文 | 李勤来自雷锋网（leiphone-sz）的报道雷锋网消息，据 IT 之家 1 月 2 日消息称，&跳一跳&居然可以利用漏洞自己改分数，甚至连微信小程序、小游戏的源代码都可以直接下载，只需要知道appid和版本号，就可以直接构造URL下载后缀为wxapkg的源码包，不需要任何验证。1 月 2 日下午，著名安全团队&盘古&的安全专家向雷锋网宅客频道证实，微信小游戏&跳一跳&改分漏洞仍在，此前流传的&微信已补漏洞&是指已经修补了微信小游戏&跳一跳&的源代码下载漏洞。这意味着，改分依然可行。到底怎么回事？雷锋网从盘古旗下的 Janus 威胁情报平台了解到了详情。一、复现一个为该平台投稿的独立开发者朱鹏飞称&我看完文章之后立马根据他的思路方法测试了一下，然后下载了十几个微信官方的小游戏源码单纯研究学习，截止我目前推送文章的时候（ 日23:50分 ），微信官方已经修复了这个漏洞，但是我感觉文章还是可以分享出来给诸位开发者，安全问题真的不容忽视呢。&雷锋网还注意到，朱表示，有些老版本的微信还是可以抓包，获取包地址。朱称，一大早起来刷 V2EX，看到一个帖子《微信跳一跳 可以直接更改分数， POST 请求没有校验&》好奇点进去看了。发现不但跳一跳小游戏可以直接改分数，甚至连微信小程序、小游戏的源代码都可以直接下载，只需要知道 appid 和 版本号，就可以直接构造 URL 下载后缀为 wxapkg 的源码包，不需要任何验证。虽然下载来的源码包是加密的，但是解密方法已经被 V2EXer 发现，并且写了一个解密的 Python 脚本，运行即可把源码包解开为文件夹。第一步，我先试着用帖子作者拼接好的跳一跳源码包地址测试，发现能够下载，不需要任何验证，只需要知道这个地址，直接任意浏览器或者下载工具打开都可以下载。第二步，再用帖子中的解包 Python 脚本把源码包解压成源代码。第三步，在本地微信开发者工具中新建一个空白的小程序或小游戏的项目，不要选择快速启动模板。第四步，把刚才解压出来的源代码复制到刚刚创建的项目目录中，开发者工具会提示编译出错，这个只需要新建一个game.json文件即可。文件内容不能为空，写一对大括号进去，或者加上deviceOrientation的配置，这句话的意思是游戏竖屏玩。保存后你发现游戏还是编译不通过，还需要修改最后一项，点击开发者工具右上角详情按钮，把调试基础库改成game。好了，运行起来了：此外， Janus 为雷锋网出具了一份最新改分攻略：二、改分关键步骤电脑安装抓包软件，手机设置https代理到电脑通过抓包软件，抓包拿到微信的sesseion_id将sesseion_id写入改分脚本，提交改分请求以下为详细教程(1)部署代理环境（mac环境）mac下选用charles作为抓包代理软件(https://www.charlesproxy.com/)，windows用户可以用
fiddler(https://www.telerik.com/fiddler)。安装好后运行起来，查看本机IP地址，以及软件提供的远程代理端口号：charles 的顶部菜单 Proxy-&Proxy settings将手机接入与电脑同一个局域网的wifi，然后在wifi的代理设置中，选择手动指定代理，代理服务器为电脑的ip及代理软件提供的端口号（如图中的8888）。电脑端会提示是否运行远程接入，点allow即可。设置好了以后可以尝试浏览器打开baidu.com，如果可以正常打开，并且在抓包软件中可以看到请求记录就完成了手机的代理设置。由于是https的请求，需要在手机端安装证书才可以解密请求，charles的证书可通过手机浏览器安装，手机浏览器访问http://chls.pro/ssl，点继续访问此网站，会提示安装证书。iOS 10.3以上的系统版本，需要在 设置&通用&关于本机&证书信任设置 里面启用完全信任Charles证书。配置好证书后可以打开https://baidu.com看看是否能解开百度的首页源代码。(2)获取session idhttps配置完毕后，打开微信的跳一跳小程序，就可以看到抓包历史有一个带有session id的请求：https://mp.weixin.qq.com/wxagame/wxagame_init在request部分就可以复制到session_id了。