第70天 APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取

知识点：

0、APK信息资源提取
1、微信小程序致据抓包
2、做信小程序解包反编译

1、信息收集应用8资产提取&权限等
2、漏润发现-反编泽&脱壳&代码审计
3、安全评估组件8散密匙&思意分析

核心点：

0、内在点资产提取&版本&信息等
1、抓包点-反代理8反证书8协议等
2、逆向点-反编译8脱壳8重打包等
3、安全点资产&接口&漏洞&审计等

演示案例：

APP&APK-信息资源文件提取
微信小程序-真机&模拟器数据抓包
微信小程序-PC&模拟器分包反编译

APP&APK-信息资源文件提取

APK Messenger–是本信愿&资源文件&开启权限等

微信小程序真机&模拟器数据抓包

安卓系统抓包（微信小程序）：
1、安卓系统7.0以下版本，不管微信任意版本，都会信任系统提供的证书
2、安卓系统7.0以上版本，微信7.0以下版本，微信会信任系统提供的证书
3、安卓系统7.0以上版本，微信7.0以上版本，微信只信任它自己配置的证书列表
基于上述我们解决的方式如下：
1、将证书安装到系统证书中(需要r00t)
2、苹果手机（苹果手机不受此影响）
3、采用安卓系统低于7.0的横拟器
演示：逍遥模拟器5.1安卓系统微信小程序抓包
思路：模拟器代理转发到burp
演示：夜神模拟器多开5安卓系统微信小程序抓包
演示：真机IPhone-OS系统微信小程序抓包
条件：抓包本机需要和Iphone手机处于同一WIFI下
Iphonei配置wif的代理，代理设置地址写本地抓包的工具地址和端口

安全点：

渗透角度：测试的pp提供服务的服务器，网站，接口等，一旦这个有安全问题，被不法
分子利用，相当于APP正常服务就会受到直接的影响！
APK-白盒-Java代码审计
APK-黑盒-资产&WEB&IP&接口等
小程序-白盒-Node.JS代码审计
小程序黑盒资产&WEB&P&接口等
开发角度：测试的aPp里代码的设计安全，采用没加密的发送数据，采用权限过高的设置
导致攻击者利用app获取到手机的敏感信息等。
弱加密，逻辑安全，授权，中间人等

微信小程序-PC&模拟器分包反编译

1、高富帅版：
欢迎使用多功能小程序助手工具，点击确定开始使用。
免责声明：不得将小程序反编泽源码程序和反编泽图片素材挪作商业或盈利用
使用教程地：https:www.kancloud.cn/ludeqi/XCXZS/2607637
最新版下载地址：https:xcX.siqingw.top/xcx.zip
2、穷屌丝版：
https://github.com/sanriqing/WxAppUnpacker
安装node.js
http://nodejs.cn/download/
安装依赖：
npm install
模拟器取出wxapkg文件：
/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg
反编译解包
node wuWxapkg.js -s=…/xxxx.wxapkg