夜雨聆风
Burp插件 | 微信小程序解包(支持4.x)
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!
文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。
字数 416,阅读大约需 3 分钟
前言
Burpsuite 就像山东的煎饼卷一切一样,一直有很多出人意料的插件。
没想到,微信小程序解码都能塞进来。
只能说,Java 你好强大。
jaysenwxapkg
项目地址:https://github.com/Jaysen13/jaysenwxapkg
优势:
-
• Burpsuite 加载,只要是新版就能用(我的是 2024.9.2) -
• 支持微信 4.x 的小程序
下载 jar 包,扩展加载
界面一览
加载文件
默认路径
选择目录后,点击批量解析所有
输出目录
这里可以直接搜索,支持模糊查询
解析配置参考
API 正则提取
(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')敏感信息正则匹配
手机号:1[3-9]\d{9}
车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$
AppSecret 泄露:(?i)\b\w*secret\b
IP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$
微信小程序 session_key 泄露:(?i)\bsession_key\b
身份证号:\b\d{17}([0-9]|X|x)\b
邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}接口关键词过滤黑名单,减少分析的时间
components/,uni_modules/,uview-ui/,uview-plus/,package/,static/,pages/比如在这里增加一个@
API 接口里有@的就不会匹配
接口后缀过滤
jpg,gif,svg,wxss,wxml,png,js,jpeg结合“影子”小程序使用
我们可以用 jaysenwxapkg 结合之前爆出来的“影子”小程序,寻找未公布的小程序,作为突破口
-
• 新增攻击面:影子“小程序” https://mp.weixin.qq.com/s/kQCCdfVLke1K5Xzdjwq4hQ -
• 小程序渗透测试,只有一个页面?以及关联通杀方案 https://mp.weixin.qq.com/s/tEBDa2aFskvvyHbur-K_Bw -
• 下线了不是完全下线 https://mp.weixin.qq.com/s/52_JTEMSmaaJivFJ-0wSwQ
可以在下面的公众号
输入小程序 id,页面路径和页面参数
欢迎加入知识星球,星球内容主要有:
1、公众号文章备份、工具分享。
2、常见问题的答疑、解决方案汇总在知识星球,作为便于搜索的知识库。
