简介
现如今大部分微信小程序抓包看到的数据均是加密的,无法通过常规的业务抓包进行测试,现通过对微信小程序包进行解密,获取到微信小程序源码对加解密算法进行分析。
微信小程序解密
小程序包默认路径:C:\Users\Administrator\Documents\WeChat Files\Applet
如不知道哪个是需要测试的小程序,直接删除以wx开头的文件夹,再打开小程序就会生成对应小程序文件夹,进入文件夹有个“APP.wxapkg”,这为主包。
解密小程序包
解密成功后对生成wxapkg格式的文件进行解包
./bingo.bat testpkg/master-xxx.wxapkg
微信小程序JS逆向分析
用pycharm打开文件夹,通过对文件进行分析,加解密算法在app-service.js中
获取到小程序源码包可以利用微笑小程序开发工具进行调试,也可以直接分析代码文件
在js文件中直接检索encrypt和decrypt
例如检索encrypt,一共检索到5条数据
通过分析找到加密算法函数与解密算法函数,以及对应加密的KEY值
加解密算法是AES,填充选的是PKCS7
在网上搜索AES加解密工具,我选的是https://lovefree.cc/aes
验证加解密算法
通过修改个人信息
提交的加密数据解密后的结果,除了NickName以外其他数据均是固定值
服务器返回的数据解密,通过返回的数据分析,提交的修改操作已经成功
