微信小程序漏洞:轻松获取任意小程序源代码

这个漏洞比较厉害了,竟然是程序员为了“跳一跳”刷分,开发一款外挂的时候发现的,这里要赞赞赞。

之后竟然有人专门写了一个刷分的网站,小白用户也能刷分,哈哈,这件事情告诉你,千万别得罪程序员。

可惜的是,部分漏洞在2018年1月1日就被微信官方修复了,还有一些残留的漏洞,相信微信会陆续修复的。

这就完事儿了吗?NO,最可怕、最精彩的事情来了。

首先,我们需要知道:

1、用户在第一次进入某一个小程序的时候,系统会默默的从微信服务器将这个小程序的源代码下载到手机。

http://123.125.9.32/resstatic.servicewechat.com/******/.wxapkg

https://servicewechat.com/*******/$.wxapkg(此链接貌似还可以用)

3、这些下载到手机的源代码可是压缩过的,没有个50%的全栈技术,估计看不懂的。

4、还好,咱们有解压脚本,哈哈。

https://gist.github.com/feix/******1ed68a0f3e

https://gist.github.com/thedreamwork/******7bc6bd3e1d08

说完了废话,咱们就开始干起来。

准备一:需要一台root后的android手机

准备二:微信版本最少也要6.6.1版本(这个版本才有微信游戏呀,方便练手)

准备三:找一台电脑,安装Android SDK,并且可以执行adb命令

准备就绪,关上灯(要气氛,黑客入侵的那种),开始行动。

步骤一:将手机连接到电脑,USB哦

步骤二:在命令行(终端)输入:adb devices,查看电脑的USB设备,如显示未找到 adb 命令,可能是 Android SDK 安装错误或 adb 未添加到电脑 path 中,请自行上网进行相应查阅。

步骤三:在命令行(终端)继续输入:adb shell && su,会看到类似root@ 前缀,说明已经进入到 root 模式下。

步骤四:在命令行(终端)继续输入:cd /data/data/*****/MicroMsg//appbrand/pkg,其中每个用户不一样,可以自己在cd /data/data/*****/MicroMsg/目录查看自己的。

步骤五:在命令行(终端)继续输入:ls,就看到当前目录下的小程序的wxapkg源码包了。

步骤六:接下来就是将小程序的wxapkg源码包复制到我们的电脑中,但是当前在的目录属于系统目录,是无法复制的,需要继续执行命令:mount -o remount,rw /data,重新挂在为可操作模式即可。

步骤七:在命令行(终端)通过cp命令复制小程序的wxapkg源码包到我们手机SD卡中即可,一般android的SD卡目录为/mnt/sdcard。

步骤八:从手机SD卡将小程序的wxapkg源码包复制到我们电脑上,通过解压脚本进行解压。

最后,我们打开自己的微信开发者工具,创建一个空的项目(以游戏为例),如图,项目目录、APPID、项目名称自己设置。

然后,把开发者工具的基础库设置一下。

运行一下。

成功啦。

部分资料来源网络,仅供学习参考,非法利用者后果自负,为了防止他人利用此漏洞做坏事儿,故意遗漏了部分脚本,如果真的是学习用,请在公众号留言“我要完整版”。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180102G0VQM300?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券