【SRC】记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

文章预览

原文首发在：奇安信攻防社区 ‍ ‍ ‍ ‍ https://forum.butian.net/share/3832 前言 本文记录了最近的一次src漏洞挖掘，并成功获取到严重漏洞的过程，漏洞本身就是几个接口的组合利用，但是其中小程序的代码的分析审计过程比较有趣，遂记录一下和大家分享。 准备工作 本文涉及到小程序的静态分析、动态调试、签名算法逆向、自动化签名计算等方面，很多技术在网上都有比较详细的文章，我就不在深入赘述，这里只记录我在分析过程中用到的技术和方法。 获取小程序源码 获取小程序的源码比较简单，直接在微信-设置-文件管理-打开文件夹 会自动打开文件目录 C:\Users\Administrator\Documents\WeChat Files\AppId 这里我们需要跳到小程序的目录 /WeChat Files/Applet/{wxid}/{n}/ 会看到一个 __APP__.wxapkg ，这个就是小程序的打包程序，需要对该文件进行解密，即可获取到小程 ………………………………