当前位置: 首页 > news >正文

单位网站开发扶贫工作网站怎么做

news 2025/11/2 7:20:03
单位网站开发,扶贫工作网站怎么做,游戏小程序源码,印刷网站 源码之前看到了一篇文章 小程序绕过sign签名思路 之前在做小程序渗透时也遇到了这种情况,但是直接放弃测试了,发现这种思路后,又遇到了这种情况,记录下过程 并没有漏洞分享,仅仅是把小程序也分享出来,方便大家…

之前看到了一篇文章 小程序绕过sign签名思路 之前在做小程序渗透时也遇到了这种情况,但是直接放弃测试了,发现这种思路后,又遇到了这种情况,记录下过程

并没有漏洞分享,仅仅是把小程序也分享出来,方便大家测试学习。小程序 父母邦亲子旅行酒店营地乐园活动

在登录时验证码登录的数据包

POST /wxapp/login/send_messages?format=json HTTP/1.1
Host: api.fumubang.com
Content-Length: 118
Xweb_xhr: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090819) XWEB/8555
Content-Type: application/json
Accept: */*
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://servicewechat.com/wxef0aac3d44dcda51/214/page-frame.html
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close{"phone_num":"XXXXXXXX","version":"3.3.9","scene":1053,"appid":648481988,"sign":"85a840e3674201f2606b8b65f914b912"}

图片

 

我们直接修改手机号,重放数据包

图片

 

提示签名失败

打开对应的路径 C:\Users\1\Documents\WeChat Files\Applet

图片

 

将目录下所有文件全部删除 并重新打开小程序,此时生成的唯一文件夹,就是对应的该小程序的代码

图片

 

对小程序进行反编译

图片

 

因为有一些依赖于 wx 所以只能提供思路

图片

 

我们看到 sign 的创建流程

图片

 

所以只需要构造满足 i.sign = a.create_sign(i, "d19e4abd1036063faa4218c139378c0e"); 就好啦

初期思路是这样子的

图片

 

但是因为存在 wx 的依赖,无法运行成功,但是加密是在本地处理的,这样构造应该是不对的

柳暗花明

我们加入调试

图片

 

发现第一个请求的数据包 /wxapp/index/get_kefu_phone 不需要登录就可以访问到这个界面,同时界面里也有 sign 参数

利用微信开发者工具进行模拟操作

加入断点

图片

 

继续步入

图片

 

可以添加字段 查看对应的值

继续步入

图片

 

该函数首先创建一个空数组 e,然后通过 Object.keys(r).sort() 获取对象 r 的所有键,并进行排序。遍历排序后的键数组,判断键值是否符合特定条件,并将满足条件的键值对拼接成字符串并存入数组 e 中。 最后得到的值是

scene=1001&version=5.0.6d19e4abd1036063faa4218c139378c0e

图片

 

返回值为 64d78d749828368851331593fa1e1ceb

图片

 

图片

 

就是对应字符串生成的 md5 的值

我们修改一下数据包

图片

 

发送成功

修改手机号的数据包

图片

 

图片

 

将手机号修改后 提示签名失败

phone_num=1xxxxxxxxx9&scene=1053&version=3.3.9d19e4abd1036063faa4218c139378c0e
a90b19243e471d648d8eb5022d48066cphone_num=1xxxxxxxxx2&scene=1053&version=3.3.9d19e4abd1036063faa4218c139378c0e
85a840e3674201f2606b8b65f914b912

图片

所以我们把代码稍微修改一下

"use strict";
var a = require("./md5.js");
var i = {"phone_num":"1xxxxxxxxxx2","version":"3.3.9","scene":1053,"appid":648481988}
i.sign = a.create_sign(i, "d19e4abd1036063faa4218c139378c0e");
console.log(i);

图片

 

成功破解了 sign 签名,可以发送任意数据包

原创稿件征集

http://www.yayakq.cn/news/684961/

相关文章:

  • 网站建设整个流程图wordpress 响应
  • 网站设计风格光明新区住房和建设局 官方网站
  • 长沙企业做网站网站中文章内图片做超链接
  • 网站数据库迁移手机浏览器输入网址
  • 公益环保网站建设做网站需要多少钱平邑
  • 织梦二次开发手机网站网站做哪些比较有意思
  • 凡科可以做社交网站吗什么网站发布找做效果图的
  • 精选聊城做网站的公司安阳网约车准入条件
  • 免费自己怎么注册网站网站建设要咨询哪些
  • 凡科建网站甘肃路桥建设集团有限公司网站
  • 传奇怎么做网站中山手机网站制作多少钱
  • zen cart 创建的网站龙岩新闻龙岩kk网社区
  • 西安曲江文化园区建设开发有限公司网站淘宝搜索词排名查询
  • 旌阳移动网站建设济南建设网站制作
  • 淄博 做网站正规绍兴网站建设公司
  • 温州市网站建设公司公司网站制作计入什么科目
  • 上海网站建设公司网站建设西宁企业做网站
  • 网站建设软件有哪些网红营销的优势
  • 网站虚拟主机互联网推广方案
  • 山西太原建设银行招聘网站安徽网站设计
  • 公司网站建设与设计制作厉害的网站开发
  • 网站规划内容包括游戏网站seo怎么做
  • 泸州网站建设公司山西网站建设鸣蝉
  • 网站开发建设需多少钱近期网络营销的热点事件
  • pc 手机网站 微站前端开发兼职的未来发展
  • 各类网站推广北仑网站建设培训
  • 西部数据网站建设淘宝二官方网站是做啥的
  • 写网站的教程WordPress网站代码修改
  • 网站域名怎么选择上海网站设计工作室
  • 怎样建设一个网站教学广州营销型网站建设怎么样