(3)将sesseion_id写入改分脚本，提交改分请求目前开源的脚本是nodejs写的，git地址：https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417具体的步骤：新建个目录，比如：wxt1t，然后将脚本源码保存到这里，比如hack.js。然后安装nodejs，可以通过官网下载安装包安装：https://nodejs.org/en/然后在命令行cd到当前项目文件夹(wct1t)，运行：npm init --ynpm install crypto-js request-promise然后用文本编辑器打开hack.js，修改里面的score（分数）和session_id变量的值即可。命令行运行node hack.js，出现2018! Happy new year! 就代表成功了。上述盘古专家还提醒：&虽然&跳一跳&的下载代码漏洞已经修补，但是之前官方的源代码已经传播开了，别人拿去改一改，就可以出个自己的&跳一跳&了，比如，可以拿&跳一跳&的代码改一个游戏，叫&跳跳跳&，然后夹带一些私货，发布个新游戏。&如果这样，类似的新游戏是否有夹带恶意代码的风险？专家对雷锋网称：&小程序有审核机制，如果夹带了恶意代码，躲避审核后才能实现。现在小程序审核比较严格，尚不清楚其对恶意代码的审计力度。&参考链接：http://appscan.io/discover-discuss.html?id=
24小时报不停
蚂蚁金服回应ofo取消芝麻信用免押:尊重对方商业决定
ofo部分城市调整收费标准，骑行3分钟收费2元
天猫618带动线下消费笔数同比去年增长45%
魅族裁员2000人？官方回应：回归精简高效，裁员610人
杭州约谈58同城等网上房源发布平台 严禁虚假房源
微信再现大规模封号：疑因使用外挂和非官方客户端
谷歌母公司审核组：DeepMind医疗部门应阐明盈利模式
美媒：共享电动滑板车已暂时消失在旧金山街头
美国贸易部门认为苹果侵犯高通专利：或致iPhone被禁
互金协会牵头起草互联网非公开股权融资暂行管理办法
传苹果将在今明两年继续推LCD版iPhone：价格是主因
苹果继续研发无人驾驶：从Waymo挖来高级工程师
黑客决定无条件删除所窃A站数据
苹果市值9370亿美元：占标普500公司总市值的4%
深交所：投资者买入CDR前需签署风险揭示书
证监会：审核创新试点企业比一般IPO更严格
世界杯揭幕战优酷直播用户超1200万
AT&T成功收购时代华纳，后者将改名为时代传媒
和信贷2018财年净利6550万美元，出借人数超13万微信小游戏一定要APPID才可以打开调试吗？ - 知乎1被浏览171分享邀请回答0添加评论分享收藏感谢收起写回答微信小游戏APPID怎么获得？_微信小游戏吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：364贴子：
微信小游戏APPID怎么获得？
目前小游戏不提供公开注册，可点击体验小游戏使用无 AppID 模式。
贴吧热议榜
使用签名档&&
保存至快速回贴如何获得微信小游戏跳一跳源码 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
如何获得微信小游戏跳一跳源码
· 165 天前 · 28053 次点击
昨天 V2EX 上的一篇通过抓包来获取微信跳一跳源码的文章走红，文章连接点击
我也在通过文章中的方式进行了抓包，但是并未探测到小游戏的下载连接，可能微信对此已经进行了修复。而且上文中提供的下载连接也显示为 404 的状态码。
虽然抓包未果，但是依然可以从本地将源码抽离出来，下面将介绍如何从 Android 手机里面找到微信下载的小游戏源码
一部已经 root 的 Android 手机
电脑上已安装 Android SDK 并可以使用 adb 命令
需要注意的是必须是已经 root 了的 Android 手机，否则将没有权限访问对应手机的系统文件夹
通过 USB 将手机连接到电脑上，然后运行以下命令
