概述

由于之前工作的需要，经常对小程序进行渗透测试，一些小程序抓包的时候，是能够进行查询他人信息的，这里对存在这种漏洞的小程序，用一个案例来讲，渗透测试的时候，进行代码审计的过程

获取微信源代码

首先，进行解密

当然，解密的工具有很多，这里就不进行一一举例了

解密源码文件

我在给某江小程序进行渗透测试的时候，在获取它源码的情况进行代码审计，发现它把调用的加密函数放在了/utils/crypto/index.js文件下，发现是一个aes加密

猜想它肯定是有一个js用了一个文件，通过密钥进行加密了，顺藤摸瓜，找到另外一个indes.js文件，而这里面正好有我所需要的加密

于是，在摸清楚加密方式和密钥以后，我就开始用它来生成大批量的字典，进行查询

随便一个查询页面的加密密钥，进行解密

加密获取用户信息

因为批量的不是很多，就单独列几条去敏信息的案例截图拿来展示就行了