前言

在渗透测试时，除了常规的Web渗透，小程序也是我们需要重点关注的地方，微信小程序反编译后，可以借助微信小程序开发者工具进行调试，搜索敏感关键字，或许能够发现泄露的AccessKey等敏感信息及数据

工具安装

小程序解密：
https://github.com/Angels-Ray/UnpackMiniApp
小程序反编译：
https://github.com/Angels-Ray/wxappUnpacker
微信小程序开发者工具
https://sw.pcmgr.qq.com/655664d78a9d34bcf316f6a5a76b97b0/667bc1ac/spcmgr/download/wechat_devtools_1.06.2303220_ia32.exe

查找本地小程序文件

在微信设置-文件管理中查看小程序的默认存储位置，一般在默认文件夹下的\Applet里
创建wxpack文件夹，默认小程序解密后的文件会存放到这里

UnpackMiniApp小程序解密

wxappUnpacker反编译

• 在wxappUnpacker文件夹下开启CMD
• npm install 安装所需模块

只有一个包时：

node ./wuWxapkg.js 刚才解密的包的路径

存在多个包时：

node ./wuWxapkg.js 分包 -s=主包

微信开发工具调试运行

查找关键字

key，user，pass，name，http，url