讲点屁话

好像有点时间没有写“文章”（姑且算这些玩意为文章）了，一来确实没啥心情写，5月19日令我痛彻心扉呐，可恶。二来半年多来把更多的时间花在了挖洞（捡垃圾）这方面，拿钱确实还是香的，从一开始的几十到后面的几千，过程中学习到很多，算是记录下。

小程序

挖的很多洞几乎都是从小程序这里挖的，我个人偏好测小程序，总是能有惊喜的。

抓包相关

关于小程序的抓包可以根据个人喜好来，可以模拟器，真机代理抓包，也可以在PC下直接抓。
这里还是着重讲讲PC端的。
首先是windows下，比较简单，证书配置好后挂上全局http代理就能抓。

然后点开小程序就能抓到包了。

mac下稍微麻烦一点点。
需要先配置下proxifier，也可以根据现在有些文章写的直接用微信自带的代理配合全局代理，也是根据个人喜好就行。

路径如下：

/Applications/WeChat.app/Contents/MacOS/

mac下的微信没有直接的小程序入口，要转发后才能在聊天框点开。

然后开始抓包：

然后就是愉快的挖洞。

解包相关

这里解包也是根据个人喜好来，喜欢用模拟器，真机去拖到本地解也行，也可以pc直接解，各有各的好。我一般都是直接PC解。
win下的小程序会放在一个固定的目录下。

由于PC端的小程序包还经过一次AES加密，需要进行两次解包，都是有工具的。

第一次解密后会生成对应的小程序包，然后再正常用解包脚本。

然后就是导入开发者工具，调试即可。
还需要注意一些点，这里的域名信任，还有库版本，尽可能让console没有报错。

公众号相关

很多情况下公众号链接只能在微信自带的浏览器里访问，微信自带的浏览器阉割过，没有F12,前端不好调试，这时候要加点料。
测了很多，最后只能是把微信版本退回3.2.1.x才解决。
然后下载devtools_resources.pak，用来开启调试模式。
安装好登录下，生成对应目录。
然后把devtools_resources.pak分别放到对应目录下：

C:\Users\xxx\AppData\Roaming\Tencent\WeChat\All Users\CefResources\2589

还有一个放到安装目录（看个人安装位置）下，这里我没放，也能用：

C:\Program Files (x86)\Tencent\WeChat

然后修改启动命令：

"C:\Program Files (x86)\Tencent\WeChat\WeChat.exe" -remote-debugging-port=8000

重新登陆后找个公众号的页面看看右键是不是有show DevTools，有就可以愉快的调试了。

总结

简单讲了下小程序公众号调试相关的内容，前端还是值得深挖的，更多的时候需要花时间去解密对应的data，越权就能信手拈来。