原创 Eagle1949 技术源泉
免责声明
本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此工具用于非授权的测试,开发者不负任何连带法律责任。
KillWxapkg是一款自动化反编译微信小程序,小程序安全评估工具,可用来发现小程序安全问题。
它支持小程序自动解密,自动解包,支持代码美好输出,支持还原工程目录,支持Hook小程序,动态调试,开启小程序需要按键盘F12,支持重新打包,支持小程序修改,支持敏感数据导出。
工具使用,先安装工具,这个工具使用Golang编写,所以你可以直接安装二进制文件,或下载源码编译安装。
工具用法如下:
-id=<输入AppID> -in=<输入文件1,输入文件2> 或 -in=<输入目录> -out=<输出目录> [-ext=<文件后缀>] [-restore] [-pretty] [-noClean] [-help] [-hook] [-save] [-repack=<输入目录>] [-watch] [-sensitive]
具体参数说明如下:
-id string
微信小程序的AppID
包已解密,可不指定
例:-id=wx7627e1630485288d
-in string
输入文件路径(多个文件用逗号分隔)或输入目录路径
自动检测,已解密的包,自动解包,未解密的包,自动解密后解包
解密后的包会保存到输入目录下以AppID命名的文件夹
例:-in="app.wxpkg,app1.wxapkg"
例:-in="C:\Users\mi\Desktop\Applet\64"
-out string
输出目录路径(如果未指定,则默认保存到输入目录下以AppID命名的文件夹)
-restore
是否还原源代码工程目录结构,默认不还原
-pretty
是否美化输出,默认不美化,美化需较长时间
-ext string
处理的文件后缀 (default ".wxapkg")
例:-ext=.wxapkg
-noClean
是否清理反编译的中间文件,默认清理
-hook
是否Hook小程序,动态调试,开启F12,默认不Hook
注意:目前仅支持Windows,建议小号,有封号风险
-save
是否保存解密后的文件,默认不保存
-repack string
重新打包目录路径
例:-repack="C:\Users\mi\Desktop\Applet\64"
注意:目前仅支持一次打包一个文件,同时仅支持未被解析的源文件(未使用-restore)
-watch
是否监听将要打包的文件夹,并自动打包,默认不监听
-sensitive
是否导出敏感数据,默认不导出,导出后会在工具目录下生成sensitive_data.json文件,支持自定义规则
-help
显示帮助信息
我仅拿自己的豆子工具小程序进行这个工具测试,操作非常简单,从PC客户端取出自己的后缀名wxapkg的文件__APP__.wxapkg。使用如下命令:
./killwxapkg.exe -id=小程序ID -in=wxapkg存放路径 -out=待输出文件夹 -restore -pretty
还原后的代码让我感到吃惊,使用工具输出后的代码文件,WXML文件内容几乎和源码一致,JS文件变量名和函数名使用简易字母代替,函数逻辑进行了优化且正确。我没有实际运行输出后的代码,但从代码结构以及代码内容来看,可以运行起来,即使有点问题,稍微修复一下即可。
请不要将此工具用于非法目的。这个工具很棒,可以检测到自己小程序缺陷在哪里?然后加固自己的小程序。 比如,请不要将敏感数据写在本地,核心重要功能能在服务端实现就在服务器去实现。
查看更多内容,请浏览GitHub:
https://github.com/Ackites/KillWxapkg
最后,发个推荐:
豆子工具是一个微信小程序,内含IP地址查询、音频格式转换、网络调试等工具。欢迎浏览收藏。