- 1realsense D455深度相机+YOLO V5结合实现目标检测(一)_d455 深度图
- 2Powershell检测并启动多个服务
- 3c++冒泡排序代码_C/C++之冒泡排序详解!代码图文并茂,简单易懂!
- 4IDEA/SVN-IDEA集成SVN以后,拉取或者提交代码时,弹出框提示Authentication required,要求输入证书路径和证书密码Path to certificate_svn authentication required
- 5冯诺依曼体系的认识、来源、原理、组成、功能和特点_头歌冯·诺依曼体系结构及工作原理理解答案
- 6使用SetUnhandledExceptionFilter转储程序崩溃时内存DMP注意事项_mfc setunhandledexceptionfilter
- 7让资深猎头-GPT帮你修改简历,Get 心动的offer_gpt3.5能修改简历吗
- 8DPDK概览
- 9openwrt 锐捷 单线多拨_openwrt单线多拨
- 10python异常处理练习题_1_对于except字句的排列,下列哪种是正确的
微信小程序逆向 -- 易推无水印_微信小程序的code逆向是怎么生成的
赞
踩
微信小程序逆向案例 – 易推无水印
前言:
②网页结构的变化较多,代码的可用周期较短,仅作学习分享思路
③如有侵权,请联系我删除!!谢谢
所需工具:
- Node环境
- 安卓模拟器
- appium
- wxappUnpacker
- 微信开发者工具
参考blog:
正文
私以为微信小程序可以简单的理解为:微信在内部封装了一个浏览器并提供了一下接口API供开发者开发网页, 且微信提供一套类似于Vue的框架帮助你快速开发。,最终以APP中小程序的形式呈现。
以夜神模拟器(安卓版本5,微信版本7.0.17)为例,当我们打开一个小程序时,该小程序的前端都会以wxapkg的压缩包形式下载到本地,例如浏览器中的Source资源,会在本地有一个缓存。具体位置在
/data/data/com.tencent.mm/MicroMsg/016407466c27a6a659baa3d49bead133/appbrand/pkg
- 1
其中016407466c27a6a659baa3d49bead133为微信用户的个人文件夹,每登入一个用户用户都会创建一个文件夹用于缓存用户的个人信息。
一个能够快速找到的方法是根据时间,一般你在模拟器中登陆微信,这个由于写入缓存这个文件的最后操作时间就会更改为离你最近的时间,我们可以依次更快的定位到当前登录账号的缓存文件。
adb pull可以实现安卓与PC的文件传输,我们在安卓手机中长按小程序的wxapkg将其打包为一个zip压缩包,之后通过adb pull将其传输到PC端。
# 电脑发文件到手机
adb push <电脑路径> <手机路径>
# 手机发文件到电脑
adb pull <手机路径> <电脑路径>
- 1
- 2
- 3
- 4
- 5
由于这个wxapkg的目录比较深这边提供一个更快速的方法
adb shell
#进入adb shell 如果爆连接设备不唯一就指定设备
#进入到shell 之后就和Liunx的操作一致我们可以通过cd + tab补全快速定位到wxapkg所在目录
之后复制所需的路径就好了
adb pull 安卓端文件路径 PC端路径
- 1
- 2
- 3
- 4
- 5
- 6
传输完成后将其解压得到wxapkg就可以使用wxappUnpacker进行反编译了,在反编译之前需要下载wxappUnpacker所需要的第三方依赖
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify
npm install escodegen
npm install cheerio
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
反编译结果如下:
至此我们就获得了小程序的源码,在这里我们使用微信开发者工具进行动态调试。关于易推的小程序端抓包分析在这就不多做讲解了,易推返回数据的接口为
# 视频解析接口
https://api8.177dot.com/Video/GetVideoInfo
#请求荷载的data:
- 1
- 2
- 3
| key | value |
|---|---|
| text | http://xhslink.com/F3Ia3b,复制本条信息,打开【小红书】App查看精彩内容! |
| code | 083kyIll25LuT64SH9ol20kDyy1kyIlH |
| versionCode | 102 |
| appId | wx9bd0e7e316a31f28 |
| sign | 4944D6A79B4F3A3716CD67387E75745B |
其中字段text黏贴的解析文本,code、versionCode、appId、sign未知。
在微信开发者工具中打开后呈如下样式,我们和谷歌浏览器一样ctrl shift F全局搜索这几个字段code、versionCode、appId、sign,结果如下:
其中versionCode、appId为固定的 ,一个是小程序版本号,一个是小程序IP(唯一),code、sign未知,我们在微信开发者工具的network网络管理中查看GetCideoInfo的调用栈可以清晰的发现:
打下断点其中e就是我们所需要的code,s为我们复制的文本和code的字典,在formParmas之后s变为
s:
{
text: "http://xhslink.com/F3Ia3b,复制本条信息,打开【小红书】App查看精彩内容!",
code: "013BSP000QQDyL1NOh300mhr1r2BSP0Z"
}
t.formParmas(s):
{
appId: "wx9bd0e7e316a31f28"
code: "013BSP000QQDyL1NOh300mhr1r2BSP0Z"
sign: "365D449E46A0EAE13CEE94533AA0E59C"
text: "http://xhslink.com/F3Ia3b,复制本条信息,打开【小红书】App查看精彩内容!↵"
versionCode: "102"
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
进行到这里我们需要做的是向上追朔code=e,中code如何生成的,向下逆向t.formParmas(s)的加密函数。
最后你会得到:code为wx.Login生成的临时登录身份,有效期为5min(详情看微信小程序开发文档),sign为md5加密。
