公众号封面图片素材—解密小程序漏洞:可下载


文 | 李勤

来源于于雷锋网(leiphone-sz)的报道


雷锋网信办息,据 IT 之家 1 月 2 日信息内容称,“跳一跳”居然可以应用系统软件系统漏洞本身改为绩,甚至连手机上手机微信手机微信微信小程序、手机游戏的源代码都可以以以马上完全免费免费下载,只务必掌握appid和版本号号号,即可以马上构造URL完全免费免费下载后缀名名叫wxapkg的源码包,无需一切验证。1 月 2 日下午,著名安全性性精锐精英团队“盘古开天开天”的安全性性权威性权威专家向雷锋网宅客频道栏目频道确定,手机上手机微信手机游戏“跳一跳”改子系统系统漏洞仍在,此前广泛广为流传的“手机上手机微信已补系统软件系统漏洞”便是指早就修补了手机上手机微信手机游戏“跳一跳”的源代码完全免费免费下载系统软件系统漏洞。
[标识:內容1]
这喻意着,改分依然可行。

到底怎样件事儿?雷锋网从盘古开天开天主推商品的 Janus 威胁資源综合服务平台把握赶到详尽信息内容。

一、复现

一个为该综合服务平台文章内容文章投稿的独立开发设计设计方案者朱鹏飞称“我认为完文章内容內容之后马上根据他的设计构思方法检验了一下,接着完全免费免费下载了十许多个手机上手机微信官方网网的手机游戏源码单纯性性科学研究科学研究学习培训学习培训,截止我目前信息消息推送文章内容內容的状况下( 2018一月2日23:50分 ),手机上手机微信官方网网早就修复了这一系统软件系统漏洞,但是我认为文章内容內容还是可以共享资源出来给诸位开发设计设计方案者,安全性性难点的确不能忽视呢。”

雷锋网还注意到,朱说明,一些老版本的手机上手机微信还是可以抓包软件手机软件,得到包详尽详细地址。

朱称,一大早晨来刷 V2EX,看到一个帖子《手机上手机微信跳一跳 可以马上变动考试成绩, POST 乞求没有校验…》好奇心心点进去看了。

发现不但跳一跳手机游戏可以马上改为绩,甚至连手机上手机微信手机微信微信小程序、手机游戏的源代码都可以以以马上完全免费免费下载,只务必掌握 appid 和 版本号号号,即可以马上构造 URL 完全免费免费下载后缀名名叫 wxapkg 的源码包,无需一切验证。

虽然完全免费免费下载来的源码包是数据信息数据加密的,但是解密方法早就被 V2EXer 发现,并且写了一个解密的 Python 脚本制作制作,运行便可以把源码包消除为文本文档夹。

第一步,我先试着用帖子写作者拼凑好的跳一跳源码包详尽详细地址检验,发现能够完全免费免费下载,无需一切验证,只务必掌握这一详尽详细地址,马上随便浏览器或者完全免费免费下载专用型专用工具打开都可以下列列载。

第二步,再用帖子中的解包 Python 脚本制作制作把源码包减轻工作压力成源代码。

第三步,在本地手机上手机微信开发设计设计方案者专用型专用工具中美建一个空白页页的手机微信微信小程序或手机游戏的最新项目,无须选择快速启动模板。

第四步,把不久减轻工作压力出来的源代码复制到没多久创建的最新项目文档文件目录中,开发设计设计方案者专用型专用工具会提示编译程序程序不正确,这一只务必新建一个game.json文本文档便可以。

文本文档内容不能认为空,写一对大括弧进去,或者加上deviceOrientation的配置,这句话话话的含义是手机上手机游戏坚屏玩。

存储后你发现手机上手机游戏还是编译程序程序阻塞过,还务必修改最后一项,点一下开发设计设计方案者专用型专用工具右上角详尽信息内容功能键,把调整基本库改成game。

好了,运行起来了:

此外, Janus 为雷锋网提供了一份全新升级改分攻略大全:

