1.    道可道,⾮常道。想要全⾯的对微信⼩程序展开渗透⼯作,光会通过微信接⼝收集信息是不⾏的,只会在⼿机上抓包测试也是不够全⾯的,必须要对微信中⼩程序的数据包彻底了解才可⼊其理访其道。

1.环境准备

1.1 设备准备

⼀台已经ROOT的安卓设备/模拟器或⼀台已经JAILBREAK的iOS设备/模拟器

1.2 小程序准备

在模拟器上下载微信并登录之后找到对应的小程序点击打开
**

2.提取小程序

  1. 安卓保存路径:/data/data/com.tencent.mm/MicroMsg/{⽤户ID}/appbrand/pkg/
  2. iOS保存路径:/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{⽤户ID}/WeApp/LocalCache/release/{⼩程序ID}/

2.1 找到目标小程序的包

  1. cd /data/data/com.tencent.mm/MicroMsg/6b77dc0f07256d3361779e461c331aae/appbrand/pkg/
  2. ls
  3. adb pull _-1731742383_138.wxapkg

image.png

2.2 提取目标小程序的包

  1. adb pull /data/data/com.tencent.mm/MicroMsg/6b77dc0f07256d3361779e461c331aae/appbrand/pkg/_-1731742383_138.wxapkg

image.png

3.解包

wxappUnpacker 解包⼯具
下载地址:https://data.hackinn.com/tools/wxappUnpacke r.zip,此下载包为⼆次优化版本
需要提前安装nodejs
node wuWxapkg.js ⼩程序包名
image.png

4.导入开发环境

在解包完成之后,我们需要做的便是打开微信⼩程序开发者⼯具,选择“导⼊项⽬”,“AppID”选择测试号 并导⼊;接着来到“本地设置”模块,勾选上“不校验合法域名”功能就⼤功告成,可以愉快的开始调试对应 ⼩程序的源码了。
微信开发工具下载:https://developers.weixin.qq.com/miniprogram/dev/devtools/download.html
image.png
5.参考
https://mp.weixin.qq.com/s/4BerA1Ij3BfMeg2LA0cm5g 微信小程序的渗透五脉(访道篇)