1.小程序通信
https 通信 大部分 只要是http协议所以漏洞都可能有
因为apk和小程序https 抓到报文 搞到web渗透
抓不到包 加密咋办
对称加密 因为密钥在源代码里
所以逆向 找到js代码 然后找到密钥
路径 小程序
工具 wxapkg 扫描小程序 (反编译工具)
程序 scan
路径不在这里
解包
点击回车
位置
找到servier
找到里面的 网站地址
ctrl+f https搜索
看看连接
小程序所有资产都是我的 抓包
2.找到api
api接口
作用 接口 可以不登录访问 叫做未授权漏洞
3.info 信息
apk渗透 应用
提取敏感证书
apkAnalyser 工具
双击 exe
把app放进去 直接双击小程序
然后会解析出来
重要的抓包 证书
夜神模拟器
证书
加密问题
证书下载
打开bp代理
安卓证书
bp证书不可安装到安卓上 借助openssl转换证书
格式
安装
直接全部下一步
添加环境变量
桌面上
计算
开始
提权
放证书
上bp
手机配置
