Day18：信息打點(diǎn)-小程序應(yīng)用&解包反編譯&動(dòng)態(tài)調(diào)試&抓包&靜態(tài)分析&源碼架構(gòu)

1年前作者：Dao-道法自然分類：Toy博客閱讀(28)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Day18：信息打點(diǎn)-小程序應(yīng)用&解包反編譯&動(dòng)態(tài)調(diào)試&抓包&靜態(tài)分析&源碼架構(gòu)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

小程序獲取-各大平臺(tái)&關(guān)鍵字搜索

小程序體驗(yàn)-凡科建站&模版測試上線

小程序抓包-Proxifier&BurpSuite聯(lián)動(dòng)

小程序逆向-解包反編譯&動(dòng)態(tài)調(diào)試&架構(gòu)

思維導(dǎo)圖

章節(jié)知識(shí)點(diǎn)

Web：語言/CMS/中間件/數(shù)據(jù)庫/系統(tǒng)/WAF等

系統(tǒng)：操作系統(tǒng)/端口服務(wù)/網(wǎng)絡(luò)環(huán)境/防火墻等

應(yīng)用：APP對(duì)象/API接口/微信小程序/PC應(yīng)用等

架構(gòu)：CDN/前后端/云應(yīng)用/站庫分離/OSS資源等

技術(shù)：JS爬蟲/敏感掃描/端口掃描/源碼獲取/接口泄漏等

技術(shù)：APK反編譯/小程序解包反編譯/動(dòng)態(tài)調(diào)試APP&小程序等

技術(shù)：指紋識(shí)別/Github監(jiān)控/CDN繞過/WAF識(shí)別/蜜罐識(shí)別等

小程序獲取-各大平臺(tái)&關(guān)鍵字搜索

-微信
-百度
-支付寶
-抖音頭條

直接搜索尋找

小程序體驗(yàn)-凡科建站&模版測試上線

凡科快速搭建小程序

測試：https://qz.fkw.com/

參考：https://blog.csdn.net/qq_52445443/article/details/122351865

小程序結(jié)構(gòu)
1.主體結(jié)構(gòu)
小程序包含一個(gè)描述整體程序的 app 和多個(gè)描述各自頁面的 page。
一個(gè)小程序主體部分(即app)由三個(gè)文件組成，必須放在項(xiàng)目的根目錄，如下：
? ? 文件 ? ? ? ? ? ? ? ? 必需 ? ? ? ? ? ? ? 作用 ? ?
? ? app.js ? ? ? ? ? ? ? 是 ? ? ? ? ? ?小程序邏輯
? ? app.json ? ? ? ? ? ? 是 ? ? ? ? ? ?小程序公共配置
? ? app.wxss ? ? ? ? ? ? 否 ? ? ? ? ? ?小程序公共樣式表

2.一個(gè)小程序頁面由四個(gè)文件組成，分別是: ? ??
? ? xxx.js ? ? ? ?頁面邏輯
? ?xxx.json ? ? ?頁面配置
? ? xxx.wxml ? ? ?頁面結(jié)構(gòu)
? ? xxx.wxss ? ? ?頁面樣式

3.項(xiàng)目整體目錄結(jié)構(gòu)
? ? pages ? ? ? ? ? ? ? ?頁面文件夾
? ? index ? ? ? ? ? ? ? ?首頁
? ? logs ? ? ? ? ? ? ? ? 日志
? ? utils ,?util ? ? ? ? ? ? ? ? 工具類(mina框架自動(dòng)生成,你也可以建立一個(gè)：api)
? ? app.js ? ? ? ? ? ? ? 入口js(類似于java類中的main方法)、全局js
? ? app.json ? ? ? ? ? ? 全局配置文件
? ? app.wxss ? ? ? ? ? ? 全局樣式文件
? ? project.config.json ?跟你在詳情中勾選的配置一樣
? ? sitemap.json ? ? ? ? 用來配置小程序及其頁面是否允許被微信索引
?

小程序抓包-Proxifier&BurpSuite聯(lián)動(dòng)

對(duì)抓到的IP或域名進(jìn)行Web安全測試
對(duì)抓到的IP或域名進(jìn)行API安全測試
對(duì)抓到的IP或域名進(jìn)行端口服務(wù)測試

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

小程序逆向-解包反編譯&動(dòng)態(tài)調(diào)試&架構(gòu)

對(duì)源碼架構(gòu)進(jìn)行分析
更多的資產(chǎn)信息
敏感的配置信息
未授權(quán)訪問測試
源碼中的安全問題

相關(guān)工具：

小程序多功能組手
復(fù)雜操作：https://www.cnblogs.com/oodcloud/p/16964878.html
簡單工具：http://xcx.siqingw.top/
-微信官方開發(fā)工具
https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

