关于小程序公众号的一些tips
2021-12-07 09:00:00 Author: www.c0bra.xyz(查看原文) 阅读量:48 收藏

讲点屁话

好像有点时间没有写“文章”(姑且算这些玩意为文章)了,一来确实没啥心情写,5月19日令我痛彻心扉呐,可恶。二来半年多来把更多的时间花在了挖洞(捡垃圾)这方面,拿钱确实还是香的,从一开始的几十到后面的几千,过程中学习到很多,算是记录下。

小程序

挖的很多洞几乎都是从小程序这里挖的,我个人偏好测小程序,总是能有惊喜的。

抓包相关

关于小程序的抓包可以根据个人喜好来,可以模拟器,真机代理抓包,也可以在PC下直接抓。
这里还是着重讲讲PC端的。
首先是windows下,比较简单,证书配置好后挂上全局http代理就能抓。
1
然后点开小程序就能抓到包了。
2
mac下稍微麻烦一点点。
需要先配置下proxifier,也可以根据现在有些文章写的直接用微信自带的代理配合全局代理,也是根据个人喜好就行。
3
路径如下:

/Applications/WeChat.app/Contents/MacOS/

mac下的微信没有直接的小程序入口,要转发后才能在聊天框点开。
4
然后开始抓包:
5
然后就是愉快的挖洞。

解包相关

这里解包也是根据个人喜好来,喜欢用模拟器,真机去拖到本地解也行,也可以pc直接解,各有各的好。我一般都是直接PC解。
win下的小程序会放在一个固定的目录下。
6
由于PC端的小程序包还经过一次AES加密,需要进行两次解包,都是有工具的。
7
第一次解密后会生成对应的小程序包,然后再正常用解包脚本。
8
然后就是导入开发者工具,调试即可。
还需要注意一些点,这里的域名信任,还有库版本,尽可能让console没有报错。
9

公众号相关

很多情况下公众号链接只能在微信自带的浏览器里访问,微信自带的浏览器阉割过,没有F12,前端不好调试,这时候要加点料。
测了很多,最后只能是把微信版本退回3.2.1.x才解决。
然后下载devtools_resources.pak,用来开启调试模式。
安装好登录下,生成对应目录。
然后把devtools_resources.pak分别放到对应目录下:

C:\Users\xxx\AppData\Roaming\Tencent\WeChat\All Users\CefResources\2589

10
还有一个放到安装目录(看个人安装位置)下,这里我没放,也能用:

C:\Program Files (x86)\Tencent\WeChat

然后修改启动命令:

"C:\Program Files (x86)\Tencent\WeChat\WeChat.exe" -remote-debugging-port=8000

11
重新登陆后找个公众号的页面看看右键是不是有show DevTools,有就可以愉快的调试了。
12
13

总结

简单讲了下小程序公众号调试相关的内容,前端还是值得深挖的,更多的时候需要花时间去解密对应的data,越权就能信手拈来。



文章来源: https://www.c0bra.xyz/2021/12/07/%E5%85%B3%E4%BA%8E%E5%B0%8F%E7%A8%8B%E5%BA%8F%E5%85%AC%E4%BC%97%E5%8F%B7%E7%9A%84%E4%B8%80%E4%BA%9Btips/
如有侵权请联系:admin#unsafe.sh