一分钟教你学会hook调试WX小程序

声明

本文属于OneTS安全团队成员w1s的原创文章，转载请声明出处！本文章仅用于学习交流使用，因利用此文信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，OneTS安全团队及文章作者不为此承担任何责任。

前几天Gal0nYu师傅找我看某小程序的加解密算法，试了一下之前的工具都已经不太好用了😒

谷歌了一番，发现了一个使用hook方式调试微信小程序的办法，看了一下使用方法，还算简单，给大家分享下吧~

1、下载项目

首先当然是要把工具下载下来了，项目地址在后台回复 安卓 即可获得！！！

下载后的项目是这样的，这里注意不要使用release的版本，那个好像还没适配最新版微信，可以直接克隆项目或者下载zip

2、安装依赖

在项目目录打开cmd，输入pip install -r requirements.txt就能安装好依赖库（不会还有人没装python3吧，不会吧不会吧😂）

3、使用项目

首先，我们需要打开微信，这里推荐用小号，然后随便打开一个小程序，在项目目录运行python main.py -x，即可开始hook

此时只需要打开你需要调试的小程序，就可以开启调试了

4、信息泄露导致RCE

打开DevTools后，习惯性的看一下js文件，突然发现有一个config.js的文件，点开看一眼，竟然泄露了AkSk信息😵

直接调用接口，发现竟然是主账号，直接接管账号权限，获取所有服务器管理权限

Ps：不要切换中文！不要切换中文！不要切换中文！