第19天：信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

搜索小程序的地方：

微信，百度，支付宝，抖音头条。

微信小程序：

创建一个自己的小程序

https://i.qz.fkw.com/editor.jsp?_wxappId=101

对他进行授权

然后使用微信进行扫码授权：

这里绑定一下自己的微信号就行了。

然后使用手机扫描上面这个二维码，在手机上打开这个小程序，然后电脑端的最近的小程序就会有这个小程序，就可以在电脑上打开这个小程序。

#小程序抓包--Proxifier&BurpSuite联动
1、对抓到的IP或者域名进行web安全测试
2、对抓到的ip或者域名进行API安全测试
3、对抓到的ip或者域名进行端口服务测试

从上图可以看到这里抓取的就是凡科建站的小程序的数据包

对小程序进行分析

小程序的目录结构

1.主体结构
小程序包含一个描述整体程序的
app 和多个描述各自页面的 page 。
一个小程序主体部分
即 app) 由三个文件组成，必须放在项目的根目录，如下：
文件 必需 作用
app.js 是 小程序逻辑
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表

2.一个小程序页面由四个文件组成，分别是 :
xxx.js 页面逻辑		#（关键性的文件）
xxx.json 页面配置
xxx. wxml 页面结构
xxx.wxss 页面样式

3.项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类 (mina 框架自动生成 你也可以建立一个：
api)
app.js 入口 js( 类似于 java 类中的 main 方法 、全局 js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引

我的路径如下：

C:\Users\Administrator\AppData\Roaming\Tencent\xwechat\radium\Applet\packages

反编译流程：

这里需要注意的是，这个旧反编译和新反编译这个是根据小程序的界面来判断，一般使用新反编译

这里我反编译不出来目录，。。。只能用小迪课上的了。上面大致就是那样首先找到对应的目录，然后再使用这个反编译的工具对他进行反编译，然后得到他的源代码，然后在放到微信开发者工具里面找敏感信息。

如果调试器，出现小程序加载不出页面，就把上面这个勾给去掉。如果点击左边的小程序没有反应可以尝试将可视化开启来。

当开启可视化之后，点击某个代码，然后小程序就会跳转到可以执行的代码。

未授权–隆基

常规来说，一个登录框需要登录才可以进行登录。

还是和前面一样，选择可视化，然后点击一些关键，敏感的文件，看看是否可以访问。

这个小程序是有一个商品订单的页面，然后点击右侧的源码中的订单，左侧可视化就可以直接查看到订单的页面。

当有多个文件的时候，这里要选择APP这个文件名的为第一个。

#小程序逆向-解包反编译&动态调试&架构
对源码架构进行分析
-更多的资产信息
-敏感的配置信息
-未授权访问测试
-源码中的安全问题