android模擬器獲取小程序包流程

微信小程序

小程序測(cè)試流程

分為兩個(gè)方面，解包可以挖掘信息泄露問(wèn)題、隱藏的接口，抓包可以測(cè)試一些邏輯漏洞、API安全問(wèn)題。兩者結(jié)合起來(lái)就可以邊調(diào)試邊進(jìn)行測(cè)試，更方便于安全測(cè)試。

搜索目標(biāo)小程序

目標(biāo)搜索不能僅僅局限于主體單位，支撐單位、供應(yīng)商、全資子公司等都可能是入口點(diǎn)，所以小程序當(dāng)然也不能放過(guò)它們。

小程序主體信息確認(rèn)

查看小程序賬號(hào)主體信息，否則打偏了花費(fèi)了時(shí)間不說(shuō)，還可能有法律風(fēng)險(xiǎn)。點(diǎn)擊小程序，點(diǎn)更多資料就能看到小程序相關(guān)信息

小程序包獲取

PC端

首先在微信中搜索到小程序，并打開(kāi)簡(jiǎn)單瀏覽

然后在自己微信文件保存路徑下找到applet下找到該小程序包，可以通過(guò)時(shí)間或者小程序的appid快速定位到目標(biāo)包

微信電腦端小程序包存在加密，需要使用工具進(jìn)行解密

至于位置在微信文件夾Applet下

移動(dòng)端

找到對(duì)應(yīng)目錄，把包拉出來(lái)即可

由于安卓data目錄需要root權(quán)限訪問(wèn)，所以需要手機(jī)或模擬器root

android模擬器獲取小程序包流程

這里我用到的是夜神模擬器，登錄微信，找到小程序

方法是將復(fù)制的內(nèi)容放到mnt->shared->orther下，就會(huì)自動(dòng)同步到PC端，這是模擬器的共享目錄

解包

kali安裝npm

apt-get update
apt install npm

環(huán)境安裝

npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save

執(zhí)行node wuWxapkg.js xxxxxx.wxapkg

node wuWxapkg.js wx6693076a088ea68e.wxapkg 

調(diào)試

打開(kāi)微信開(kāi)發(fā)者工具，選擇導(dǎo)入項(xiàng)目,即可調(diào)試

后記

因?yàn)榻獍@取到的都是靜態(tài)資源，所以小程序更多的是進(jìn)行敏感信息的測(cè)試（例如對(duì)js文件中的接口進(jìn)行滲透測(cè)試）。

審核編輯：劉清