個(gè)人滲透的一般流程總結(jié)

寫在前面：

本文沒(méi)有圖，純理論上做總結(jié)，2k字左右，不多，大家耐心點(diǎn)

入侵存在運(yùn)氣的幾率，我們只有不斷的提高自己，才能夠?qū)⑦\(yùn)氣的成分將到最??；

方法是死的，人是活的，思路更是活的。

我就算是拋磚引玉了，說(shuō)一下我滲透的思路大家可以多多指正。

開始滲透

現(xiàn)在我們假定要滲透xxx

我們首先要觀察，

觀察網(wǎng)站的類型，這一步不是讓你馬上有漏洞什么的，而是做到對(duì)網(wǎng)站心中有數(shù)。

大概有這么幾種可能

1、一眼望去基本全是flash的，看到這個(gè)信息，就要做好打持久戰(zhàn)的準(zhǔn)備了，此時(shí)可以用wvs掃一下站點(diǎn)目錄，了解站點(diǎn)結(jié)構(gòu)，還有就是掃描ftp弱口令，因?yàn)檫@種flash站很依靠ftp。有時(shí)候會(huì)遇到非 常弱智的密碼。

2、首頁(yè)可以看到大批鏈接，鏈接是html。shtml，htm之類的靜態(tài)鏈接的，就應(yīng)該考慮可能是靜態(tài)模板制作的，你就要在網(wǎng)站上仔細(xì)找powered by，只要找到了，就走兩條路，1.Google現(xiàn)有的0day，拿 shell的方法，2.到官網(wǎng)下載源碼自己尋找信息

3、首頁(yè)為asp？....php？之類動(dòng)態(tài)+參數(shù)的，就自己隨手打開一個(gè)加上‘和and 1=1查詢注入，如果彈框出來(lái)，有人就可能放棄了，實(shí)際上應(yīng)該慶幸，尤其是asp的，應(yīng)為這很有可能是站長(zhǎng)直接include 的現(xiàn)成防注入程序，那么肯定有數(shù)據(jù)庫(kù)（記錄你的ip之類的信息），有人可能會(huì)問(wèn)了，有數(shù)據(jù)庫(kù)有什么用？難道去下載嗎？no，這種數(shù)據(jù)庫(kù)一般都是asp的，可以一句話，直接在注入代碼里插入一句話 ，然后鏈接他的數(shù)據(jù)庫(kù)，而且80%的網(wǎng)站防注入數(shù)據(jù)庫(kù)都是根目錄下的sqlin.asp

回過(guò)來(lái)，如果不談框而直接跳轉(zhuǎn)的話就比較麻煩了，可以手工試一下繞過(guò)代碼，還有就是用中轉(zhuǎn)注入，詳見http://forum.3est/thread-2418-1-1.html

4、首頁(yè)鏈接基本是xxx.asp，xxx.php之類的，沒(méi)有參數(shù)，那說(shuō)明還是靜態(tài)模板生成的偽靜態(tài)頁(yè)面，只不過(guò)是動(dòng)態(tài)后綴，還是按2的思路走，需要注意一點(diǎn)的就是有一些地方性網(wǎng)站是一個(gè)區(qū)域內(nèi)都用的 一個(gè)cms。而且這些cms只是小規(guī)模使用，沒(méi)有現(xiàn)成的源碼，可以把特殊路徑（如/news /news_view.asp）放到谷歌了搜索，在通過(guò)其他站點(diǎn)旁注拿源碼

5、這最后一種也是最棘手的，就是全站翻來(lái)翻去就幾個(gè)靜態(tài)頁(yè)面，這很可能是某些bt站長(zhǎng)做的bt站，全本地編寫，ftp上傳，很可能連后臺(tái)都沒(méi)有，以前看過(guò)用些展覽性的網(wǎng)站就是這樣的，這樣的網(wǎng) 站一般是迂回入侵。

接下來(lái)很重要的一點(diǎn)就是，無(wú)論什么站，都不要放棄嘗試，這很重要

按上面的種類來(lái)

第一種：

手工嘗試一下高危目錄，以前百度一個(gè)分站后臺(tái)都被爆出是admin/index.asp，如果懶一點(diǎn)的話可以用wwwscan，論壇工具版里有g(shù)ui的，如果掃到了管理目錄啥的，可以直接試弱口令和社工，如果不行 ，就開始旁注。

在這里我說(shuō)一下我的旁注思路

我用的工具是明小子，很簡(jiǎn)單，因?yàn)樗信繖z測(cè)

旁注地址出來(lái)之后先檢查上傳，然后就是后臺(tái)，數(shù)據(jù)庫(kù)可以視情況手工檢測(cè)，節(jié)約時(shí)間。但是工具越來(lái)越不好用了，所以在旁站比較少的時(shí)候可以一個(gè)一個(gè)手工看，如果旁站多的話，可以觀察域名， 比如帶gov的，***hotel的，**hg(化工)，**pj(配件)這些公司站點(diǎn)，小地方政府站都非常容易入侵

