手把手教你小程序反编译

一、工具整备

1.反编译工具unveilr ：百度网盘链接：https://pan.baidu.com/s/10Wle8CwvBq54GPWcbEnxLQ 提取码：bivh   解压即可用。

2.微信开发者工具：https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

二、小程序反编译过程

1.获取小程序存储文件夹

（1）打开PC端微信设置，在文件管理中找到存储路径，选择打开文件夹。

（2）在WeChat Files目录下Applet目录下wx.......开头的文件就是小程序存储的位置（为快速定位，可提前清空前期存储的小程序文件，或者按修改时间进行排序）

（3）在电脑PC端小程序面板打开需要反编译的小程序（尽量多访问小程序的功能点，保证本地存储的小程序文件的完整性）。

2.开始反编译

（1）下载解压unveilr工具。

（2）在unveilr所在目录打开cmd窗口，执行以下命令：unveilr.exe "D:\Users\weixin\WeChat Files\Applet\wxda137c2efa9b7955\13"。（记得路径需要双引号，不然会报错，被坑了）进行小程序反编译。

（3）执行之后，在小程序对应目录生成__APP__文件目录，即是小程序反编译之后的源码。

（4）源码可以通过微信开发者工具导入打开查看，也可用通过其他IDE或者文件查看工具进行查看（这里介绍微信开发者工具打开）。

首先打开微信开发者工具，选择小程序，点击导入。

将整个__APP__文件夹导入

AppID可以自己注册，也可以使用测试号，后端服务选择“不使用云服务”。点击确定即可。

然后选择信任并运行。

就能清楚看到小程序的源代码，基本有js文件、json文件和一些wxml控件格式文件。js文件包含小程序调用的js函数， json文件包含小程序的路径和接口信息，一般可以用来测试未授权访问。

反编译获取源码后，可以进行以下渗透：（1）可以开展接口测试，找到未授权访问漏洞；（2）搜索OSS信息泄露，利用OSS连接客户端连接；（3）可以搜索小程序加解密算法js文件，能找到小程序加解密用的密钥，获取请求和返回的敏感信息。