文章总结： 针对已关闭的微信小程序，本文提出利用代码泄露进行渗透测试。作者在Gitlab搜索并下载泄露的源码，从中提取硬编码的后端域名，通过FOFA扫描发现开放端口，并对3306端口进行弱口令爆破，最终成功接管数据库。该案例强调了信息收集的重要性，提供了绕过前端限制的实战思路。 综合评分： 80 文章分类： 渗透测试,代码审计,实战经验,WEB安全

实战碰到小程序关闭的另一种打法

原创

迷途 迷途

希望对技术保存热情

2026年1月28日 09:55 海南

先普及一个微信小程序概念，做过微信小程序开发的都知道，小程序和网站是差不多的，也是有前端代码的，我们可以去保存小程序的位置，直接解密然后反编译出前端代码的。

因为前端代码泄露无所谓，一般开发是不会关的。

我们正常去icp找对应域名的小程序

然后去微信搜索看到小程序已经关闭

一般这种情况都没办法了，但是我们另辟蹊径，我们看有没有泄露小程序源码的。毕竟安全的本质是信息收集（因为这里小程序暂停服务，打不开是不能直接反编译获取源码的）

直接搜索，直接在gitlab搜索到同款小程序

可以看到确实是小程序的源码

直接下载下来，现在可能会有疑问，下载下来有什么用，小程序都关了。

小程序虽然可能关了，但是小程序的使用的域名可能是直接写在代码里的，我们可以直接去测试对应域名

全局搜索https成功找到小程序域名

直接fofa开搜或者直接爆破端口，看有什么端口开着，可以看到有个3306

这里同步爆破，一看爆破模块直接成功了

那不是直接接管嘛，直接navicat开连

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：希望对技术保存热情 迷途 迷途《实战碰到小程序关闭的另一种打法》