记一次微信小程序逆向

原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/2933想到学校的小程序，然后看一看，第一次测小程序，师傅们勿喷记一次小程序逆向遇到瓶颈了，不知道该干什么，突然想到学校的小程序闲来无事就看一看[doge]抓包下来的数据是这样的，嗯，下机（hhh一、反编译程序加密嘛，之前抓了看到是加密就放弃了，现在重新弄一弄https://github.com/wux1an/wxapkg用这个工具反编译本地微信小程序于是乎拿到js源码看一看二、AES加密找到一些信息AES加密，CBC模式，key和偏移量都拿到了1）解密可以解密数据在线AES加密解密 - 无双工具 (wushuangzl.com)三、重放1）sign签名这边数据包中有个签名值，还有个时间戳timestamp，防止重放，所以要尝试知道怎么计算这个sign值继续查看源码找到一处signMD5的调用，应该是md5的计算找到i的实现全局搜索90c5SignMD5 函数通过 ………………………………