前言
没必要说太多,基本上操作是没有什么难度的,这里说一些我遇到的问题与解决方式。首先测试小程序,由于他不像是web,是不能通过查看源代码的方式来查看js代码的,所以需要手动的将小程序源码拿出来,然后简单的看一下有没有什么信息泄露的,比如说泄露个未授权的接口地址啥的
小程序源码存放位置
首先微信小程序不一定非要用真实机的,完全可以使用模拟器进行抓包,使用方式移步微信小程序抓包总结.
这里使用夜神模拟器 安卓5.0版本为例
首先,存放各个小程序的源码位置,理论上只要你登录之后,挨个页面访问一遍,源码就会自动备份在一个目录下
/data/data/com.tencent.mm/MicroMsg/…/appbrand/pkg/
由于每个人的目录名字都是不一样的,,所以使用…代替,我这里的目录位置是:
/data/data/com.tencent.mm/MicroMsg/9bb9000a2dd6679a2d7d23b068b5b269/appbrand/pkg
至于如何去分辨哪个才是你想要的小程序源码,你可以把所有的都删除了,然后重新访问你要测试的小程序,就完全oj8k了
找到源文件后,长按选中你想要拿出去的文件,然后打包,你也可以不打包,或者干脆直接将整个pkg文件夹打包带走
我这里选择的是将整个文件夹压缩带走
我这里遇到的第一个问题就是,data目录使用的是root权限,在我赋予全部的权限后,依然无法成功的将这个我压缩好的文件拿出去,无论是进行微信发送还是收藏还是移动,通通失灵,在琢么了一段时间后,我使用 adb命令将它拷贝走
adb命令类似于pc机的终端窗口,模拟器是不需要独立安装adb的,因为夜神模拟器自带,至于如何去寻找,只需要到夜神模拟器安装的目录下,打开cmd命令行即可,若是不知道自己的模拟器安装位置,可以看下
单击夜神模拟器图标,选择鼠标右键,打开文件所在的位置
而后进入安装位置后,使用cmd命令打开命令行
将虚拟机内文件复制进PC机的命令
adb pull 安卓模拟器内的文件绝对路径 PC机路径
我这里使用的命令是
adb pull /data/data/com.tencent.mm/MicroMsg/9bb9000a2dd6679a2d7d23b068b5b269/appbrand/pkg.tar.gz E:\0day
而后就可以在你选择的文件夹看到你的打包文件,好,第一个环节结束
下载node最新版本,下载反编译文件,安装依赖
安装最新版本node的原因是,npm环境个人电脑是没有的,如果使用低版本的node在使用的时候就会出现这个错误
node下载地址:https://nodejs.org/zh-cn/download/.
下载好node后,需要去github安装反编译文件,这里使用的是
项目地址:https://github.com/xuedingmiaojun/wxappUnpacker/.
将下载好的文件存放后,需要安装依赖,这里建议大家进入到当前文件夹进行依赖的安装,否则你会安装第二遍,,,
npm install
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify
安装好之后,会在项目文件里生成插件
这个时候,将你的wxapkg文件放入至当前目录下,使用命令
node wuWxapkg.js filepath
我这里使用的是
node wuWxapkg.js 1.wxapkg
成功编译后,会在当前目录生成对应的源文件
至此,源码反编译成功