微信小程序-模拟器抓包
安卓系统抓包(微信小程序):
1、安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2、安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书——微信7.0以下已无法使用
3、安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
基于上述我们解决的方式如下:
1、将证书安装到系统证书中(需要root)
2、苹果手机(苹果手机不受此影响)
3、采用安卓系统低于7.0的模拟器
4、使用低版本电脑版微信小程序抓包
演示:逍遥模拟器5.1安卓系统微信小程序抓包
打开逍遥多开器,新建一个安卓5的模拟器
模拟器中下载微信,来到发现——小程序
模拟器开启代理
Burpsuite开启监听
模拟器微信打开任意小程序
然后tmd发现不可以抓包了,换了两个安卓7.0以下版本的模拟器都不可以抓包了。
开启代理点击小程序就提示【运行环境加载失败】,关闭代理就正常了。看来低版本安卓也需要配置证书才行。
发现Cherles【茶杯】也不能抓取微信小程序数据包了
但是Proxifier+Burpsuite还可以抓取小程序数据包
PC–微信小程序反编译
小程序反编译工具:
欢迎使用多功能小程序助手工具,点击确定开始使用。
免责声明:不得将小程序反编译源码程序和反编译图片素材挪作商业或盈利用
使用教程地:https://www.kancloud.cn/ludeqi/xcxzs/2607637
最新版下载地址:https://xcx.siqingw.top/xcx.zip
1.安装node.js
下载:http://nodejs.cn/download/
2.解压工具之后,来到根目录,右键使用管理员权限运行,成功启动工具
3.来到电脑微信,设置——文件管理——打开文件夹
4.来到WeChat FilesApplet目录,Ctrl+A 删除里面的小程序运行缓存
5.打开要抓包的小程序,WeChat FilesApplet目录就会生成该小程序的运行缓存
6.进入生成的目录,有一个.wxapkg文件。使用工具——选择解压文件——打开
7.选择解压文件打开后——刷新反编译包——选择反编译包——新版反编译——成功反编译小程序
8.工具反编译小程序成功的时候提示:小程序有分包,让我们将分包找出来再次反编译。
怎么找分包呢?
再次进入到生成的小程序缓存目录,可以看到只要一个.wxapkg文件
点击目标小程序的各个功能点,可以看到目录下又生成了两个.wxapkg文件,这两个.wxapkg文件就是分包。
再次使用反编译工具——选择生成的分包文件反编译即可得到分包的小程序源码。
9.反编译成功,小程序源码放在工具根目录的wxpack文件夹下对应的APPID目录
10.成功获取源码,接下来就可以打开源码,进行一些资产收集和白盒安全测试
原文始发于微信公众号(小黑子安全):APP攻防-微信小程序反编译
