前言

最近笔者有做到微信小程序的渗透测试，其中有一个环节就是对微信小程序的反编译进行源码分析，所谓微信小程序反编译，就是将访问的小程序进行反向编译拿到部分源码，然后对源码进行安全审计，分析出其中可能存在的信息泄露或者说路径等一些关键信息。

前期准备

• 微信PC客户端
• 微信小程序反编译工具：小锦哥小程序工具

演示视频

文本教程

首先需要确定微信小程序本地存放文件的路径，一般为微信设置的文件管理路径下，一般格式为：微信数据存放路径\Wechat\WeChat Files\Applet，比如我的微信数据设置在E:\Program_Data\Wechat，那么我的微信小程序文件的存放路径就是E:\Program_Data\Wechat\WeChat Files\Applet。

如果你不确定你想反编译的小程序究竟是哪一个，可以将这里面的文件夹全部删除，然后重新访问你想反编译的小程序，那么应该会出现只有一个文件夹，那么这个文件夹就是你的目标。

从上图可以看到很多类似于wx+随机字符的文件夹，这就是微信小程序的文件存放路径。打开任意一个文件夹，一直翻到最里面，会发现类似于__APP__.wxapkg这样的文件，这个文件就是反编译微信小程序的源码所需要的关键文件。

将类似于__APP__.wxapkg这样的文件复制到任意路径，然后打开小锦哥小程序工具，先对小程序包进行解密：将__APP__.wxapkg放入解密工具，选择好解密后保存的路径，然后点击开始解密后输入这个小程序的ID，一般就是你将__APP__.wxapkg这个文件拖出来的上一级，例如：wx14612994f885db6e。如果提示无需解密，那就无视直接略过。

然后打开小锦哥小程序工具的反编译包栏目，将解密后的__APP__.wxapkg文件放入到解密工具，选择好反编译后保存的路径，开始反编译。注：反编译需要安装nodejs

然后在反编译保存的路径就可以看到反编译后的文件夹了，里面就是微信小程序的前端源码，你可以自行用微信小程序工具打开进行查看源码，分析其中可能存在的信息泄露等信息！