1.安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书2.安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书——微信7.0以下已无法使用3.安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表然后tmd发现不可以抓包了,换了两个安卓7.0以下版本的模拟器都不可以抓包了。开启代理点击小程序就提示【运行环境加载失败】,关闭代理就正常了。看来低版本安卓也需要配置证书才行。发现Cherles【茶杯】也不能抓取微信小程序数据包了但是Proxifier+Burpsuite还可以抓取小程序数据包免责声明:不得将小程序反编译源码程序和反编译图片素材挪作商业或盈利用使用教程地:https://www.kancloud.cn/ludeqi/xcxzs/2607637最新版下载地址:https://xcx.siqingw.top/xcx.zip下载:http://nodejs.cn/download/2.解压工具之后,来到根目录,右键使用管理员权限运行,成功启动工具4.来到\WeChat Files\Applet\目录,Ctrl+A 删除里面的小程序运行缓存5.打开要抓包的小程序,\WeChat Files\Applet\目录就会生成该小程序的运行缓存6.进入生成的目录,有一个.wxapkg文件。使用工具——选择解压文件——打开7.选择解压文件打开后——刷新反编译包——选择反编译包——新版反编译——成功反编译小程序8.工具反编译小程序成功的时候提示:小程序有分包,让我们将分包找出来再次反编译。再次进入到生成的小程序缓存目录,可以看到只要一个.wxapkg文件点击目标小程序的各个功能点,可以看到目录下又生成了两个.wxapkg文件,这两个.wxapkg文件就是分包。再次使用反编译工具——选择生成的分包文件反编译即可得到分包的小程序源码。9.反编译成功,小程序源码放在工具根目录的wxpack文件夹下对应的APPID目录10.成功获取源码,接下来就可以打开源码,进行一些资产收集和白盒安全测试![]()
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NzUzNzk1Mw==&mid=2247496625&idx=1&sn=e6c89a8e27efcc05e0c30fbe644ee048&chksm=cf30c987db1595fafb5889dfd321cc6d9a128d43ec7a558daf34dc751894f865d048bca10422&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh