【小白向】微信小程序解密&反编译教程

前言

最近笔者有做到微信小程序的渗透测试,其中有一个环节就是对微信小程序的反编译进行源码分析,所谓微信小程序反编译,就是将访问的小程序进行反向编译拿到部分源码,然后对源码进行安全审计,分析出其中可能存在的信息泄露或者说路径等一些关键信息。

前期准备

演示视频

文本教程

首先需要确定微信小程序本地存放文件的路径,一般为微信设置的文件管理路径下,一般格式为:微信数据存放路径\Wechat\WeChat Files\Applet,比如我的微信数据设置在E:\Program_Data\Wechat,那么我的微信小程序文件的存放路径就是E:\Program_Data\Wechat\WeChat Files\Applet

如果你不确定你想反编译的小程序究竟是哪一个,可以将这里面的文件夹全部删除,然后重新访问你想反编译的小程序,那么应该会出现只有一个文件夹,那么这个文件夹就是你的目标。

图片[1] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell

从上图可以看到很多类似于wx+随机字符的文件夹,这就是微信小程序的文件存放路径。打开任意一个文件夹,一直翻到最里面,会发现类似于__APP__.wxapkg这样的文件,这个文件就是反编译微信小程序的源码所需要的关键文件。

图片[2] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell

将类似于__APP__.wxapkg这样的文件复制到任意路径,然后打开小锦哥小程序工具,先对小程序包进行解密:将__APP__.wxapkg放入解密工具,选择好解密后保存的路径,然后点击开始解密后输入这个小程序的ID,一般就是你将__APP__.wxapkg这个文件拖出来的上一级,例如:wx14612994f885db6e。如果提示无需解密,那就无视直接略过。

图片[3] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell

然后打开小锦哥小程序工具的反编译包栏目,将解密后的__APP__.wxapkg文件放入到解密工具,选择好反编译后保存的路径,开始反编译。注:反编译需要安装nodejs

图片[4] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell

然后在反编译保存的路径就可以看到反编译后的文件夹了,里面就是微信小程序的前端源码,你可以自行用微信小程序工具打开进行查看源码,分析其中可能存在的信息泄露等信息!

图片[5] - 【小白向】微信小程序解密&反编译教程 - 极核GetShell

THE END
想说的话 1  QQ & 微信交流群: 点击查看加群方式
2  本站运营不易,以真心❤️换真心💕,如果帮助到你,可以 推荐给朋友 或者 开通金贝会员 支持一下本站!
3  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞84 分享
茶谈区 共3条

请登录后发表评论