0x00 App Penetration Testing Summary Essay
1. Automatic unpacking of app, detection of shell
https://github.com/CodingGay/BlackDex
查壳:ApkScan-PKID
脱壳:BlackDex
2. App automatic decompilation, repackaging, logic modification and cracking, etc.
功能修改&逆向破解
证书签名&重打包等
3. Automatic resource extraction of apk
APK Messenger
4. Summary of the actual combat of WeChat applet capture
安卓系统抓包(微信小程序):
1、安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2、安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书
3、安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
基于上述我们解决的方式如下:
1、将证书安装到系统证书中(需要root)
2、苹果手机(苹果手机不受此影响)
3、采用安卓系统低于7.0的模拟器
4、使用低版本电脑版微信小程序抓包
演示:逍遥模拟器5.1安卓系统微信小程序抓包
演示:夜神模拟器多开5安卓系统微信小程序抓包
演示:真机IPhone-IOS系统微信小程序抓包
条件:抓包本机需要和Iphone手机处于同一WIFI下
Iphone配置wifi的代理,代理设置地址写本地抓包的工具地址和端口
5. Automatic packaging decompilation and auditing of WeChat applets
使用教程地:https://www.kancloud.cn/ludeqi/xcxzs/2607637
最新版下载地址:https://xcx.siqingw.top/xcx.zip