热门标签
热门文章
- 1【C语言】数据结构初阶(每日小细节029)递增的三元子序列,最长递归子序列,除自身以外数组的乘积_c递增序列
- 2Game Physics Cookbook (Gabor Szauer 著)
- 3开源AI图像识别:支持扫描文件批量识别快速对接数据库存储_ocr和ai图像识别技术
- 4CSDN社区简介_csnd社区是什么
- 5分布式架构_分布式转发处理架构
- 6人工智能简史(Rockwell Anyoha )
- 7ssm开发的Java快递代拿系统----计算机毕业设计
- 8基于双向多层次注意力网络的视觉文本情感分类 论文笔记_双向注意力
- 9容器镜像加速指南:探索 Kubernetes 缓存最佳实践
- 10如何使用eNSP连接防火墙_ensp桥接防火墙
当前位置: article > 正文
纯python实现小程序云函数抓包(附完整代码)_个非寻wechathook
作者:小丑西瓜9 | 2024-05-15 00:07:21
赞
踩
个非寻wechathook
原理
其实小程序授权和云函数执行是一回事,和小程序取code也是一回事,调用的call也是同一个,只不过参数不同,而且实际上执行的call和hook结果的call是不一样的,在这里我们使用frida来hook云函数执行的参数和结果。
- 目前其他功能以开发完成,并编译为DLL,具体文档可以看:个非寻的 wechathook 文档
以上仅供学习交流使用。
参数call
首先确定参数的call,逆向找call的过程就不说了,想要知道怎么找call的私聊就好,这里我们HOOK这个wechatwin.3B4E370,此时可以看到ecx的值就是json格式的参数,但实际上我们从这三个连续的call可以猜到,他可能有3个参数,然后我们在堆栈窗口上也能看到,除了json格式的参数以外,还有两个参数(另外一个是重复的),所以这里我们确切的说应该是要hook三个参数出来,实际的测试中还涉及一个task_id的数据,这个数据不为0的,才是真正的参数。这段json数据的偏移是0。
返回结果call
云函数的返回结果我这里hook的是wmpf_host_export.dll这个模块,可以看到,在这里下断之后,在与esi接近的地址中有一段是返回的云函数结果,偏移的0x24
使用frida进行hook
from __future__ import print_function import json import frida import sys def on_message(message, data): conte = json.loads(message['payload']) if conte['task_id'] != 0: print('返回结果:',message['payload']) def on_parameter(message, data): conte = json.loads(message['payload']) if conte.get('task_id',None) != 0: print('参数:', message['payload']) def main(target_process): session = frida.attach(target_process) scriptresult = session.create_script(""" var ModAddress=Process.findModuleByName('wmpf_host_export.dll'); //console.log('ModAdress:' + ModAddress.base); var hookAddress=ModAddress.base.add('0xA5320') Interceptor.attach(hookAddress,{ onEnter:function(args) { //console.log(JSON.stringify(this.context)); var esi=this.context.esi; //var esi1=Memory.readPointer(esi+0x24) var result=Memory.readUtf8String(Memory.readPointer(esi.add('0x24'))); send(result) } }) """) scriptparameter = session.create_script(""" var ModAddress=Process.findModuleByName('WeChatWin.dll'); //console.log('ModAdress:' + ModAddress.base); var hookAddress=ModAddress.base.add('0x54A560') Interceptor.attach(hookAddress,{ onEnter:function(args) { //console.log(JSON.stringify(this.context)); var ecx=this.context.ecx; //var datapoin=Memory.readPointer(ecx) var result=Memory.readUtf8String(Memory.readPointer(ecx)); send(result) } }) """) scriptresult.on('message', on_message) scriptresult.load() scriptparameter.on('message', on_parameter) scriptparameter.load() print("[!] Ctrl+D on UNIX, Ctrl+Z on Windows/cmd.exe to detach from instrumented program.\n\n") sys.stdin.read() session.detach() if __name__ == '__main__': main('wechat.exe')
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
代码中实际的偏移因版本不同而不同,大家只要把对应版本的偏移计算出来就可以直接运行代码。
结果
这里之所以参数和返回结果数量不同,是因为有些参数并不会有产生返回结果,即当task_id等于0的参数,一般不会有返回结果。如果想要获取code和sessionid等的参数可以看我的上一篇文章
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/570673
推荐阅读
相关标签
