免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:baobeiaini_ya
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
二开KillWxapkg,自动化监控实时点击打开的微信小程序进行反编译,辅助小程序渗透测试。 原作者:https://github.com/Ackites/KillWxapkg
思路原本是24年上半年就想到,后面由于各种原因忘了。后面听了小迪直播中艾克sec的分享,同为22期学员差距怎么这么大。现在看来还是自己懒了。想到了《士兵突击》团长对许三多说的话:“想到和得到的中间,还有两个字:做到!”
【完成】自动监控实时点击打开的微信小程序进行反编译,并输出反编译后的代码。
【完成】将微信appid查询转换为微信小程序名字,方便后续查找泄露文件点复现漏洞。(需要联网)
【废弃】优化原作者敏感信息查找规则以及方式。 发现原作者规则更改很简单,config/rule.yaml 自定义即可。(把email、phone、wxid等设置false减少干扰)
工具使用
主要新增KillWxapkg-Auto.exe -auto用法, 其余用法参照原作者。
config/config.yaml 配置小程序目录绝对路径
KillWxapkg-Auto.exe -auto
有时候会编译失败找不到文件,这里多是小程序太大网络环境较慢导致,可以等一会小程序对应文件加载完删掉Ctrl+Z重新进行反编译。
$ KillWxapkg-Auto.exe --help-auto是否目录监控自动反编译,点击即是反编译-ext string处理的文件后缀 (default ".wxapkg")-hook是否开启动态调试-id string微信小程序的AppID-in string输入文件路径(多个文件用逗号分隔)或输入目录路径-noClean是否清理中间文件-out string输出目录路径(如果未指定,则默认保存到输入目录下以AppID命名的文件夹)-pretty是否美化输出-repack string重新打包wxapkg文件-restore是否还原工程目录结构-save是否保存解密后的文件-sensitive是否获取敏感数据-watch是否监听将要打包的文件夹,并自动打包
工具下载
点击关注下方名片进入公众号
回复关键字【241103】获取下载链接
往期精彩
Vcenter综合渗透利用工具包
通过 Telegram+Clipper 记录 FUD Stealer 可以绕过所有防病毒软件(抓取:钱包、密码、信用卡等)
Burpsuit插件集合,共31+
