纯python实现小程序云函数抓包(附完整代码)

2024-06-04 2816阅读

纯python实现小程序云函数抓包

  • 原理
  • 参数call
  • 返回结果call
  • 使用frida进行hook
  • 结果

    原理

    其实小程序授权和云函数执行是一回事,和小程序取code也是一回事,调用的call也是同一个,只不过参数不同,而且实际上执行的call和hook结果的call是不一样的,在这里我们使用frida来hook云函数执行的参数和结果。

    • 目前其他功能以开发完成,并编译为DLL,具体文档可以看:个非寻的 wechathook 文档

      以上仅供学习交流使用。

      参数call

      纯python实现小程序云函数抓包(附完整代码) 第1张

      首先确定参数的call,逆向找call的过程就不说了,想要知道怎么找call的私聊就好,这里我们HOOK这个wechatwin.3B4E370,此时可以看到ecx的值就是json格式的参数,但实际上我们从这三个连续的call可以猜到,他可能有3个参数,然后我们在堆栈窗口上也能看到,除了json格式的参数以外,还有两个参数(另外一个是重复的),所以这里我们确切的说应该是要hook三个参数出来,实际的测试中还涉及一个task_id的数据,这个数据不为0的,才是真正的参数。这段json数据的偏移是0。

      返回结果call

      纯python实现小程序云函数抓包(附完整代码) 第2张

      云函数的返回结果我这里hook的是wmpf_host_export.dll这个模块,可以看到,在这里下断之后,在与esi接近的地址中有一段是返回的云函数结果,偏移的0x24

      使用frida进行hook

      from __future__ import print_function
import json
import frida
import sys
def on_message(message, data):
    conte = json.loads(message['payload'])
    if conte['task_id'] != 0:
        print('返回结果:',message['payload'])
def on_parameter(message, data):
    conte = json.loads(message['payload'])
    if conte.get('task_id',None) != 0:
        print('参数:', message['payload'])
def main(target_process):
    session = frida.attach(target_process)
    scriptresult = session.create_script("""
    var ModAddress=Process.findModuleByName('wmpf_host_export.dll');
    //console.log('ModAdress:' + ModAddress.base);
    var hookAddress=ModAddress.base.add('0xA5320')
    Interceptor.attach(hookAddress,{
        onEnter:function(args) {
            //console.log(JSON.stringify(this.context));
            var esi=this.context.esi;
            //var esi1=Memory.readPointer(esi+0x24)
            var result=Memory.readUtf8String(Memory.readPointer(esi.add('0x24')));
            send(result)
        }
    })
""")
    scriptparameter = session.create_script("""
        var ModAddress=Process.findModuleByName('WeChatWin.dll');
        //console.log('ModAdress:' + ModAddress.base);
        var hookAddress=ModAddress.base.add('0x54A560')
        Interceptor.attach(hookAddress,{
            onEnter:function(args) {
                //console.log(JSON.stringify(this.context));
                var ecx=this.context.ecx;
                //var datapoin=Memory.readPointer(ecx)
                var result=Memory.readUtf8String(Memory.readPointer(ecx));
                send(result)
            }
        })
    """)
    scriptresult.on('message', on_message)
    scriptresult.load()
    scriptparameter.on('message', on_parameter)
    scriptparameter.load()
    print("[!] Ctrl+D on UNIX, Ctrl+Z on Windows/cmd.exe to detach from instrumented program.\n\n")
    sys.stdin.read()
    session.detach()
if __name__ == '__main__':
    main('wechat.exe')

      代码中实际的偏移因版本不同而不同,大家只要把对应版本的偏移计算出来就可以直接运行代码。

      结果

      纯python实现小程序云函数抓包(附完整代码) 第3张

      这里之所以参数和返回结果数量不同,是因为有些参数并不会有产生返回结果,即当task_id等于0的参数,一般不会有返回结果。如果想要获取code和sessionid等的参数可以看我的上一篇文章


相关阅读:

1、揭秘VPS中转奥秘,数据传输加速技巧全解析!

2、VPS数据库误删紧急应对与恢复手册,实用指南助你迅速恢复数据

3、FX PCS VPS使用详解与教程,轻松上手,助力交易体验提升!

4、VPS手机分享使用指南,轻松上手,随时随地畅享服务!

5、阿里云VPS使用指南,轻松搭建云环境,快速上手!

    高速稳定云服务器25元起
    免责声明:我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理! 图片声明:本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库和百度,360,搜狗等多加搜索引擎自动关键词搜索配图,如有侵权的图片,请第一时间联系我们,邮箱:ciyunidc@ciyunshuju.com。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!

    相关阅读

    目录[+]