微信小程序|微信小程序的逆向

前言:在学校的时候,每次都要在晚上查寝的时候都要签到。而且是在一个特定的时间点。晚上10点开始。到11点半。其实也没啥。但是我这记性呀。就经常忘记就这样,我就在不知不觉中少签七八次。
微信小程序|微信小程序的逆向
文章图片

我人傻了(派大星表情包)_大星_我人表情
就这样,我就想能不能写个程序自动签到。就不会忘签了。嘻嘻

人类正出于懒惰而掌握各种的技术 ————佚名

开始解密 1.寻找小程序
因为我们签到是用手机app来进行签到的,但是手机app抓包和反编译比较麻烦。那我们能不能转换一个方式。看看这个程序有没有网页版。或者小程序版。百度了一下。发现没有网页版。又到微信搜索了一下。嘻嘻。发现有小程序版本。Nice!
微信小程序|微信小程序的逆向
文章图片

喜嘻嘻嘻嘻嘻嘻嘻嘻〡(喵星人表情包)_嘻嘻_喵星人表情
找到小程序了。但是还是有个问题。就是一天只能签到一次耶。我抓包的话,一天只能抓一次。要是他还有啥加密参数啥的(后面证实是我想多了。压根没有啥加密参数)。后面也不好调试。所以,我就想反编译这个小程序看看源码。
2.开始反编译
首先准备工具
主要有两个,一个叫UnpackMiniAPP.exe。这个是吾爱破解里面的大神提供的。还有一个就是githup上面的项目。通过这个wxappUnpacker来反编译源码。
微信小程序|微信小程序的逆向
文章图片

反编译之后就是这样
微信小程序|微信小程序的逆向
文章图片


可以获取到源码。然后在到微信开发者工具中打开。就可以愉快的调试代码了。

1
微信小程序|微信小程序的逆向
文章图片

首先得明确目的,我们是来找签到接口的,找完就走,绝不拖延!
首先,我们签到都会弹出一个签到成功的弹窗。那我们就用万能的搜索大法。ctrl+f来搜索签到成功。找到一个可疑的文件夹——test
我点进去一找。(主要是代码都没混淆,很好找)。找到发送请求的地方。然后再看一下请求参数。是个post请求。发送的是json数据。其中调用了腾讯的api来获取你的定位。(也就是经纬度)。还有其他的一些参数。班级啥的。这里就不贴图了。嘻嘻!
微信小程序|微信小程序的逆向
文章图片

年轻人,你的思想很危险啊!(熊猫头)_熊猫_年轻人_危险_思想表情
3.用python编写脚本
微信小程序|微信小程序的逆向
文章图片


这个就很简单了。写好参数。发送一个post请求就完事。(定时的话,就挂在服务器上自动运行完事!)可能是这个软件比较冷门吧。都没做啥加密。找接口一气呵成!
另外一种方法
用fiddler来进行抓包。
【微信小程序|微信小程序的逆向】我们可以在电脑的微信上打开这个小程序。然后用fiddler来抓取请求。可以达到一样的效果。但是有个缺点就是你一天只能抓取一个请求。如果你对那个发送的json参数不咋确定。就有点麻烦。(我是不会告诉你,我开始就是用的这种方法)
其实fiddler抓包,你模仿发送一次就行了。
今天就到这里了!对了,那些工具都放在交流群里了。群号:342096685
微信小程序|微信小程序的逆向
文章图片

拜拜~(熊猫头拿手枪) - 「敷面膜」没有感情系列

    推荐阅读