1.1、heapdump泄露
通过对供应商资产进行渗透,发现某资产admin目录下存在heapdump文件泄露
1.2、微信小程序接口未授权
1.2.1、微信小程序解包
想要对微信小程序进行解包操作,首先是要获取目标小程序的wxapkg文件。wxapkg文件是微信小程序的安装包文件格式,用于将小程序的代码、资源以及其他必要的文件打包成一个单独的文件。但是Windows环境下的wxapkg文件中的js代码和资源文件一般是被加密的,需要使用专门设计的解密工具先进行解密,再进行解包操作,获取文件内容。iOS和Android平台下可直接进行解包操作。
1.2.1.1、获取wxapkg文件
在获取wxapkg文件时,最好将文件夹中的文件先删除,然后再重新打开小程序,防止其它文件干扰
1.2.1.2、解密操作
下面两个github项目都可以进行解密操作
https://github.com/superdashu/pc_wxapkg_decrypt_python
https://github.com/BlackTrace/pc_wxapkg_decrypt
解密原理
1.2.1.2、解包操作
国光大佬提供的工具下载链接
https://sqlsec.lanzoub.com/i1NEP0mx694f
© 版权声明
THE END
暂无评论内容