一、前言
深受阿里白帽大会depy师傅分享的议题《攻防演练中非传统web攻击面自动化利用与发现》的启发,尝试开发类似可以实现自动化提取分析的工具,于此文,分享我取得的进展。
二、实践
为保护知识成果,仅从自己实现的工程化设计出发,简要介绍功能模块:
-
main.py 任务推送、全局控制
-
server.py 与手机端autojs通信
-
hae.py 执行HAE扫描任务
-
auto_wx_.js 执行autojs业务逻辑
执行流程:
-
配置任务到
task.json,例如:[
{
"auto_status": 0,
"pc_status": 0,
"xiaoName": "饿了么"
}
] -
执行
server.py拉起PC电脑监听端 -
通过PC电脑推送手机执行
auto_wx_.js, 即小程序自动化加载 -
通过PC电脑,完成小程序提取,解包,扫描与结果输出
三、展示
原文始发于微信公众号(Art Of Hunting):[AOH 022]微信小程序自动化提取与扫描实践
