網路安全滲透測試小程式抓包流程步驟詳解

2022-02-19 16:00:08

小程式測試流程

分為兩個方面，解包可以挖掘資訊洩露問題、隱藏的介面，抓包可以測試一些邏輯漏洞、API安全問題。兩者結合起來就可以邊偵錯邊進行測試，更方便於安全測試。

搜尋目標小程式

目標搜尋不能僅僅侷限於主體單位，支撐單位、供應商、全資子公司等都可能是入口點，所以小程式當然也不能放過它們。

小程式主體資訊確認

檢視小程式賬號主體資訊，否則打偏了花費了時間不說，還可能有法律風險。

點選小程式

點更多就能看到小程式相關資訊

小程式包獲取

PC端

首先在微信中搜尋到小程式，並開啟簡單瀏覽

然後在自己微信檔案儲存路徑下找到applet下找到該小程式包，可以通過時間或者小程式的appid快速定位到目標包

微信電腦端小程式包存在加密，需要使用工具進行解密

windows端獲取小程式包流程

開啟解密工具，在工具目錄建立wxpack資料夾（解密後的小程式包會放在這個地方），執行工具解密需要操作的小程式包即可

行動端

找到對應目錄，把包拉出來即可

安卓儲存路徑：/data/data/com.tencent.mm/MicroMsg/{⽤戶ID}/appbrand/pkg/

iOS儲存路徑：/var/mobile/Containers/Data/Application/{程式 UUID}/Library/WechatPrivate/{⽤戶ID}/WeApp/LocalCache/release/{⼩程式ID}/ ）

由於安卓data目錄需要root許可權存取，所以需要手機或模擬器root

android模擬器獲取小程式包流程

這裡我用到的是夜神模擬器，登入微信，找到小程式

方法是將複製的內容放到mnt->shared->orther下，就會自動同步到PC端，這是模擬器的共用目錄

解包

工具地址：https://www.jb51.net/softs/603120.html

環境安裝

npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save

執行node wuWxapkg.js xxxxxx.wxapkg

不出意外應該沒啥問題，但意外往往很多。node版本問題，依賴問題等等都有可能導致解包失敗，這個時候就希望懂nodejs的同學深入瞭解小程式的打包壓縮邏輯，然後動手二開專案。不懂的又沒打算往這方面深入研究的怎麼辦呢，那換一個目標唄。

偵錯

開啟微信開發者工具，選擇匯入專案

匯入專案後可能會出現一些程式碼錯誤，需要自己手動修改，沒有錯誤後可以編譯，之後愉快的進行偵錯了

記得在“本地設定”模組，勾選上“不校驗合法域名”功能。

有些小程式包含第三方外掛，而⼩程式外掛直接在微信使用者端內是⽆法搜尋得到的，但我們可以通過登入⾃⼰的⼩程式微信開放平臺賬戶在“設定” —> “第三⽅設定” —> “新增外掛”中搜尋⼩程式外掛。

抓包

簡單來講就是設定全域性代理，讓微信走全域性代理。首先開啟抓包工具，設定好代理，然後修改windows代理設定

就可以抓包分析了

以上就是網路安全滲透測試小程式抓包流程步驟詳解的詳細內容，更多關於網路安全滲透測試小程式抓包的資料請關注it145.com其它相關文章！