小程序逆向分析 (二) 跑起来

公众号: 奋飞安全
• 阅读 1990

一、目标

李老板: 奋飞呀,光Debug一下没啥意思,有没有可能把这个反编译出来的小程序跑起来?还是说反编译的代码有缺漏,不好使?

奋飞:一城一策,具体App具体分析,具体到这个App还是可以玩的。

小程序逆向分析 (二) 跑起来

二、步骤

先跑一下

我们先跑一下上篇教程反编译出来的代码。

很可惜,白屏,木有我们期待的内容。

不过还好有提示: #登录失败#

搜索一下:

/Users/fenfei/Downloads/wx/_2089237937_16/3AAE21D3932643BF5CC849D4DA8F8236.js
  79,51:                             title: e.data.msg || "登录失败",
/Users/fenfei/Downloads/wx/_2089237937_16/app-service.js
  2613,1520:  showToast({title:e.data.msg||"登录失败",icon:"none"}),

这个提示有两处,具体是哪一处呢?

我们把前一个改成 "登录失败1",后一个改成 “登录失败2”。

再跑一下, 提示 “登录失败1”。

好了,就是你了。

分析代码

wx.request({
    url: "".concat(n, "/s/user/account/openlogin"),
    method: "POST",
    dataType: "json",
    data: (0, t.default)({
        openkey: e.code
    }, u),
    success: function(e) {
        // console.log(e); 
        if (e.data.ret > 0) {
            var n = e.data, r = n.data, s = n.data.member_info, c = getApp(), u = s.isreg ? 2 : 1;
            c && (c.globalData = (0, t.default)({}, s, {
                userstatus: u
            })), a.h_did = r.did, a.h_m = r.mid, a.mid = r.mid, a.token = r.token, a.userstatus = u, 

            wx.setStorage({
                key: "userInfo",
                data: (0, t.default)({}, r, s, {
                    userstatus: u
                })
            }), 
            o(e.data.data);
        } else wx.reportAnalytics("login fail request success", JSON.stringify(e)), wx.showToast({
            title: e.data.msg || "登录失败1",
            icon: "none"
        }), i();
    },
    fail: function(t) {
        wx.reportAnalytics("login fail request fail", JSON.stringify(t)), i();
    }
});

这段代码的意思是给服务器发一个登录请求,然后判断返回值 e.data.ret > 0 的时候把返回的一些did token之类的值保存下来(估计后面会用),如果 e.data.ret 小于等于0,就提示 “登录失败1”。

我去,这不就是送分题吗?我们抓个包看看真机上 openlogin 这个请求返回什么值,然后直接赋值给 e 变量,不就ok了。

我们先加个 console.log(e); 打印一下目前e变量的值是什么?

从 调试器->Console 中可以看到我们的输出

小程序逆向分析 (二) 跑起来

返回值是 -101 ,那肯定是登录失败了。

改改代码

按照之前的分析,我们抓包看看真机上 openlogin 这个请求的返回值。不过诡异的是,怎么搞都抓不到这个包。

这也难不倒我们,再分析下代码,登录成功之后,会把一堆返回值保存下来,这样我们从别的请求包里面把 did mid token 等等这些值找到,然后直接赋值不就行了。

if (e.data.ret < 0) {  // 改成小于0 
   // var n = e.data, r = n.data, s = n.data.member_info, c = getApp(), u = s.isreg ? 2 : 1;
    var n = e.data, r = n.data, s = "123456", c = getApp(), u = 2;
    c && (c.globalData = (0, t.default)({}, s, {
        userstatus: u
    })), 

    // a.h_did = r.did, a.h_m = r.mid, a.mid = r.mid, a.token = r.token, a.userstatus = u, 
    a.h_did = "eccdb12b68fd755fb52b2763f69aaa00", a.h_m = 257167182, a.mid = 257167182, a.token = "TeKeNJiAKQ3YqxMms7yw2n4gGgkzEWG7SMGoLCSUM6P2hs3N6DyhyGURt-ZA6ZC1j2Uw5w9ur4EXVhLURS7xqnjZd9IbgLPtt5QFJRaMzFVi82yk=", a.userstatus = u,