adb devices
如果显示了一下信息
List of devices attached
71MBBL6228EU device
说明手机已经连接到电脑上，如显示未找到 adb 命令，则说明 Android SDK 安装错误或 adb 未添加到电脑 path 中，请自行上网进行相应查阅
手机连接电脑成功后，运行一下命令
终端出类似 root@{手机型号} 前缀，说明已经进入到 root 模式下
$ cd /data/data/com.tencent.mm/MicroMsg/{User}/appbrand/pkg
{User} 为当年用户的用户名，类似于 1ed**********c514a18
然后当前目录就是微信用于存放小程序和小游戏下载包的位置
__5.wxapkg
__5.wxapkg_xdir
__92.wxapkg
以上是我的微信中所下载过的小程序和小游戏源码
因为 /data 目录为系统级目录，无法直接将其进行复制，需要重新挂载为可操作模式
$ mount -o remount,rw /data
此时就可以将当前目录下的文件拷贝到 sdcard 中
$ cd /data/data/com.tencent.mm/MicroMsg/{User}/appbrand/pkg/__5.wxapkg /mnt/sdcard
然后将 __5.wxapkg 文件拷贝到电脑里，通过该进行解压后，即为其源码
通过新建一个空白的小程序或者小游戏的项目，主要不要选择快速启动模板
然后把刚才解压出来的源代码复制到刚刚创建的项目目录中，开发工具会提示编译错误，这时只要在项目中新建一个 game.json 文件，并在文件里写入以下代码
"deviceOrientation" : "portrait"
然后将开发工具的调试基础库改为 game
程序就会在开发者工具里运行起来了
第 1 条附言 &·& 165 天前
更正文中错误:
文中拷贝目录下的文件到 sdcard 中的命令，笔误写错，应该为
$ cp /data/data/com.tencent.mm/MicroMsg/{User}/appbrand/pkg/__5.wxapkg /mnt/sdcard
重要提醒就是不建议普通用户将自己的安卓手机进行 root，本人 root 的也只是测试机，自用安卓手机 root 后有很高的安全风险，请慎重！！！
123 回复 &| &直到
15:57:38 +08:00
& &165 天前 via iPhone
要上新闻，占位
& &165 天前 via iPhone
& &165 天前
& &165 天前
& &165 天前
这个是回复
这贴的吧。
& &165 天前 via Android
& &165 天前 via Android
火鉗劉明。
& &165 天前
这个帖有潜力
& &165 天前
小程序离死亡又近了一步
& &165 天前 via Android
& &165 天前 via iPhone
666，res 文件夹下面是游戏里用到的资源文件吗？
& &165 天前
& &165 天前
& &165 天前
& &165 天前
@ 恩 是的，但是微信对小游戏有包大小的限制在 4M 左右，所以 res 文件夹下只放一些启动需要的资源文件，进入后会从网络下载一部分
& &165 天前
厉害了～～～火钳刘明
& &165 天前
安卓手机这个要求和困难
& &165 天前
@ 还可以吧，像小米和魅族等国内手机厂商，root 很简单的
& &165 天前
可以刷分之后马上就没人玩了
& &165 天前
& &165 天前
& &165 天前
楼主整理总结的不错，刷分其实只是一个噱头，有意思的点最后还是需要落在技术上。
& &165 天前
@ 也要多感谢你文章的指引
& &165 天前
没加密。。。。。。。
& &165 天前
`未找到入口 app.json 文件，或者文件读取失败，请检查后重新编译。`
入口怎么配置
& &165 天前
@ 你解析的是小程序的文件吧，那就自己创建个 app.json 然后添加点配置信息
& &165 天前
这个方法 @ 早在帖子
里回复了嘛。。。?
