关于微信的渗透

发表于 更新于 分类于 本文字数: 1.4k 阅读时长 ≈ 3 分钟

rpc连接

1.wxdevtools+jsrpc

强开devtools限定小程序为8555

使其他文件“只读”,则微信只能使用8555

1
icacls "C:\TestFolder" /deny %username%:W

利用websock,直接跑参数,可忽略加密

注:小程序默认只支持wss,可能还限制域名

2.工具/taro-wxtool+jsrpc

注意:报错 _typeof3 is not a function

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
function` `_typeof2(o) {
  ``"@babel/helpers - typeof"``;
  ``return` `(_typeof2 = ``"function"` `== ``typeof` `Symbol && ``"symbol"` `== ``typeof` `Symbol.iterator ? ``function``(o) {
      ``return` `typeof` `o;
  ``} : ``function``(o) {
      ``return` `o && ``"function"` `== ``typeof` `Symbol && o.constructor === Symbol && o !== Symbol.prototype ? ``"symbol"` `: ``typeof` `o;
  ``})(o);
}
function` `_typeof(o) {
  ``return` `"function"` `== ``typeof` `Symbol && ``"symbol"` `=== _typeof2(Symbol.iterator) ? module.exports = _typeof = ``function``(o) {
      ``return` `_typeof2(o);
  ``} : module.exports = _typeof = ``function``(o) {
      ``return` `o && ``"function"` `== ``typeof` `Symbol && o.constructor === Symbol && o !== Symbol.prototype ? ``"symbol"` `: _typeof2(o);
  ``}, _typeof(o);
}
module.exports = _typeof;

(2).扩展 ngrok+jsrpc 映射

1
ngrok http 12080
1
var demo = new Hlclient("wss://xxxxxxxxx.ngrok-free.app/ws?group=zzz");

3.手机小程序调试

http://debugx5.qq.com/

解密

1.js+node-server