前言
最近笔者有做到微信小程序的渗透测试,其中有一个环节就是对微信小程序的反编译进行源码分析,所谓微信小程序反编译,就是将访问的小程序进行反向编译拿到部分源码,然后对源码进行安全审计,分析出其中可能存在的信息泄露或者说路径等一些关键信息。
前期准备
- 微信PC客户端
- 微信小程序反编译工具:小锦哥小程序工具
演示视频
文本教程
首先需要确定微信小程序本地存放文件的路径,一般为微信设置的文件管理路径下,一般格式为:微信数据存放路径\Wechat\WeChat Files\Applet
,比如我的微信数据设置在E:\Program_Data\Wechat
,那么我的微信小程序文件的存放路径就是E:\Program_Data\Wechat\WeChat Files\Applet
。
如果你不确定你想反编译的小程序究竟是哪一个,可以将这里面的文件夹全部删除,然后重新访问你想反编译的小程序,那么应该会出现只有一个文件夹,那么这个文件夹就是你的目标。
从上图可以看到很多类似于wx+随机字符的文件夹
,这就是微信小程序的文件存放路径。打开任意一个文件夹,一直翻到最里面,会发现类似于__APP__.wxapkg
这样的文件,这个文件就是反编译微信小程序的源码所需要的关键文件。
将类似于__APP__.wxapkg
这样的文件复制到任意路径,然后打开小锦哥小程序工具,先对小程序包进行解密:将__APP__.wxapkg
放入解密工具,选择好解密后保存的路径,然后点击开始解密后输入这个小程序的ID,一般就是你将__APP__.wxapkg
这个文件拖出来的上一级,例如:wx14612994f885db6e
。如果提示无需解密,那就无视直接略过。
然后打开小锦哥小程序工具的反编译包栏目,将解密后的__APP__.wxapkg
文件放入到解密工具,选择好反编译后保存的路径,开始反编译。注:反编译需要安装nodejs
然后在反编译保存的路径就可以看到反编译后的文件夹了,里面就是微信小程序的前端源码,你可以自行用微信小程序工具打开进行查看源码,分析其中可能存在的信息泄露等信息!
- 最新
- 最热
只看作者