& &165 天前
能不能 HONG BAO 帮忙弄个微信小程序源码？
& &165 天前
@ 恩 对的，我只是将自己实践的过程进行了整理，方法并非原创
& &165 天前
@ 你可以自己先实践一下，如果哪里遇到了问题，可以交流解决
& &165 天前
@ 硬件限制，没安卓 ROOT 机器
& &165 天前
@ 不好意思，流传别人开发的源码可能不太好，这个还需要你自己想想办法，技术实践上可以进行交流
& &165 天前
@ 好的，谢谢。
& &165 天前
调试基础库里没有 game 是版本的问题?
& &165 天前
@ 你可能用的还是旧的微信开发工具，文中有小游戏版本的微信开发工具链接
& &165 天前
#35 有下载页面吗?需要下载 windows 版的
& &165 天前
& &165 天前
如果已经 root 了的手机的话，直接使用 RE 管理器（ Root Explore ）到相应目录把小程序源代码复制出来更方便一些，我就是这么干的，多谢楼主的总结~
& &165 天前
666 啊，很赞
& &165 天前 via Android
& &165 天前
& &165 天前
这操作厉害了
& &165 天前
有些手机其实不用 root，手机自带的备份功能就能把 data 下边的数据打包出来
& &165 天前
感觉可以用模拟器来代替一下实体机。。
& &165 天前
要是可以用模拟器就更方便了，专门找个测试机还是麻烦
& &165 天前
这个很厉害了。
& &165 天前
楼主厉害，洗摸杯
& &165 天前
竟然有如此好事，我喜欢的几个小程序是可以拿到源码了 ？
& &165 天前
为什么我没有 game 这个基础 ku
& &165 天前
@ 模拟器是跑不起来的，微信包内只有 arm 架构的 so 文件
& &165 天前
@ 看 35 楼的回复
& &165 天前
@ 对的，但是 js 文件都是压缩过，真想摸清楚程序的逻辑要经过断点调试
& &165 天前
自从我 post 了 10 万分爽了几个小时，现在不管怎么玩都是 0 分了，谁告诉我怎么办哦，我擦嘞。。。
& &165 天前
有没有人遇到这个提示的
VM82:2 未找到入口 app.json 文件，或者文件读取失败，请检查后重新编译。
& &165 天前
& &165 天前
其实只想看看大神写的代码而已，想想还是算了
半天没找到可以 root 的设备
& &165 天前
找模拟器试了一下，可以打开到跳一跳的加载页面，但是加载不进去
到 LZ 说的 data 目录中可以获取到跳一跳的源码，然后拿之前的解包工具解包了下
得到的源码是压缩过的。。。
& &165 天前
& &165 天前
低调低调…………
& &165 天前
非常不错，顶一个！
& &165 天前
确定是源码吗？开发过小程序的应该都知道有一个“压缩后上传”的选项
哎，2 个帖都有“源码”关键字，我好想说标题党
& &165 天前
@ 连 map 都有应该是源码了吧。
& &165 天前
楼主可以把跳一跳删掉，改为 [如何获得微信小程序源码]
& &165 天前
不过解压出来的是 html 文件,并不是 wxhtml
& &165 天前
折腾了半天 js 公司依旧下载不了，随便百度了下，看到上面的链接。
& &165 天前
有没有兄 dei 把源码打包一份放到网盘让我学习学习。
& &165 天前
厉害，小程序都被你们玩坏了
& &165 天前
为啥编译不可能呢
& &165 天前
@ 兄 dei 能不能把源码打包一份放到网盘让我学习学习
& &165 天前
& &165 天前
这波操作很 6
& &165 天前
@ 你这是建立了个项目，在创建的时候需要点击的是小游戏，小游戏是没有 app.json 一说的，只需要 game.json
& &165 天前
这一波，都扒出来了，玩的 666
& &165 天前
& &165 天前 via Android
& &165 天前
& &165 天前
page-frame.html 这个，怎么调试？
& &165 天前
CDN 的那个 IP 失效了,我提供一个目前可用的方法
& &165 天前
#69 看 78 楼,的直接下就可以了
& &165 天前
总想闹个大新闻，那个不算是源码，是压缩过的（类似网站 webpack 过的 js ） 你拿到又能怎样？
