在实际渗透测试或安全分析中,经常会遇到微信小程序中的签名加密(sign)机制,这些机制大多具备防重放、防篡改的特性,导致我们在抓包时难以直接复现请求。
🔍 另一方面,一些小程序的代码中往往会泄露关键信息,比如接口调用、密钥或调试信息,因此我们有必要对小程序进行反编译与信息收集。
🎯 目标一:快速反编译与信息收集工具 ------ Fine
fasnow/fine 是一个非常强大的信息收集工具,不仅支持资产测绘、ICP备案查询、天眼查股权结构图分析、IP138域名解析,还内置了小程序反编译模块,用来快速提取小程序中的敏感信息。
📌 功能概览:
-
一键提取小程序信息
-
可视化管理和操作
-
支持自定义提取规则
📂 第一步:找到微信小程序的本地存储路径
一般微信会将小程序缓存到本地目录,路径可以在微信设置中查看:
C:\Users\你的用户名\Documents\WeChat Files\Applet\此目录下每访问一个新的小程序,就会自动生成一个 wx 开头的子文件夹。
📸 插图:微信 Applet 文件路径截图
🖼️
🧪 第二步:使用 Fine 选择 Applet 路径
在 Fine 工具中选择对应的 Applet 文件路径,工具会自动识别目录下的小程序文件,并进行扫描提取。
🎉 一键反编译 + 敏感信息提取!
✅ 建议一个个小程序逐个编译查看,效果更稳定。
另外,右上角还有提取规则设置,可以自定义需要提取的字段,非常适合进行深入的信息收集。
📸 插图:Fine 工具识别界面截图
🖼️
🎯 目标二:完整反编译小程序源码 ------ KillWxapkg
Ackites/KillWxapkg 是另一个优秀的反编译工具,专注于将小程序 .wxapkg 文件还原为源码,方便我们对其进行函数级逆向分析。
⚙️ 使用方法
-
前往 GitHub 下载对应系统版本的 exe 可执行文件
-
打开命令行,常用命令如下格式:
KillWxapkg_2.4.1_windows_amd64.exe -id=appid -in="小程序原始目录" -out="输出目录" -restore -pretty示例:
KillWxapkg_2.4.1_windows_amd64.exe -id=wxe62a7c08ffde7758 -in="C:\Users\xxxx\Documents\WeChat Files\Applet\wxe62a7c08ffde7758\26" -out="C:\Users\xxxx\Documents\WeChat Files\Applet\test" -restore -pretty这些参数来源:
那么id=wxe62a7c08ffde7758
C:\Users\xxxx\Documents\WeChat Files\Applet\test 为自己随意指定的报保存路径
📸 插图:KillWxapkg 命令行操作截图
🖼️
✅ 最终效果
执行完命令后,在你指定的输出目录中(如 test 文件夹)就能看到完整的小程序源码啦!
这些源码可以帮助我们:
-
查看前端调用逻辑
-
分析通信接口
-
挖掘潜在的逻辑漏洞
📌 总结
在实际分析微信小程序时,掌握这两种方式将极大提升我们的效率:
-
🧩 Fine 工具:快速提取敏感信息
-
🔍 KillWxapkg 工具:深入分析源码逻辑
当然,在合法合规的前提下使用这些技术,才是真正的"攻防之道"。
如果你觉得本文对你有帮助,欢迎点赞 👍 收藏 ⭐ 留言 💬!
👉 关注我的博客查看更多技术分享!