Bootstrap

第七十天 APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取

第70天 APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取

在这里插入图片描述

知识点:

0、APK信息资源提取
1、微信小程序致据抓包
2、做信小程序解包反编译

1、信息收集应用8资产提取&权限等
2、漏润发现-反编泽&脱壳&代码审计
3、安全评估组件8散密匙&思意分析

核心点:

0、内在点资产提取&版本&信息等
1、抓包点-反代理8反证书8协议等
2、逆向点-反编译8脱壳8重打包等
3、安全点资产&接口&漏洞&审计等

演示案例:

APP&APK-信息资源文件提取
微信小程序-真机&模拟器数据抓包
微信小程序-PC&模拟器分包反编译

APP&APK-信息资源文件提取

APK Messenger–是本信愿&资源文件&开启权限等
在这里插入图片描述

微信小程序真机&模拟器数据抓包

安卓系统抓包(微信小程序):
1、安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
2、安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书
3、安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
基于上述我们解决的方式如下:
1、将证书安装到系统证书中(需要r00t)
2、苹果手机(苹果手机不受此影响)
3、采用安卓系统低于7.0的横拟器
演示:逍遥模拟器5.1安卓系统微信小程序抓包
思路:模拟器代理转发到burp
演示:夜神模拟器多开5安卓系统微信小程序抓包
演示:真机IPhone-OS系统微信小程序抓包
条件:抓包本机需要和Iphone手机处于同一WIFI下
Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口

安全点:

渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法
分子利用,相当于APP正常服务就会受到直接的影响!
APK-白盒-Java代码审计
APK-黑盒-资产&WEB&IP&接口等
小程序-白盒-Node.JS代码审计
小程序黑盒资产&WEB&P&接口等
开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置
导致攻击者利用app获取到手机的敏感信息等。
弱加密,逻辑安全,授权,中间人等

微信小程序-PC&模拟器分包反编译

1、高富帅版:
欢迎使用多功能小程序助手工具,点击确定开始使用。
免责声明:不得将小程序反编泽源码程序和反编泽图片素材挪作商业或盈利用
使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637
最新版下载地址:https:xcX.siqingw.top/xcx.zip
2、穷屌丝版:
https://github.com/sanriqing/WxAppUnpacker
安装node.js
http://nodejs.cn/download/
安装依赖:
npm install
模拟器取出wxapkg文件:
/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg
反编译解包
node wuWxapkg.js -s=…/xxxx.wxapkg

;