免责声明:本文仅做分享!
目录
[bp + proxifier](#bp + proxifier)
WX小程序源代码
其实就跟web渗透类似,只不过wx小程序的源码封装了.
wx小程序目录位置:
这些wx开头的文件夹就是每个小程序的包包.
首先,看一下wx小程序的格式:
---这样,不出意外,打开就是乱码...
所以我们要进行反编译,变成正常的代码-->
反编译:
e0e1-wx.py工具
配置去工具官网看:
eeeeeeeeee-code/e0e1-wx: 微信小程序辅助渗透-自动化 (github.com)
运行截图:
现在的文件是正常的代码了,可以安心观看啦~~~
unveilr.exe工具
自己下载...
使用方法:
unveilr.exe "小程序路径"
--->运行完成后会在其小程序目录下生成一个 __APP__ 文件夹.(里面就是正常的代码文件)
查看源代码:
反编译完了,那我们要怎么办呢, ---> 当做一个项目,打开,审计人家源代码呀 .
微信开发者工具:
developers.weixin.qq.com/miniprogram/dev/devtools/download.html
--选择版本进行下载. (无脑安装)
那咱们弄好之后直接把反编译好的文件夹路径弄过来 ~
--->创建--->信任并运行.
到了这里之后,那就该怎么审就怎么审 !
那我们需要测试漏洞是否存在,是不是就需要抓包--->
WX抓包
Fiddler抓包
看人家大佬的文章吧, ....
fiddler抓取微信小程序包_fiddler抓包微信小程序-CSDN博客
官网下载
Download Fiddler Web Debugging Tool for Free by Telerik
下载证书
http://www.telerik.com/docs/default-source/fiddler/addons/fiddlercertmaker.exe?sfvrsn=2
操作:
Fiddler配置好之后,
先打开Fiddler,再配置微信网络代理,打开微信.
... 然后断点 ,抓包 ,改包 ....
(看人家佬的文章吧,很详细了...)
bp + proxifier
bp:(代理抓包)
环境自己配置好.
监听 127.0.0.1 8080
proxifier:(本地代理)
配置文件--代理服务器
配置文件--代理规则
WeChat.exe;WeChatAppEx.exe;WeChatPlayer.exe;WechatBrowser.exe;WeChatAppEx*.exe
WeChatAppEx.exe
都配置好之后, 在其代理程序上 点击 , 抓到包 即可.
---由于这个proxifier 代理 的 流量有时非常卡,不稳定,所以这个感觉有点鸡肋.