apk和小程序测试 学js代码

1.小程序通信 

https 通信 大部分  只要是http协议所以漏洞都可能有 

因为apk和小程序https  抓到报文 搞到web渗透 

抓不到包 加密咋办 

对称加密   因为密钥在源代码里  

所以逆向 找到js代码  然后找到密钥 

路径 小程序 

apk和小程序测试 学js代码_第1张图片

工具 wxapkg  扫描小程序 (反编译工具)

命令  程序 scan 

微信默认路径

apk和小程序测试 学js代码_第2张图片

解包

点击回车 

位置 就是在apk的路径里 

apk和小程序测试 学js代码_第3张图片

找到servier 

找到里面的 网站地址 

ctrl+f   https搜索 

看看连接 

小程序所有资产都是我的   抓包 

2.找到api   

api接口   

作用   接口 可以不登录访问 叫做未授权漏洞 

3.info  信息 

apk渗透  应用 

提取敏感证书 

apkAnalyser  工具 

双击 exe 

apk和小程序测试 学js代码_第4张图片

把app放进去 直接双击小程序 

然后会解析出来 

apk和小程序测试 学js代码_第5张图片

重要的抓包  证书 

夜神模拟器 

证书   

加密问题 

证书下载 

打开bp代理 

apk和小程序测试 学js代码_第6张图片

apk和小程序测试 学js代码_第7张图片

安卓证书 

bp证书不可安装到安卓上   借助openssl转换证书 

格式 

安装

直接全部下一步 

添加软件环境变量 

apk和小程序测试 学js代码_第8张图片

桌面上 powershell 

apk和小程序测试 学js代码_第9张图片

计算 

apk和小程序测试 学js代码_第10张图片

apk和小程序测试 学js代码_第11张图片

开始 

提权 

apk和小程序测试 学js代码_第12张图片

放证书 

apk和小程序测试 学js代码_第13张图片

apk和小程序测试 学js代码_第14张图片

上bp

apk和小程序测试 学js代码_第15张图片

手机配置 

apk和小程序测试 学js代码_第16张图片

你可能感兴趣的:(内网渗透,小程序)