freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

微信小程序源码提取及反编译
微信小程序源码提取及反编译
niubilityA 2022-02-25 16:02:12 135399
所属地 陕西省

本文仅用于记录自身学习过程。

准备工具

1、夜神模拟器

2、node

源码位置

首先,存放各个小程序的源码位置,理论上只要你登录之后,挨个页面访问一遍,源码就会自动备份在一个目录下
/data/data/com.tencent.mm/MicroMsg/…/appbrand/pkg/

/data/data/com.tencent.mm/MicroMsg/3cc9951254f0c03740f2b14e7444d34d/appbrand/pkg

1645775792_62188bb012845fa6a4fdd.png!small?1645775792281

如何区分是自己想要的小程序

通过adb命令删除文件下所有内容。

1645775808_62188bc079f665bba8b24.png!small?1645775808707

重新加载小程序

1645775813_62188bc5e0139153d095b.png!small?1645775814022


提取文件到本地

adb pull /data/data/com.tencent.mm/MicroMsg/3cc9951254f0c03740f2b14e7444d34d/appbrand/pkg.tar.gz D:\xiaocx

1645775825_62188bd14bd499f321230.png!small?1645775825458

试坑:后来发现adbpull 是在adb shell的模式下进行的,需要先退出shell 再运行adb pull。

下载node最新版本,下载反编译文件,安装依赖

node下载地址: https://nodejs.org/zh-cn/download/

node简  介: Node.js 是一个开源和跨平台的 JavaScript 运行时环境。简单的说 Node.js 就是运行在服务端的 JavaScript。

1645775844_62188be4191585e8bc992.png!small?1645775844204

下载好node后,需要去github安装反编译文件,这里使用的是

项目地址:     https://github.com/xuedingmiaojun/wxappUnpacker/

试坑:将下载好的文件存放后,需要安装依赖,这里建议大家进入到当前文件夹进行依赖的安装,否则你会安装第二遍

npm install

npm install esprima

npm install css-tree

npm install cssbeautify

npm install vm2

npm install uglify-es

npm install js-beautify

安装好之后,会在项目文件里生成插件

1645775856_62188bf034ad697328da9.png!small?1645775856399

这个时候,将你的wxapkg文件放入至当前目录下,成功编译后,会在当前目录生成对应的源文件。

使用命令:node wuWxapkg.js filepath

1645775863_62188bf700e86b8b0c524.png!small?1645775863144

查看反编译成功后的文件夹。

1645775868_62188bfc9fe28bbfd3448.png!small?1645775868806

# 渗透测试
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 niubilityA 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
经典项目Tr0ll复现
经典项目Tr0ll复现

Web安全

本次采用Tr0ll经典项目作为靶场,模拟互联网环境,演示从信息收集到最后提权的全过程。

JFH998

237678围观  · 2收藏  · 14喜欢 2022-03-09

网络安全设备相关知识总结 原创
网络安全设备相关知识总结

其他

安全设备1、防火墙

2223

279900围观  · 8收藏  · 33喜欢 2022-03-09

网络安全攻防界的OSCP、CISP-PTE、CISP-PTS、CISP-IRE、CISP-IRS
网络安全攻防界的OSCP、CISP-PTE、CISP-PTS、CISP-IRE、CISP-IRS

资讯

关注网络安全攻防领域的筒子们,肯定对OSCP、CISP-PTE、CISP-PTS、CISP-IRE、CISP-IRS不陌生,但是关于他们直减...

网安民工

520347围观  · 3收藏  · 27喜欢 2022-03-09

经典项目Raven复现
经典项目Raven复现

Web安全

本次采用Raven经典项目作为靶场,模拟互联网环境,演示从信息收集到最后提权的全过程。

JFH998

156615围观  · 1收藏  · 20喜欢 2022-03-23

sqlite注入基础
sqlite注入基础

Web安全

Sqlite数据库的特点是它每一个数据库都是一个文件,当你查询表的完整信息时会得到创建表的语句,基本和mysql差不多。

掌控安全EDU

201801围观 2022-03-08

niubilityA LV.3
这家伙太懒了,还未填写个人描述!
  • 7 文章数
  • 3 关注者
reGeorg+proxychains达到内网横向效果
2023-02-03
利用模拟器抓取微信小程序及APP包
2022-02-25
cobalt strike各种使用方式
2022-02-25
文章目录
准备工具
    源码位置