微信小程序RE

Posted on

最近遇到一个比较棘手的小程序。

解释如下:

  1. authorization和token本地生成。没看到和服务器的交互(想看生成逻辑)
  2. 小程序代码可取
  3. JS文件混淆过

solve

首先美化JS

美化网站

https://www.bm8.com.cn/jsConfusion/

https://beautifier.io/

解完后22000行

image-20200707153514711

浏览全局,截取核心代码

image-20200707154242865

已经推断authorization的使用即是a.Authorization,而token后续给btoa(s + “:” + u) 也就是将s和u用冒号合起来在base64

e为存储鉴权数据类 e.auth.username

但是解密不出来。应该不是这的逻辑,全局搜索Authorization

image-20200707155339617

o来自r.getAuthToken搜找r r是e.call(this, t)的实例,调了e.call(this, t).payloadMiddleware和getWxRequestPayload

跟到getAuthToken但是全局没找到其线索,只有这里有getAuthToken,其他地方没有实现,然后网上查看会不会是微信小程序统一的接口。。。无果

解码Base64:

0 a9 63 d2 ed c2 9a 60 f6 3b 4f e4 95 59 96 3b 81

1595227719772

过会儿再解码

本文标题:微信小程序RE

文章作者:

发布时间:2020年07月07日 - 15:30:42

最后更新:2020年07月27日 - 16:45:12

原始链接:http://laker.xyz/2020/07/07/%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8FRE/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。