Day19 -实例:xcx逆向提取+微信开发者工具动态调试+bp动态抓包对小程序进行资产收集
思路:
拿到源码后的测试方向:
Step1、xcx逆向提取源码
00x1 先将曾经使用小程序记录删除
00x2 访问小程序
例:汉川袁老四小程序
00x3 将文件给xcx进行逆向解包
xcx工具的目录下,wxpack文件夹内
Step2、微信开发者工具进行动态调试
00x1 导入刚刚xcx生成在wxpack内的文件夹。
PS:这里是因为没有app.json导致页面没法正常显示,但是可以测其他敏感信息,例如这里的accesskey,其中短剧小程序常用oss服务进行云端存储,会配置这些敏感的key。
00x2 进行动态调试
Step3、配合bp+proxifier进行动态抓包
00x1 开启proxifier的小程序代理
00x2 开启bp抓包即可
