn/blog_migrate/6e6f87a8d90736f5ea03157e40e0e00a.png

除了这些简单的,还有对某些参数进行逆向,破解加密算法后获取到一些敏感信息。

文中涉及工具 Proxifier、unverilr  关注微信公众号 网络安全透视镜 回复:20231229 获取

更新于 2025-01-15
 网络安全Web
返回 | 主页