第90天:小程序篇&反编译&外在抓包&主包分包&配置泄漏&算法逆向&未授权

有些项目已经过时了,所以这里我用现在还用的比较顺手的反编译项目。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
├─ __APP__.wxapkg       # 小程序主包(若分包则有多个 wxapkg 文件,如 __SUBPACKAGE1__.wxapkg)
├─ app.js               # 小程序入口逻辑文件
├─ app.json             # 小程序全局配置文件
├─ app.wxss             # 小程序全局样式文件
├─ pages/               # 页面目录(存放所有页面的代码)
│  ├─ index/            # 首页(示例页面,每个页面一个独立文件夹)
│  │  ├─ index.js       # 页面逻辑(生命周期、事件处理等)
│  │  ├─ index.json     # 页面配置(导航栏标题、窗口样式等)
│  │  ├─ index.wxml     # 页面结构(类似 HTML 的模板语言)
│  │  └─ index.wxss     # 页面样式(仅作用于当前页面)
├─ components/          # 自定义组件目录(可复用的 UI 组件)
│  ├─ button/           # 自定义按钮组件(示例)
│  │  ├─ button.js      # 组件逻辑
│  │  ├─ button.json    # 组件配置(声明组件身份)
│  │  ├─ button.wxml    # 组件结构
│  │  └─ button.wxss    # 组件样式
├─ utils/               # 工具函数目录(通用逻辑,如日期处理、接口请求)
│  └─ request.js        # 接口请求封装(如 wx.request 二次封装)
├─ assets/              # 静态资源目录(图片、字体、音频等)
│  ├─ images/           # 图片资源(png/jpg/svg 等)
│  └─ fonts/            # 自定义字体文件
├─ config/              # 配置文件目录(接口地址、常量等)
│  └─ api.js            # 接口地址常量(如 baseUrl、接口路径)
└─ sitemap.json         # 小程序搜索配置(控制微信索引页面)

image-20250903220051454

image-20250903220103077

还有一个微信配合burp进行抓包,前面也有说过,所以这里不在赘述。

Fine

全自动化,可以针对微信4.0。同时兼容微信3.0

非常推荐:https://github.com/fasnow/fine/releases/tag/2.5.4,src就靠这玩意出洞了。

image-20250903205955884

只能微信3.x

Wedecode

1
https://github.com/biggerstar/wedecode

需要安装nodejs环境。

image-20250903211114580

1
2
3
4
# window
  npm i wedecode -g
# mac
  sudo npm i wedecode -g

安装完成之后,直接输入:

1
wedecode

image-20250903211626583

可以直接进入引导,然后自动化进行操作。

1
2
3
4
5
6
7
8
9
10
# 手动指定一个包
  wedecode ./name.wxapkg
# 或者  编译当前命令行所在文件夹内的所有包
  wedecode ./
# 或者  编译当前命令行所在文件夹下名为 dirname 文件夹的所有包
  wedecode ./dirname
# 或者: 将编译结果输出到指定目录 --out 为输出目录
  wedecode ./  --out ./output_path
# 你也可以预设任意命令行参数, 在交互时将不会向您提问, 例如
  wedecode --out output_path --clear --open-dir

如果需要解密:

1
有的需要解密一下,就用他目录中的这个exe进行解密即可

image-20250903214813580

e0e1-wx

1
https://github.com/eeeeeeeeee-code/e0e1-wx

需要先在config.json这个配置文件中配置微信的文件地址

image-20250903220344183

1
2
python3 e0e1-wx.py -r
#打开你要测试的小程序,自动进行反编译,和第一个项目差不多,推荐~

image-20250903223726956

wxapkg

1
2
3
4
5
#项目地址
https://github.com/wux1an/wxapkg

#用法
wxapkg.exe scan		#执行之后就会出现下图,然后选择就可以了

image-20250905170741313

image-20250905170957830

image-20250905170942742

KillWxapkg

1
https://github.com/Ackites/KillWxapkg

使用教程:

1
KillWxapkg_2.4.1_windows_386.exe -id=wx5c3df6cf0cec1c20 -in="C:\Users\win\Documents\WeChat Files\Applet\wx5c3df6cf0cec1c20\13"

image-20250905172111680

如果没有指定路径,就会在当前目录进行生成。

1
2
#代码美化+指定路径+自动检测敏感信息
KillWxapkg_2.4.1_windows_386.exe -id=wx8346838d39ff83b6 -in="C:\Users\win\Documents\WeChat Files\Applet\wx8346838d39ff83b6\27" -sensitive -pretty -out="./output"

image-20250905172516578