小程序逆向分析 (一)

这篇具有很好参考价值的文章主要介绍了小程序逆向分析 (一)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、目标

李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?

奋飞: 你是老板,你说了算喽。

第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。

  • 反编译

  • 静态分析

  • 动态调试

二、步骤

春天在哪里?

app下载回来就是apk包,那么小程序在哪里?

小程序是一个以 wxapkg 为后缀的文件,在android手机的 /data/data/com.tencent.mm/MicroMsg/用户id/appbrand/pkg/ 里面找, 例如在我的测试手机里面就在

/data/data/com.tencent.mm/MicroMsg/9099d679ace11f72569bd530813a28ff/appbrand/pkg 

这个目录下面。可是下面一堆数字命令的文件,哪个才是我们要找的某段子App的小程序呢?

两个办法: . 把所有的小程序都删除,就留一个,那这个文件就是了。 . 把某段子App的小程序删除,然后再重装一下。 看文件日期,最新的就是了。

反编译

wxapkg文件肯定没法直接分析的了,我敢打赌它一定可以反编译出js文件。

github.com/ezshine/wxa…

从releases里面下载他编译好的wxapkg-convertor可执行程序。

把wxapkg文件拖到 wxapkg-convertor 的界面里面可以反编译出js源码出来。

小程序逆向分析 (一)

我们先试试 分析一下这个 websign 的来历

首先搜索一下 websign 字符串

./3AAE21D3932643BF5CC849D4DA8F8236.js:3:if (!e) return console.error("websign arguments error"), "";
./3AAE21D3932643BF5CC849D4DA8F8236.js:6:return n.length < 20 ? (console.error("websign length error"), "") : "v2-".concat(o("".concat(e).concat(o(n))));
./3AAE21D3932643BF5CC849D4DA8F8236.js:98:url: "".concat(n, "/account/nonce?websign=").concat(i(c)),
./3AAE21D3932643BF5CC849D4DA8F8236.js:124:url: "".concat(n, "/account/auth?websign=").concat(i(u)),
./3AAE21D3932643BF5CC849D4DA8F8236.js:178:var ff = "".concat(n).concat(s).concat(e, "?websign=").concat(i(d));
./3AAE21D3932643BF5CC849D4DA8F8236.js:180:url: "".concat(n).concat(s).concat(e, "?websign=").concat(i(d)), 

很幸运,看上去就在这个js里面的 i(d) 函数里。

动态调试

既然反编译出来了js源码,能否动态调试下,这样分析起来更方便了?

答案是可以的,下载 微信开发者工具,把刚才反编译的工程导入进来。

小程序逆向分析 (一)

记得在 设置->项目设置 中把 “不校检合法域名...” 这一项勾上。

这样代码貌似可以跑起来, 我们在 i 函数下个断点,发下它可以进来了。

分析一下

我们调试的时候发现它并没有生成websign,t.h_m为空,导致后面没有生成,这个难不倒我们,从抓包结果里面找一个 h_m的值,写死一下,就顺利跑出结果了。

 var e = t.h_m;
// 修改成
 var e = 257167182;// t.h_m; 

从js代码里看,i函数里面最后调用了o(n), 而

o = require("E5CA98B6932643BF83ACF0B13A9F8236.js").md5 

这么明显的md5,我们来试试,在i函数里面加一个代码

var t1Use = o("123456"); 

首先在Mac下我们算下结果

ffNewMac:Downloads fenfei$ md5 -s 123456
MD5 ("123456") = e10adc3949ba59abbe56e057f20f883e 

然后再调试下这个工程,看看t1Use的值

小程序逆向分析 (一)

确认过眼神,就是MD5。

三、总结

搞个新玩意的时候,先找个软柿子捏,不要一下就想放个大卫星。

能反编译,然后再动态调试,那么曙光就在眼前。

这个样本运气好,肉眼就可以看出是md5,复杂的js算法,可以考虑 PyExecJS、js2py or Node.js 来跑。

小程序逆向分析 (一)

所有的故事都会有结局,只有生活跟你没完。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

络安全入门学习路线

其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。

1.网络安全法和了解电脑基础

小程序逆向分析 (一) 其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 小程序逆向分析 (一) 当然你也可以看下面这个视频教程仅展示部分截图小程序逆向分析 (一) 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

小程序逆向分析 (一)

3.入手Web安全

web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 小程序逆向分析 (一) 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。

最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。

等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 小程序逆向分析 (一) 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。

