获取办法:在已经ROOT的手机上使用RE文件管理器查看微信源码目录,并复制导出到电脑中。

微信小程序源文件保存在/data/data/com.tencent.mm/MicroMsg/.../appbrand/pkg/这个目录下,中间的“...”是一串32位的16进制字符串名文件夹。

如果有很多不确定是哪个的情况下,我的解决办法是删掉所有这样的目录,在微信中删掉小程序重新添加,就可以看到新创建的目录。找到指定目录并拷贝至电脑上,我们就获得了微信小程序的源代码,在我的手机上有两个wxapkg文件,不清楚是哪个,先都拷贝出来。

记一次提取微信小程序源码-子客/Zihao's blog

下一步是反编译源文件,用大佬写的 wxappUnpacker,Github地址:https://github.com/qwerty472123/wxappUnpacker
我们首先安装nodejs环境:https://nodejs.org/en/

运行记一次提取微信小程序源码-子客/Zihao's blog

进入刚下载的wxappUnpacker文件夹内,安装一下依赖:
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify
npm install escodegen
最后使用这个命令进行反编译源文件:node wuWxapkg.js [-d] <files...> //files 就是你想要反编译的文件名
例如:我有一个需要反编译的文件 _12345678_123.wxapkg 已经解压到了D盘根目录下,那么就输出命令
node .\wuWxapkg.js D:\_12345678_123.wxapkg
记一次提取微信小程序源码-子客/Zihao's blog

这样我们就得到了某达小程序源码,对于微信小程序这种,我们可以简单理解为HTML+CSS+JS,只不过JS是微信JS而已。
所以在这个场景下,我们的思路就是找到小程序源码,看看JS里面有没有什么能利用的东西,对网络传输进行抓包,试试有没有漏洞。
关于这个游戏论坛上和网络其他位置已经有很多工具和教程了,本篇文章不会留工具,纯技术讨论,想要工具的可以直接关掉本文去404搜索其他文章了,本篇文章是纯技术流程!