

小程序渗透测试，只有一个页面？以及关联通杀方案

知攻善防实验室

2025-12-08

导读：灵机一动就想到了最近看了关于小程序的“影子资产”相关文章，感觉甚是美妙，这里推荐大家去原文看一下：新增攻击面：

灵机一动就想到了

最近看了关于小程序的“影子资产”相关文章，感觉甚是美妙，这里推荐大家去原文看一下：

新增攻击面：影子“小程序”

简单来讲，就是有一些搜不到的小程序，在测试过程中可能有非常大的攻击入口。

从过 ICP 小程序备案查询->微信接口找到对应的 AppID->微信小程序官方接口跳转

整一套思路已经搞出来了，非常好整，推荐大家去玩一玩。

根据“牛马安全”相关思路，我们可以引出以下内容

1.逆向分析小程序，本地调试

这个我个人感觉算测的比较细的了

逆向出来的，不能直接在微信开发者工具里面进行调试，建议配合claude+GLM 让 AI 对逆向出来的源码进行修补

2.AppID 跳页面

逆向出来的小程序，会出现很多 Path

可以配合 AppID+Path 跳转，如果前后端权限没设计好，直接越权页面。

强跳小程序源码：

https://pan.quark.cn/s/d777ac4e7f24

其他小程序相关Q&A：

抓包：Proxifier/小黄鸟（建议）

4.0反编译路径：

C:\Users\xxx\AppData\Roaming\Tencent\xwechat\radium\Applet\packages/Users/xxx/Library/Containers/com.tencent.xinWeChat/Data/Documents/app_data/radium/Applet/packages

强开 F12：

Windows：https://github.com/evi0s/WMPFDebugger

MacOS：目前只能降级用老工具

有的小程序抓不到

证书安装正确，还是抓不到的话，可能是因为微信的私有协议，确实目前没找到好的办法。

三连一下吧，最近流量老低了

【声明】内容源于网络

知攻善防实验室

红蓝对抗，Web渗透测试，红队攻击，蓝队防守，内网渗透，漏洞分析，漏洞原理，开源工具，社工钓鱼，网络安全。

内容 271

粉丝 0

知攻善防实验室红蓝对抗，Web渗透测试，红队攻击，蓝队防守，内网渗透，漏洞分析，漏洞原理，开源工具，社工钓鱼，网络安全。

总阅读34

粉丝0

内容271