小程序反編譯以及抓包滲透測試

前言

隨著微信pc端可以點擊進入小程序以及公眾號，給我們抓包帶來了極大的便利，以下主要講解微信小程序的抓包以及反編譯（公眾號抓包也一樣）

小程序反編譯

由于近期需要測試小程序但是抓包發現前端傳參都是加密的狀態，根本無從下手，所以嘗試進行反編譯，看看是否從源碼中找到一些泄露的關鍵信息。

第一步：安裝微信pc端，登錄后點擊設置找到，文件管理處，點擊打開。

第二步：點擊小程序，加載小程序，同時查看下的文件夾中增加了哪個（如果怕不好看可以刪除帶wx開頭的文件夾）

第三步：加載完后進入小程序的保存位置在\WeChatFiles\Applet\小程序id\一個數字目錄\_APP_.wxapkg文件

第四步：現在的這個pkg是加密的，需要使用解密工具進行解密。(有的是未加密的)

第五步：解密后會在同目錄的wxpack下生成一個新的wxapkg，這是使用反編譯的工具對其進行反編譯即可。會生成一個目錄，其中就是一些反編譯的js文件等。

小程序和公眾號抓包

目前微信支持在pc端打開公眾號和小程序，我們只需要全局代理到bp上即可。

Mac具體操作

1. 首先連接一個wifi，然后點擊設置高級，找到代理，在http和https代理那選擇bp的端口即可。

選擇好以后點擊確認，然后點擊應用。這時即可完成抓包了。（如果你本身設置有vps，可能會沖突，建議關閉vps。）

Windows操作

1. windows直接設置--》網絡和Internet，找到代理，打開設置為bp的端口即可。