简介

现如今大部分微信小程序抓包看到的数据均是加密的，无法通过常规的业务抓包进行测试，现通过对微信小程序包进行解密，获取到微信小程序源码对加解密算法进行分析。

微信小程序解密

小程序包默认路径：C:\Users\Administrator\Documents\WeChat Files\Applet
如不知道哪个是需要测试的小程序，直接删除以wx开头的文件夹，再打开小程序就会生成对应小程序文件夹，进入文件夹有个“APP.wxapkg”，这为主包。

解密小程序包

解密成功后对生成wxapkg格式的文件进行解包
./bingo.bat testpkg/master-xxx.wxapkg

微信小程序JS逆向分析

用pycharm打开文件夹，通过对文件进行分析，加解密算法在app-service.js中

获取到小程序源码包可以利用微笑小程序开发工具进行调试，也可以直接分析代码文件
在js文件中直接检索encrypt和decrypt
例如检索encrypt，一共检索到5条数据

通过分析找到加密算法函数与解密算法函数，以及对应加密的KEY值

加解密算法是AES，填充选的是PKCS7
在网上搜索AES加解密工具，我选的是https://lovefree.cc/aes

验证加解密算法

通过修改个人信息

提交的加密数据解密后的结果，除了NickName以外其他数据均是固定值

服务器返回的数据解密，通过返回的数据分析，提交的修改操作已经成功