首先下載小程序助手和微信小程序官方開發(fā)工具

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

首先打開微信小程序包的相關(guān)目錄D:\WeChat Files\Applet

微信設(shè)置→文件管理→即可找到目錄

將里面wx開頭的微信小程序生成的緩存包全部刪除（便于后期確認(rèn)哪個(gè)是目標(biāo)緩存包）
再次打開小程序，查看目錄下出現(xiàn)目標(biāo)緩存包，點(diǎn)擊進(jìn)入直到找到APP.wxapkg以此尾綴結(jié)尾的如果出現(xiàn)多個(gè)，記得把a(bǔ)pp.wxapkg排序到最前即可

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

如果有多個(gè)全選打開，_APP_.wxapkg為首個(gè)

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

一般選擇新版反編譯，如果看著小程序比較老舊就選擇舊版反編譯

解包成功后再刷新

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

選中后進(jìn)行反編譯，文件目錄下出現(xiàn)反編譯源碼，還可以再修復(fù)一下源碼

打開微信官方開發(fā)工具，并拉入反編譯好的源碼即可

然后點(diǎn)擊微信開發(fā)者工具，默認(rèn)即可

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

如果出現(xiàn)大面積報(bào)錯(cuò)無內(nèi)容，點(diǎn)擊詳情→本地設(shè)置→取消勾選將JS編譯為ES5即可

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

點(diǎn)擊可視化

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

點(diǎn)擊左上角可視化，并打開源碼目錄，點(diǎn)擊list下的list.wxml發(fā)現(xiàn)頁面跳轉(zhuǎn)

點(diǎn)擊index.wxml發(fā)現(xiàn)又跳轉(zhuǎn)回首頁頁面，點(diǎn)擊category.wxml發(fā)現(xiàn)頁面跳轉(zhuǎn)到欄目頁面

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

打開轉(zhuǎn)發(fā)工具和burp進(jìn)行抓取小程序的數(shù)據(jù)包，在首頁源碼中進(jìn)行對(duì)抓包內(nèi)容檢索，發(fā)現(xiàn)一一對(duì)應(yīng)，例如：icl/2 在源碼找得到

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

仔細(xì)檢閱源碼可以發(fā)現(xiàn)，其中回泄露一些資源如：域名，圖片等資產(chǎn)
還可能回遇到繞過授權(quán)，直接訪問到資產(chǎn)信息的情況
還可以在源碼嘗試全局搜索，Accesskey，查看是否泄露oss的密鑰

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全

思維導(dǎo)圖

小程序動(dòng)態(tài)調(diào)試,信息收集,Web安全文章來源地址http://www.zghlxwxcb.cn/news/detail-845824.html

到了這里，關(guān)于Day18：信息打點(diǎn)-小程序應(yīng)用&解包反編譯&動(dòng)態(tài)調(diào)試&抓包&靜態(tài)分析&源碼架構(gòu)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