& &165 天前
有解压工具
& &165 天前
& &165 天前
厉害了我的骑摩托马斯哥
& &165 天前
解压之后的代码是混淆过的，没法看，是我操作的太晚了吗？
& &165 天前 via Android
压缩包加个密就行了
& &165 天前
@ 解压完的代码肯定是经过压缩的，但是格式化之后逻辑还是可以整清楚的
通过调试工具可以找到最终提交分数的地方
& &165 天前
windows 最新开发工具版本
hts://dldir1.qq.com/WechatWebDev/1.0.0//fix/wechat_devtools_1.02..exe
官网上挂的还是 1205 没有 game 的
& &165 天前
& &165 天前
小程序的包是没办法直接运行的，小游戏的可以
& &165 天前
& &165 天前 via Android
跳一跳:我到底犯了什么错？你们要这样搞我？
& &165 天前 via Android
/data 本来就是 rw 的，不需要重新挂载
& &165 天前
不在以下 request 合法域名列表中
怎么解决？
& &165 天前 via Android
或许可以试一试。
& &165 天前
@ 那个解决不了 因为小游戏还没有开放注册，开放注册之后有了 app id 就可以设置 request 合法域名列表了
& &165 天前
@ 那你是怎么运行起来的小游戏的，我的没有开始游戏的按钮。。。。
& &165 天前
LZ 知道这是为啥么？
& &165 天前
@ 游戏本身是可以正常运行的
只是所有的网络请求不能跑通 你可以尝试把开发工具关了重新进入项目试试 现在开发工具还不是特别稳定 我就经常会卡死
& &165 天前
@ 这个看 log 是找不对相应的函数声明 没有源码我也不知道问题在哪
& &165 天前
& · & 577 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 26ms · UTC 20:23 · PVG 04:23 · LAX 13:23 · JFK 16:23? Do have faith in what you're doing.03:47:11 UTC
花了两个星期做的小游戏终于上线了，三消类型的。 在提交审核的时候只遇到了一个问题，就是微信方面说有诱导分享的东西，不给过，我把分享之后获取一点体力的设定取消了，就通过了。 二维码在下面，微信直接扫描就可以玩了，大家有什么问题都可以留言，多多交流。
03:48:15 UTC
03:05:55 UTC
楼主在么，加个QQ微信聊一下怎么上线？我现在注册的是个人，无法获取小游戏appid，qq,
03:07:20 UTC
大神，怎么我调用游戏圈会报错，分享下经验呗，谢谢
03:17:10 UTC
楼主你小游戏APPID怎么得到的，为何我无法获取呢？怎么获取？我游戏也快上线了，加个QQ聊一下？qq:
03:55:01 UTC
游戏圈在微信小程序开发工具中是会报错，发布到手机上就不会了。
04:02:24 UTC
登陆小程序开放平台，在设置-&开发设置中，有AppID(小程序ID)
09:46:50 UTC
我把小程序的AppID设置到开发设置中，就会无法启动。请问是必须申请一个新的小游戏的appid吗？
11:17:45 UTC
（帖子被作者撤销，如无标记，将在 24 小时后被自动删除）
11:18:39 UTC
我都是用的同一个小游戏appid，没出现你这问题
16:28:45 UTC
楼主厉害啊。 能不能加个qq：
想你讨教几个问题？
05:45:17 UTC
楼主 你是把可玩次数存在本地了吗？还有你的广告是用的什么SDK?
11:50:52 UTC
楼主 软著证这些 走淘宝吗？
07:00:28 UTC
可玩次数都是保存到本地的，目前没接入广告哦
12:40:47 UTC
没看到二维码啊
12:07:47 UTC
谢谢回复！ 还有个问题 请问你保存本地是用的微信API吗？如果是微信API你有碰到写本地文件PERMISSION DENINED情况吗？
01:40:51 UTC
问下 你的微信广告是受到邀请？怎么拥有资格
03:59:26 UTC
cc.sys.localStorage用的这个方法