其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。

4.安全体系

小程序逆向分析 (一) 不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。

所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦!小程序逆向分析 (一)文章来源地址https://www.toymoban.com/news/detail-461962.html

到了这里,关于小程序逆向分析 (一)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

原文地址:https://blog.csdn.net/qq_53058639/article/details/129016760

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【VX小程序逆向】房*下小程序pseusign参数分析

    使用 Charles 软件进行抓包,详细过程就不细说了,直接贴上抓包结果 经过来回删除恢复参数的方式,得出 pseusign 参数尤为重要,直接分析小程序代码。 使用微信小程序开发工具导入解包后的代码,直接编译运行,会得到以下错误信息 可以大概看懂是插件过期的意思,那么就

    2024年02月04日
    浏览(8)
  • 最近距离 | EXCEL中批量查找与原点最近距离的目标点

    企业送餐、物流、通勤、选址等经常会遇到这样的需求,仓储地是固定的,客户下单后由于客户的地址具有随机性,需按照地理位置分布结合仓储位置进行分析,按距离近及远合理分配仓储,以便节省配送成本。 本文就以这个案例,介绍小O地图EXCEL插件版的地理计算功能,通

    2024年02月07日
    浏览(20)
  • 报表VS分析:为什么报表做不完?老板到底想要什么?

    各位数据的朋友,大家好,我是老周道数据,和你一起,用常人思维+数据分析,通过数据讲故事。 上一讲和大家讲了分析模型中的战斗机——财务分析模型。通过奥威BI软件的行计算模型来开发财务分析报表异常地简单,前端的组合也非常灵活,财务分析人员就可以搞定。

    2024年02月01日
    浏览(8)
  • 《算法还原 - CTF》逆向exe程序 + ida Pro 反汇编分析伪C代码 + python算法复现

    二进制安全,能干什么 逆向分析: 负责成品软件的技术原理. 比如分析竞品软件,吸取技术上的优点,进行技术难点公关 病毒分析: 负责分析病毒样本.研究恶意代码的技术手段等工作.主要是在安全公司,尤其是在杀毒软件公司需求较多.如360 、腾讯电脑管家等. 漏洞挖掘分析: 负责

    2024年01月22日
    浏览(10)
  • Js逆向教程-05明确js逆向的目标

    通过本地运行js代码那 实现脱离浏览器后 能够实现和浏览器上运行加密js的效果。 网站上完全都是JavaScript实现的加密,我们的目的要知道加密的整个过程,并且 本地 实现这个加密的过程,拿到和浏览器一样的加密的结果。 得到加密的结果之后就可以跳过浏览器,本地直接

    2024年02月10日
    浏览(11)
  • OpenCv案例(十二):基于OpenCVSharp学习之模板匹配寻找距离中心位置最近的目标

    1:需求:在原图中,有多个特征点和模板图像一模一样,因此,寻找原图中中心位置最近的特征点位(模板匹配详解);原图如下所示: 模板图像:                                                                          2:现要求匹配找

    2024年01月24日
    浏览(8)
  • Android程序员找不到好工作?专业技能里加上这些,老板跪着给你涨薪!

    今天的话跟大家分享一下 就是我们有同学去 一些这种一线企业 去面试被问到的一些面试问题 以及这些面试问题 背后所涉及到的技术点 再到我们作为一个安卓开发工程师 我们需要掌握的哪些技术 来跟大家简单来聊一聊 这里的话其实我有一个同学 他去快手面试 他就会问到

    2023年04月15日
    浏览(5)
  • 目标级联分析法( Analytical Target Cascading , ATC )理论matlab程序

    目标级联分析法( Analytical Target Cascading , ATC )理论matlab程序 目标级联分析法(Analytical Target Cascading,ATC)是一种采用并行思想解决复杂系统的设计方法,最初由密执安大学研究人员提出,主要用于汽车、飞机等设计领域。其原理如下: 如图a所示,ATC 的基本思想是将设计

    2024年02月05日
    浏览(3)
  • js逆向·找到登录时目标网站的加密算法的几种方式

    为什么要去找到目标网站的加密密码方法: 为了要把我们的payload正确的带入目标网站的服务器进行逻辑验证,那么就需要知道对方使用的什么加密或者编码规则来处理数据的,比如说我们输入的密码被base64编码了,然后发送给后端,后端会进行解码过后再带入逻辑验证中去

    2024年02月08日
    浏览(9)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包