1.前言

​ 由于小程序的便捷性,越来越多的应用迁移到了了小程序上,由此伴随着小程序上线前的日常渗透测试工作也开始增加。但小程序的测试中经常会遇到数据包被加密了,导致无法进行改包测试。和测试网页数据包加密一样,就需要找到小程序前端相应的加解密方法进行加解密数据包改包测试。

2.小程序前端源码提取

​ 不同于网页f12查看网页源码即可查看搜索相应加解密函数,小程序虽然也是三大组件但其前端源码存放在微信安装包的wxapkg包中,我们需要使用一个root设备提取处相应的wxapkg包,并还原出前端源码。文件一般位于 /data/data/com.tenc ent.mm/MicroMsg/appbrand/pkg/(安卓系统,以下测试都在安卓机下进行)目录下。

​ 提取的时候需要准备一台root手机或使用夜神等模拟器均可,然后使用adb进入/data/data/com .tencent.mm/MicroMsg/appbrand/pkg/,提取相应的文件。由于wxapkg的命名时随机的,可以使用ls -al 命令根据你所安装小程序时间来判断提取相应小程序的wxapkg包。.wxapkg是一个二进制文件,有其自己的一套结构,具体可以参考该链接