https://mp.weixin.qq.com/s/p42pcVkibvuk0OZEPj1JGA

反编译工具：https://github.com/Ackites/KillWxapkg

强开F12：https://github.com/JaveleyQAQ/WeChatOpenDevTools-Python （除了微信版本要3.9左右还要小程序版本也符合）

1.小程序反编译

1.1.使用Fine进行反编译

超级简单的反编译微信小程序方法

使用Fine打开微信保存文件目录

1

C:\Users\24767\Documents\WeChat Files\Applet

1.2.使用unveilr进行反编译

1
2
3

Usage: unveilr wx [options] <packages...>

unveilr.exe "C:\Users\24767\Documents\WeChat Files\Applet\wx0acb9006ce06b80d\2"

反编译后，会在当前目录下生成一个 _APP_文件夹，这里面就是小程序源码

然后使用开发者工具打开,导入小程序源码

2.小程序常见漏洞

2.1.某证券SessionKey泄露导致任意用户登录

进入某证券微信小程序进行登录

泄露session_key/iv和encryptData，使用解码工具

发现可解密成功，那么如何实现账号接管，使用别人的权限进行操作呢

回到微信小程序中，发现销售经理这个数据包泄露大量内部人员手机号，姓名等信息

替换手机号，成功获取到token登录成功

2.2.APPid&Appsecret泄露导致公众号接管

【技术分享】小程序Appid、AppSecret泄露漏洞总结

1

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=123&secret=456     //获取access_token