前言
太多时间遇到微信小程序的渗透测试,而自身就对其不甚了解,借此梳理微信小程序的一些知识点。
开发流程
小程序可以理解成以后一种只能用微信打开和浏览的网站。
小程序开发首先需要去 微信公众平台 申请一个AppID。申请
之后,会得到一个AppID(小程序编号)和 AppSecret(小程序密钥)。
image.png
再下载微信提供的小程序开发工具,来运行和调试小程序源码。
image.png
本地创建一个hello-world的项目,来导入运行。
|- app.json # 记录项目的一些静态配置
|- app.js # 对整个小程序进行初始化
|- pages
|- home
|- home.wxml
|- home.js
app.js 中只有App({});代码,表示新建一个小程序实例。
home.js 中只有Page({});代码,表示用于初始化一个页面实例。
home.wxml文件,WXML 是微信页面的标签语言,类似于HTML 语言,用于描述小程序的页面。代码为
<view>
<text>hello world</text>
</view>
app.json 表示项目的配置文件,对所以页面都有效。
{
"pages": [
"pages/home/home"
]
}
app.wxss 用于描述 WXML 的组件样式,类似CSS样式表。
sitemap.json 文件用于配置小程序及其页面是否允许被微信索引 。
再复杂一些,就是在home.js中加入javascript代码,做出动态效果。更多的脚本编程参考https://www.ruanyifeng.com/blog/2020/10/wechat-miniprogram-tutorial-part-three.html
如点击按钮获取个人信息。
home.wxml
<view>
<text class="title">hello {{name}}</text>
<button open-type="getUserInfo" bind:getuserinfo="buttonHandler">
授权获取用户个人信息
</button>
</view>
open-type="getUserInfo" 指定按钮用于获取用户信息。再通过点击按钮触发buttonHandler事件。对应home.js的事件为:
Page({
data: { name: '' },
buttonHandler(event) {
if (!event.detail.userInfo) return;
this.setData({
name: event.detail.userInfo.nickName
});
}
});
image.png
假如开发好了一个微信小程序,就可以点击上传到小程序开发管理。
image.png
如果没有上传按钮,检查一下是否使用的是测试号。
如果上传显示代码包超过大小限制,就需要分包。
小程序上传后会在微信公众平台上,再点击提交审核,审核通过后即可上线。
image.png
登录流程
先贴上微信登录的流程图
image.png
参考 https://www.jianshu.com/p/4e4db943bfb3 文章,服务端运行springboot的后端项目。
在微信小程序端开发微信登录页面。
结合微信登录的流程图和源代码分析登录流程。
- 小程序首先
wx.login()调用小程序接口获取登录凭证code。
image.png
- 在java服务端配置好appid、appsecret,和小程序返回的code再向
https://api.weixin.qq.com/sns/jscode2session接口地址发送请求,返回session_key、openid 给 java 服务端。
session_key 即会话秘钥,作为数据的加解密和签名的校验。
openid 即用户标识。
image.png
image.png
-
wx.getUserInfo获取用户信息,返回 userInfo 用户信息对象,包括昵称、头像、性别等、rawData 原始数据、signature 校验用户签名、encryptedData 包含敏感信息在内的完整数据、iv 加密初始向量。
一并提交给java服务端。
image.png
服务端接收到参数后,首先会校验一下签名是否一致。
即signature 值。由sha1(rawData + sessionkey) 加密而来。
image.png
-
根据session_key和openid等生成自定义的第三方session,发送给客户端用来建立会话。
-
建立会话后,将返回的原始信息rawData存入mysql数据库中。如果是新的用户就重新设置会话。在以后的用户登录中只需要去数据库查找是否有合法的session_key、openid值。
image.png
image.png
- 剩下的encryptedData 包含敏感信息在内的完整数据。
即 encrypteData比rowData多了appid和openid
{"openId":"oJLX05Y5chjZBE1ChkES41H7Wmw","nickName":"CSeroad","gender":1,"language":"zh_CN","city":"jinan","province":"dong","country":"China","avatarUrl":"https://thirdwx.qlogo.cn/mmopen/vi_32/ibScdziaQmbVKREzRSYOuxDl52x84frQMt9qtficVChpmB7jIGmUxkvOz47IgBPHTdmXdb5LTewxmt8ZpEY4ibqmvw/12","watermark":{"timestamp":1629442063,"appid":"wxc0f5b64c26ff5d"}}
image.png
如:获取手机号也会加密在encryptedData里面。
反编译流程
以安卓模拟器为例,使用RE文件管理器,在路径下/data/data/com.tencent.mm/MicroMsg/xxxxxxx(不同微信文件夹也不同)/appbrand/pkg/找到小程序包。
注意windows上的小程序都做了加密混淆,无法解包
image.png
利用adb工具,将小程序包拉取到本地上。
首先在MAC终端上安装adb,命令如下
1、安装brew
/bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)"
2、安装android tools
brew install android-platform-tools
3、运行adb
adb devices # 列出当前Android设备
adb shell # 进入终端
adb push <local> <remote> # 从本地复制文件到设备
adb pull <remote> <local> # 从设备复制文件到本地
image.png
将小程序拉取到本地。
adb pull /data/data/com.tencent.mm/MicroMsg/a9c2c1453c1f99e1b5ff0185c3640139/appbrand/pkg/_860149573_130.wxapkg
image.png
下面就可以使用wxappUnpacker进行反编译了。需要提前安装node.js及其他组件,参考https://blog.csdn.net/weixin_47168538/article/details/107843795 进行安装。
安装后直接使用"node wuWxapkg.js 小程序包名"命令,即可一键解包。
image.png
推荐 https://github.com/xuedingmiaojun/wxappUnpacker 项目,支持解包子包。
解包完成后,使用微信开发者工具导入项目即可。
image.png
app.json文件中,pages以内的都是主包,subPackages以内的为分包,每一个root都是一个分包。
AES 加密实例
如在一次反编译获取小程序源码,查找到AES加密方法
image.png
iv偏移量是固定的,秘钥key由sessionKeyFromStore和sessionId运算而来。
抓取数据包获取到的sessionKey结合该数据包的sessionId可运算出AES加密的手机号。
image.png
image.png
总结
学习了微信小程序的基础开发、会话建立过程、简单反编译查看源代码。
想把微信小程序开发设计到的安全点都学习到确实很难,但应对日常测试应该足够了。
参考资料
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html
https://www.hackinn.com/index.php/archives/672/
http://xuedingmiao.com/
网友评论