小程序抓包与处理
MAC
- MAC新版本微信使用 Proxifier + burpsuit 抓不到包,就很烦(win可以)
- MAC 版本小程序逆向方法如下,首先找到小程序,在MAC中位置一般如下
/Users/用户名/Library/Containers/com.tencent.xinWeChat/Data/.wxapplet/packages
找到后使用 https://github.com/geilige/wxappUnpacker 进行解包(就是后缀为wxapkg的文件)
wechat_appinfo_wxapkg node wuWxapkg.js -o 2.wxapkg
注意,要是报错的话可能是以下原因: 这些 node.js 程序除了自带的 API 外还依赖于以下包: cssbeautify、CSSTree、VM2、Esprima、UglifyES、js-beautify
您需要安装这些包才能正确执行这些程序,为了做到这一点,您可以执行npm install;另外如需全局安装这些包可执行以下命令:
npm install esprima -g
npm install css-tree -g
npm install cssbeautify -g
npm install vm2 -g
npm install uglify-es -g
npm install js-beautify -g
npm install escodegen -g
这样就获取了解包数据,使用 https://github.com/moyuwa/wechat_appinfo_wxapkg 关键字搜索
WIN
如果是win直接使用 https://github.com/wux1an/wxapkg
关于小程序
我们解包获取的一般长如下图这样
- 寻找路由,拼接路由访问
- 寻找敏感信息(账号密码,key,AccessToken ,appid,secret等信息)
- 抓返回包进行修改偶尔也有效果