iOS 微信小程序逆向

起因：盯上了一个小程序，想要使用接口直接访问小程序内容，但是小程序需要登录！用charles抓包后发现其中登录接口的密码被加密了，密文: "encryptPasswd": [89, 84, ...., 106, 77, 61], ,第一反应是字符串转ascil值，但是将我的密码转换后与其对不上，所以里面应该用了其他什么方法。为了获取其密码的加密规则，开搞！

万能的百度先搜一波发现已经有很多人做了解密了小程序的教程，但是全是基于安卓手机或者安卓模拟器的。哦！没安卓机！装个模拟器？算了吧！这部有台已经越狱的iphone7麻，既然安卓能获取到微信小程序包，那IOS应该也是可以的。试试吧！打开unc0ver 先越狱。然后i4助手找到应用越狱文件系统，那么怎么找到微信存放的小程序包呢？猜想应该存放在沙盒里。 思路一，直接hook 微信，找到沙盒地址导出后再查找。感觉应该是可行的。 *** 作起来也不难，由于DKWeChatHelper微信已经被搞了很多次了。 frida-ios-dump 导出安装包，monkeydev hook安装包，重新打开小程序，导出沙盒内容查找。

感觉不是很方便啊，偷个懒呗。方案二： SSH ,ssh登录到手机后，直接进入沙盒地址

cd var/mobile/Containers/Data/Application

查看一下内容

这也不知道哪一个啊，那就直接开搜吧

easy！ .这不比模拟器快多了，再按修改日期排个序，很容易就找到了小程序包。

接下来就是 解包小程序了。其他博客这部分内容很多，就不介绍了，获取源码后使用微信开发者工具打开。全文搜索一下 login 吧，结果太多了。这时候结合抓包，根据接口地址搜索，最终确定了登录的函数。

黑客不可以攻击微信小程序。 微信属于手机软件,现在能入侵手机软件的黑客我想就是黑客巅峰上的那些和米文凯特·尼克这个超级黑客了,他们不可能来入侵你的微信。 世界上没有什么东西是百分百安全的,微信也一样。 黑客防范的常见措施 屏蔽可以IP地址:一旦网络管理员发现了可疑的IP地址申请,可以通过防火墙屏蔽相对应的IP地址,这样黑客就无法在连接到服务器上了。 但是这种方法有很多缺点,例如很多黑客都使用的动态IP,也就是说他们的IP地址会变化,一个地址被屏蔽,只要更换其他IP仍然可以进攻服务器,而且高级黑客有可能会伪造IP地址,屏蔽的也许是正常用户的地址。

将此类交通违法纳入有奖举报，不仅可以充分发挥群众的力量，共同参与交通违法治理，而且也是对交通违法进行精准打击的有效手段之一。

有奖举报范围增至11项

目前，新增的三项有奖举报交通违法，已经完成系统测试。上线后，有奖举报交通违法范围由原来的8项增加至11项，具体包括

1.违反交通信号灯指示通行

2.机动车跨压禁止标线（含实线、导流线）

3.机动车不按导向车道行驶

4.驾驶机动车逆向行驶

5.遇前方机动车停车排队或者缓慢行驶时穿插等候车辆

6.非紧急情况时在高速公路应急车道上行驶

7.故意遮挡号牌

8.使用伪造变造号牌交通违法

9.飙车

10.擅自改变机动车外形

11.不按规定安装机动车号牌

1.违反交通信号灯指示通行

2.机动车跨压禁止标线（含实线、导流线）

3.机动车不按导向车道行驶

4.驾驶机动车逆向行驶

5.遇前方机动车停车排队或者缓慢行驶时穿插等候车辆

6.非紧急情况时在高速公路应急车道上行驶

7.故意遮挡号牌

8.使用伪造变造号牌交通违法

9.飙车

10.擅自改变机动车外形

11.不按规定安装机动车号牌

怎样举报？

举报人可通过登录“天津交警”微信平台和微信小程序、“天津公安APP”抓拍违法照片上传至“天津市道路交通违法举报平台”，也可通过车载行车记录仪采集视频上传至“天津市道路交通违法举报平台”进行举报。

为便于驾驶员在驾车途中举报发现的交通违法行为，天津市交管局已与三家行车记录仪生产企业（中国移动，车小米，广通科技）完成了对接，驾驶员利用手机注册完违法举报平台后，通过扫一扫功能，扫描行车记录仪上的二维码进行设备绑定，即可通过语音或一键举报 *** 作，使用行车记录仪将发现的道路交通违法行为直接截取保存影像资料，自动传输至交管部门，无需再次进行任何 *** 作，确保驾驶员在举报过程中能够安全驾驶。

---