记一次微信小程序逆向

最新推荐文章于 2025-06-09 16:42:51 发布
最新推荐文章于 2025-06-09 16:42:51 发布
阅读量4.3k 收藏 40
点赞数 23
CC 4.0 BY-SA版权
文章标签: 微信小程序 小程序 数据库 安全 渗透 网络 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/140692718

记一次小程序逆向

遇到瓶颈了,不知道该干什么,突然想到学校的小程序
闲来无事就看一看[doge]

抓包下来的数据是这样的,嗯,下机(hhh

图片

一、反编译程序

加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄
https://github.com/wux1an/wxapkg
用这个工具反编译本地微信小程序

于是乎拿到js源码看一看

图片

二、AES加密

找到一些信息

图片

AES加密,CBC模式,key和偏移量都拿到了

图片

1)解密

可以解密数据
在线AES加密解密 - 无双工具 (wushuangzl.com)

图片

三、重放

1)sign签名

这边数据包中有个签名值,还有个时间戳timestamp,防止重放,所以要尝试知道怎么计算这个sign值

图片

继续查看源码
找到一处signMD5的调用,应该是md5的计算

图片

找到

最低0.47元/天 解锁文章

200万优质内容无限畅学
黑客大佬
关注
接口被爬?微信小程序如何防抓包逆向调试?我在美团里学到了这招!
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
05-04 1265
微信小程序逆向分析,永远是攻防拉锯。✅ 参数加密 / 响应加密✅ 合理频控✅ 校验基础库版本,识别模拟器特征可以极大提升被破解的门槛。特别是XWEB版本校验,是一种“门槛高、成本低”的方法,值得每个注重安全小程序接入。如果你也遇到小程序逆向、接口被爬的情况,不妨试试这个方式,说不定能挡掉一半以上的逆向攻击。
微信小程序逆向过程
qq_38217747的博客
06-15 2078
文件地址:D:\soft\WeChat\WeChat Files\Documents\WeChat Files\Applet\wxea66c202aa4af979\44。安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D。nodejs环境—>https://nodejs.org/zh-cn/download/微信PC版本—>https://pc.weixin.qq.com/将文件 放入 \wxappUnpacker\apkg文件夹下。
逆向实战(4)-微信 创见小程序 反编译 解包 接口签名参数研究
最新发布
WolffyOne的博客
06-09 1080
创见小程序、js、KillWxapkg、参数逆向
微信小程序逆向分析
For_John的博客
03-02 6732
微信小程序逆向微信小程序逆向分析;实战逆向入门
微信小程序逆向
m0_73193124的博客
03-26 2364
首先我用一道CTF题目来说说微信小程序逆向是什么,以及如何去解密,拆包题目的附件是这两个。
微信小程序框架逆向
01-26
背景 在研究/升级后,目前已实现XX小程序框架跑通了devtools模式 支持了大部分微信小程序常用API, 支持小游戏 :warning_selector:但是XX小程序框架很多下基础API跑不起来,比如无法使用原生播放器/蓝牙等; 原因: 微信小程序ios/android模式下, 是通过原生去支撑这些基础API. 目标 参考微信小程序ios/android模式, XX小程序框架支持ios/android模式, 进而通过原生去支撑这些基础API. 思路 逆向微信小程序 ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置 IDA/hopper查看微信小程序ios端实现伪代码 XX小程序框架 参考微信小程序实现ios/android模式 研究微信小程序ios/android模式实现步骤 ios/andriod 原生模块支撑 通过tweak hook JSCo
微信小程序逆向
qq_59848320的博客
01-20 5808
前言:在学校的时候,每次都要在晚上查寝的时候都要签到。而且是在一个特定的时间点。晚上10点开始。到11点半。其实也没啥。但是我这性呀。就经常忘就这样,我就在不知不觉中少签七八次。 我人傻了(派大星表情包)_大星_我人表情 就这样,我就想能不能写个程序自动签到。就不会忘签了。嘻嘻 人类正出于懒惰而掌握各种的技术 ————佚名 开始解密 1.寻找小程序 因为我们签到是用手机app来进行签到的,但是手机app抓包和反编译比较麻烦。那我们能不能...
获取微信小程序源代码反编译微信小程序说明(这里是电脑微信访问微信小程序录)
01-18
请不要侵权或者模访别人小程序界面! 1 node.js 运行环境 2 反编译的脚本 3 小程序包解密工具 获取小程序包: C:\Users\yourname\Documents\WeChat Files\Applet\018fd*****\****.wxapkg 请看...
微信小程序本地应用包逆向工具
01-26
这是著名微信小程序反编译脚本项目,我不是原作者,我只是该项目的搬运工,用于自己的项目中,同时修复了因微信升级导致该脚本运行报错的BUG。上传该项目的初衷就是有两个: 原项目已被作者移除,估计是涉及到不可...
微信小程序逆向工具.zip
12-01
微信小程序逆向工具小程序逆向工具微信小程序逆向工具工具准备 下载地址https://github.com/strengthen/AppletReverseTool 包含逆向工具、解密工具 逆向工具 目前用的是wxappUnpacker解密工具 先解密 网上有很多教程...
【Web实战】微信小程序逆向
若有战,召必回
11-01 1620
2E 70 6E 67”为带存放路径的文件名称,“00 00 11 7C”对应文件在小程序包中的具体偏移位置,“00 01 01 F7“对应文件在小程序包中的数据长度。但这并不是最初的原项目文件结构,原因是微信服务器会将小程序源码中所有的“js”文件压入“app-service.js”文件中,将所有的“json”文件压入“app-config.json”中,将所有的“wxml”文件压入“page-frame.html”文件中,“wxss”则在处理之后以“html”文件的形式存留在对应页面目录之下。
【Web实战】零基础微信小程序逆向(非常详细)从零基础入门到精通,看完这一篇就够了
Python_0011的博客
11-29 1万+
作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。小程序开发者在开发环节中必须基于以下原则:互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。禁止明文保存用户敏感数据。
小程序逆向过程
西门一刀的博客
08-21 629
清空微信目录下Applet文件夹中所有目录。
实用的微信小程序逆向教程!
热门推荐
风洞网
10-17 1万+
洞悉安全,风洞网,认准官方网站! 简单复现一下小程序逆向过程。 准备工具 一、pc端复现 微信PC版本—>https://pc.weixin.qq.com/ 小程序解密工具—>https://share.weiyun.com/uMqNGOXv nodejs环境—>https://nodejs.org/zh-cn/download/ 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker 二、移动端复现 安卓环境(安
小程序逆向分析 (一)
qq_53058639的博客
02-13 4148
搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。能反编译,然后再动态调试,那么曙光就在眼前。这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。所有的故事都会有结局,只有生活跟你没完。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值