安全學(xué)習(xí)DAY16_信息打點(diǎn)-CDN繞過
超級(jí)Ping：http://www.17ce.com/ 超級(jí)Ping：https://ping.chinaz.com/ 接口查詢：https://get-site-ip.com/ 接口查詢：https://fofa.info/extensions/source 國外請(qǐng)求：https://tools.ipip.net/cdn.php 國外請(qǐng)求：https://boce.aliyun.com/detect/ IP社區(qū)庫：https://www.cz88.net/geo-public 全網(wǎng)掃描：https://github.com/Tai7sy/fuckcdn 全網(wǎng)掃描
2024年02月12日
瀏覽(18)
安全學(xué)習(xí)DAY17_信息打點(diǎn)-語言框架&組件識(shí)別
cms指紋識(shí)別工具-本地工具： https://github.com/newbe3three/gotoscan 漏洞平臺(tái)靶場（靶場功能好像不能用了 https://vulfocus.cn/ https://vulhub.org/ 52類110個(gè)主流Java組件和框架介紹： https://blog.csdn.net/agonie201218/article/details/125300729 Fastjson/Jackson組件的判斷 https://forum.butian.net/share/1679 工具箱 ONE-
2024年02月12日
瀏覽(28)
013-信息打點(diǎn)-Web應(yīng)用&源碼泄漏&開源閉源&指紋識(shí)別&GIT&SVN&DS&備份
0、Web架構(gòu)資產(chǎn)-平臺(tái)指紋識(shí)別 1、開源-CMS指紋識(shí)別源碼獲取方式 2、閉源-習(xí)慣配置特性等獲取方式 3、閉源-托管資產(chǎn)平臺(tái)資源搜索監(jiān)控演示案例： ?后端-開源-指紋識(shí)別-源碼下載 ?后端-閉源-配置不當(dāng)-源碼泄漏 ?后端-方向-資源碼云-源碼泄漏標(biāo)簽名稱地址指紋識(shí)別在線
2024年01月21日
瀏覽(52)
第13天：信息打點(diǎn)-Web應(yīng)用&源碼泄漏&開源閉源&指紋識(shí)別&GIT&SVN&DS&備份
標(biāo)簽名稱地址指紋識(shí)別在線 cms 指紋識(shí)別 http://whatweb.bugscaner.com/look/ 指紋識(shí)別 Wappalyzer https://github.com/AliasIO/wappalyzer 指紋識(shí)別 TideFinger 潮汐 http://finger.tidesec.net/ 指紋識(shí)別云悉指紋 https://www.yunsee.cn/ 指紋識(shí)別 WhatWeb https://github.com/urbanadventurer/WhatWeb 指紋識(shí)別數(shù)字觀星 Finger-P
2024年04月14日
瀏覽(22)
移動(dòng)應(yīng)用安全合規(guī)動(dòng)態(tài)：網(wǎng)信辦發(fā)布2大重磅文件！《兒童智能手表個(gè)人信息和權(quán)益保護(hù)指南》發(fā)布；iOS出現(xiàn)0 day漏洞（第2期）
一、監(jiān)管部門動(dòng)向：網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》、《粵港澳大灣區(qū)（內(nèi)地、香港）個(gè)人信息跨境流動(dòng)標(biāo)準(zhǔn)合同實(shí)施指引》；《兒童智能手表個(gè)人信息和權(quán)益保護(hù)指南》愛加密深度參編！二、安全新聞：蘋果\\\'Lockdown Mode\\\'的破解之法被發(fā)現(xiàn)；中國
2024年02月03日
瀏覽(633)
Java：Jar包反編譯，解壓和壓縮
1、簡述 JAR 文件就是 Java Archive （ Java 檔案文件），它是 Java 的一種文檔格式。 JAR 文件非常類似 ZIP 文件。準(zhǔn)確的說，它就是 ZIP 文件，所以叫它文件包。JAR 文件與 ZIP 文件唯一的區(qū)別就是在 JAR 文件的內(nèi)容中，多出了一個(gè)META-INF/MANIFEST.MF 文件，這個(gè)文件是在生成 JAR 文件的時(shí)
2024年02月14日
瀏覽(13)
idea：jar包反編譯成java文件
步驟： 1.根據(jù)安裝的idea找到如下路徑 2.將所需的jar包放到同目錄下，并創(chuàng)建與jar包名稱相同的空文件夾? 3.在java-decompiler.jar包中在導(dǎo)航欄輸入cmd進(jìn)入命令提示符中 4。在命令提示符中輸入如下代碼： ????????java -cp \\\"D:ideaIntelliJ IDEA 2021.3.3pluginsjava-decompilerlibjava-decompil
2024年02月12日
瀏覽(15)
jar包反編譯工具（java-decompiler）
下載地址：http://java-decompiler.github.io/ 優(yōu)點(diǎn)：反編譯的源代碼基本符合，沒有亂七八糟新增的修飾符缺點(diǎn)：反編譯過程耗時(shí)較長（50MB需要10分鐘左右） ? ? ? ? ? ?無法還原內(nèi)部類可以查看對(duì)應(yīng)的class文件導(dǎo)出源代碼：點(diǎn)擊file - Save All Sources按鈕進(jìn)行導(dǎo)出下載地址：Release L
2024年02月08日
瀏覽(22)
微信小程序逆向小程序包使用unveilr工具解包后在開發(fā)者工具報(bào)[ WXML 文件編譯錯(cuò)誤] xxx.wxs Unexpected token `}`
微信小程序逆向使用解包工具后后在開發(fā)者工具報(bào)[ WXML 文件編譯錯(cuò)誤] xxx.wxs Unexpected token } 頁面上則報(bào)編譯.wxml文件錯(cuò)誤… 解決方案：很簡單，因?yàn)槭墙獍鰜淼?，一般代碼都是沒有錯(cuò)的，我們只需要微信微信開發(fā)者工具中的資源管理器或者其他地方，找到這個(gè)文件，然后
2024年02月08日
瀏覽(92)
Jar包反編譯，修改代碼后，重新打jar包
最近遇到一個(gè)問題，需要把現(xiàn)有的jar包反編譯成java代碼，然后運(yùn)行，測試，修改后再次打jar包。并不復(fù)雜的項(xiàng)目，只是一個(gè)很簡單的main方法，并不是spring項(xiàng)目?？赡苁侵暗拈_發(fā)走了，然后代碼丟失了，只剩下客戶那邊有一個(gè)用的jar包。 jar包：xxx-0.0.1-SNAPSHOT-jar-with-dependen
2023年04月08日
瀏覽(20)