二、改分关键步骤

电脑上上安装抓包软件手机软件手机上手机软件,手机上上设置https代理商商到电脑上上

依据抓包软件手机软件手机上手机软件,抓包软件手机软件获得手机上手机微信的sesseion_id

将sesseion_id加载改分脚本制作制作,提交改分乞求

以下为详细案例实例教程

(1)部署代理商商当然自然环境(mac当然自然环境)

mac下选用charles作为抓包软件手机软件代理商商手机上手机软件(charlesproxy/),windows顾客可以用  fiddler(telerik/fiddler)。

安装好后运行起来,查寻该机IP详尽详细地址,以及手机上手机软件提供的远程控制操纵代理商商端口号号号:

charles 的顶部莱单 Proxy->Proxy settings

将手机上上联接与电脑上高度一致一个局域网络络的wifi,接着在wifi的代理商商设置中,选择手动式式特殊代理商商,代理商商互联网网络服务器为电脑上上的ip及代理商商手机上手机软件提供的端口号号号(如图所示所显示中的8888)。

电脑上上方会提示不是是运行远程控制操纵联接,点allow便可以。

设置好了以后可以尝试浏览器打开baidu,倘若可以一切一切正常打开,并且在抓包软件手机软件手机上手机软件里能见到乞求记录就开展了手机上上的代理商商设置。

由于是https的乞求,务必手上机端安装资质资格证书才可以够解密乞求,charles的资质资格证书可依据手机上上浏览器安装,手机上上浏览器访问chls.pro/ssl,点再度访问此网站,会提示安装资质资格证书。

iOS 10.3以上的系统软件手机软件版本号号,务必在 设置→通用性性→相关该机→资质资格证书信任设置 里面打开完全信任Charles资质资格证书。

配置好资质资格证书后可以打开baidu看一下不是是能消除百度搜索检索的首页源代码。

(2)得到session id

https配置完毕后,打开手机上手机微信的跳一跳手机微信微信小程序,即可以看到抓包软件手机软件历史时间時间有一个带有session id的乞求:mp.weixin.qq/wxagame/wxagame_init

在request一一部分即可以复制到session_id了。

(3)将sesseion_id加载改分脚本制作制作,提交改分乞求

目前开源系统系统软件的脚本制作制作是nodejs写的,git详尽详细地址:gist.github/feix/6dd1f62a54c5efa10f1e1c24f8efc417

具体的步骤:

新建个文档文件目录,比如:wxt1t,接着将脚本制作制作源码存储到这儿,比如hack.js。

接着安装nodejs,可以依据官方网网站完全免费免费下载安装包安装:nodejs.org/en/

接着在命令行cd到现如今最新项目文本文档夹(wct1t),运行:

npm init --y

npm install crypto-js request-promise

接着用文本撰写器打开hack.js,修改里面的score(考试成绩)和session_id变量的值便可以。

命令行好运气行node hack.js,出现2018! Happy new year! 就寓意着获得取得成功了。

上述盘古开天开天权威性权威专家还提醒:“虽然‘跳一跳’的完全免费免费下载编号系统软件系统漏洞早就修补,但是之前官方网网的源代码早就散布开过,别人用来改一改,即可以出个本身的‘跳一跳’了,比如,可以拿‘跳一跳’的编号改一个手机上手机游戏,叫‘跳跳跳’,接着夹带一些私货,发布个初学者机手机游戏。”

倘若那般,相仿的初学者机手机游戏不是是有夹带有意编号的风险性性?

权威性权威专家对雷锋网称:“手机微信微信小程序有审核体系,倘若夹带了有意编号,绕开审核后才能够进行。现如今手机微信微信小程序审核比较苛刻,尚不清楚其对有意编号的会计财务审计力度。”

参考联接:appscan.io/discover-discuss.html?id=1123859495

◆  ◆  ◆

明显强烈推荐阅读文章文章内容



新年低价营销推广进行中,详尽信息内容点一下「阅读文章文章内容全篇」