   。。。。。。
}                            

再跑一下

小程序逆向分析 (二) 跑起来

可以了,跑起来了。

还没完

还没高兴一会,又出问题了,再跑就怎么也跑不起来了。而且连 “登录失败” 的报错都没有了。

小程序逆向分析 (二) 跑起来

难道被App发现了,跨省禁用了, 太流弊了吧。

鼓捣了老半天,无意中点了一下 IDE上的 清缓存

光明又来了,肯定是登录成功之后把信息存了缓存。

/*
wx.setStorage({
    key: "userInfo",
    data: (0, t.default)({}, r, s, {
        userstatus: u
    })
}), 
*/

把保存这块注释掉就行了,这下就可以更方便的调试了。

回想起之前真机上抓不到 openlogin 的包,一定也是这个缓存搞的鬼。

不过真机如何请缓存呢? 炒鸡简单,把这个小程序删掉,然后再装一下。

小程序逆向分析 (二) 跑起来 完美,抓到 openlogin 的包了。

漂亮的改法

既然都抓到包了,那就可以换个漂亮的改法了,就是我们开始的想法, 直接给 e 变量赋值。

success: function(e) {
    e= JSON.parse(`{"data": {"ret":1,"errcode":1,"data":{"member_info":123456,"mid":257167182,"register":0,"passwd":"98227e90298d0711","token":"TeKeNJiAKQ3YqxMms7yw2n4gGgkzEWG7SMGoLCSUM6P2hs3N6DyhyGURt-ZA6ZC1j2Uw5w9ur4EXVhLURS7xqnjZd9IbgLPtt5QFJRaMzFVi82yk=","member_info":{"id":257167182,"isreg":1,"ct":1630931968,"rt":1630931968,"pw":"98417e90298d0757","name":"W8a\xbd\xe5\xad\x90J","gender":0,"sign":"","avatar":3,"cover":0,"isbind":0,"opentype":4,"zyid":"46120279","vip_info":{"mid":257167182,"rev_bubble_cnt":0},"you_age":3},"did":"eccdb12b68fd755fb52b2763f69aaa00"}} }`)
    console.log(e);
    if (e.data.ret > 0) {  // 别忘了把这个改回来 大于0
    }    

这下流程比较优雅了,可以收工了。

三、总结

是不是别的小程序也可以这么跑起来?

醒醒吧,大厂的小程序要是这么容易被你跑起来了,那他们的码农哥哥就都要失业了。一城一策,具体情况再具体分析。我们搞逆向分析,就是在不可能中发现可能

还是要有点追求,尽量保障原始程序的流程,能优雅搞定的不要粗鲁。 当然必要时还是可以动粗的。

微信开发者工具很好用的,调试器->Sources 下个断点,丝滑流畅。

搞逆向还是要有点正向开发基础,这样就能早意识到是缓存的问题。

不要神化你的对手,跨省禁用已经是魔法的范畴了。

小程序逆向分析 (二) 跑起来

你不懂得安排自己的人生,会有很多人帮你安排,他们需要你做的事。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
小程序逆向分析 (一)
一、目标李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?奋飞:你是老板,你说了算喽。第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。反编译静态分析动态调试二、步骤春天在哪里?app下载回来就是apk包,那么小程序在哪里?小程序是一个以wxapkg为后缀的文件,在android手机的/da
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
3个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
某小说App返回数据 解密分析
一、目标李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说Appv20210953二、步骤搜索url字符串App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novelcontent),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写
Karen110 Karen110
3年前
​一篇文章总结一下Python库中关于时间的常见操作
前言本次来总结一下关于Python时间的相关操作,有一个有趣的问题。如果你的业务用不到时间相关的操作,你的业务基本上会一直用不到。但是如果你的业务一旦用到了时间操作,你就会发现,淦,到处都是时间操作。。。所以思来想去,还是总结一下吧,本次会采用类型注解方式。time包importtime时间戳从1970年1月1日00:00:00标准时区诞生到现在
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Python进阶者 Python进阶者
9个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
59
粉丝
4
获赞
44