一、工具整备
1.反编译工具unveilr :百度网盘链接:https://pan.baidu.com/s/10Wle8CwvBq54GPWcbEnxLQ 提取码:bivh 解压即可用。
2.微信开发者工具:https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html
二、小程序反编译过程
1.获取小程序存储文件夹
(1)打开PC端微信设置,在文件管理中找到存储路径,选择打开文件夹。
(2)在WeChat Files目录下Applet目录下wx.......开头的文件就是小程序存储的位置(为快速定位,可提前清空前期存储的小程序文件,或者按修改时间进行排序)
(3)在电脑PC端小程序面板打开需要反编译的小程序(尽量多访问小程序的功能点,保证本地存储的小程序文件的完整性)。
2.开始反编译
(1)下载解压unveilr工具。
(2)在unveilr所在目录打开cmd窗口,执行以下命令:unveilr.exe "D:/Users/weixin/WeChat Files/Applet/wxda137c2efa9b7955/13"。(记得路径需要双引号,不然会报错,被坑了)进行小程序反编译。
(3)执行之后,在小程序对应目录生成__APP__文件目录,即是小程序反编译之后的源码。
(4)源码可以通过微信开发者工具导入打开查看,也可用通过其他IDE或者文件查看工具进行查看(这里介绍微信开发者工具打开)。
首先打开微信开发者工具,选择小程序,点击导入。
将整个__APP__文件夹导入
AppID可以自己注册,也可以使用测试号,后端服务选择“不使用云服务”。点击确定即可。
然后选择信任并运行。
就能清楚看到小程序的源代码,基本有js文件、json文件和一些wxml控件格式文件。js文件包含小程序调用的js函数, json文件包含小程序的路径和接口信息,一般可以用来测试未授权访问。
反编译获取源码后,可以进行以下渗透:(1)可以开展接口测试,找到未授权访问漏洞;(2)搜索OSS信息泄露,利用OSS连接客户端连接;(3)可以搜索小程序加解密算法js文件,能找到小程序加解密用的密钥,获取请求和返回的敏感信息。