如果上傳沒(méi)有，很重要的一步來(lái)了，檢測(cè)后臺(tái)，其實(shí)不要以為沒(méi)有注入后臺(tái)就沒(méi)用，只要有后臺(tái)，先or=or后admin，admin，還有admin，域名，就這3個(gè)絕對(duì)屢試不爽

繼續(xù)說(shuō)思路，如果旁注出來(lái)拿到shell，首先看目錄能不能跳轉(zhuǎn)，如果不能，而且目錄十分有序的，八成是虛擬主機(jī)，可以喊幾個(gè)人一起猜，結(jié)合社工信息猜，幾率很大，還有不要忘記aspx里面的iis spy

如果以上都不行，那么就拿cnsuperscan，掃80吧，看一下像不像內(nèi)網(wǎng)機(jī)組，如果c段存活主機(jī)多，考慮一下掃21，很可能是大型公司，掃完21專揀survu的干，方便提權(quán)

內(nèi)網(wǎng)簡(jiǎn)單說(shuō)一下。

1、cain+玫瑰的arp工具，用兩個(gè)機(jī)子一起猛嗅，讓后自己睡覺去等著

2、抓全內(nèi)網(wǎng)的http信息，找一些賬號(hào)和社工聯(lián)系起來(lái)

內(nèi)網(wǎng)滲透的事就不廢話了，太長(zhǎng)了...！

第二種：

這個(gè)很簡(jiǎn)單了。靜態(tài)模板，如果是站長(zhǎng)自己寫的源碼，vulnerabilityscanner6掃把，我的經(jīng)驗(yàn)是只要站張沒(méi)用現(xiàn)成的源碼，那自己肯定留得有后門，而且很容易犯低級(jí)錯(cuò)誤，掃到可能注入的頁(yè)面了就 試吧，最好是能掃到上傳，還有就是不要忘記前輩們的腳步?？纯?.asp，mm.asp等待，不行的話就重復(fù)第一種的思路

第三種、第四種：

找版權(quán)。找信息，找弱點(diǎn)，其它的就沿著第二種到第一種的思路吧

第五種：

這種站特別難拿，主要還是用個(gè)強(qiáng)悍的字典掃目錄，找程序員留下的上傳點(diǎn)之類的，有時(shí)候可以試一下upload1.asp這樣的路徑，還有就是二級(jí)目錄沒(méi)有index時(shí)可以列文件。不過(guò)這種站一般還是要走 第一種的路

寫在最后：

上面的思路如果用好了我想拿下一個(gè)普通站應(yīng)該是可以的，不過(guò)這只是通用的思路，主要還是要多看別人寫的入侵經(jīng)驗(yàn)，因?yàn)槁┒词窃趺匆舱f(shuō)不完的，比如我以上寫的思路很多常用的漏洞的嘗試并沒(méi) 有寫進(jìn)去，比如xss，但是如果用xss那站一定是一個(gè)漫長(zhǎng)的過(guò)程，記得一前看別人寫的滲透清華大學(xué)，就是撿的分站日，而且是用一個(gè)列目錄的漏洞，然后找到了一個(gè)數(shù)據(jù)庫(kù)管理目錄拿到一句話的， 再次說(shuō)一遍，思路不是死的

主要是從下面三個(gè)步驟實(shí)現(xiàn)我們的預(yù)期：

（1）構(gòu)建開發(fā)環(huán)境：

（2）開發(fā)Servlet類：

（3）部署：

在Tomcat的webapps目錄下，新建一個(gè)文件夾作為web程序的根目錄

在根下新建一個(gè)名為WEB-INF的文件夾，里面建立一個(gè)web.xml，一個(gè)classes的文件夾，一個(gè)lib文件

按照servlet的DTD配置web.xml文件

將編譯好的class文件放到classes中

教程：

我們使用的Tomcat版本是：7.0.82

可以在Tomcat官網(wǎng)下載Tomcat，速度慢的也可以從云盤下載：

下載好之后，我們直接解壓文件：

解壓后，進(jìn)入到解壓目錄，看到我們的解壓目錄

我們先不要管這些內(nèi)容，進(jìn)入我們之前的第一步

我們先打開Eclipse,新建一個(gè)Java Project

新建的項(xiàng)目

導(dǎo)入servlet-api.jar

選中我們的工程，鼠標(biāo)右鍵出現(xiàn)快捷菜單，選擇屬性

導(dǎo)入我們需要的jar

導(dǎo)入成功

第一步已經(jīng)完成了，我們現(xiàn)在進(jìn)入第二步

新建一個(gè)類

類中的內(nèi)容：

這就完成了第二步，現(xiàn)在我們開始第三步

我們新建一個(gè)目錄

再新建一個(gè)目錄

然后新建下面三個(gè)內(nèi)容:

其中web.xml中的內(nèi)容，我們先復(fù)制一部分，復(fù)制的內(nèi)容是Tomcat中examples中的文件內(nèi)容

然后打開這個(gè)文件，我們修改文件的內(nèi)容

然后我們繼續(xù)

這個(gè)文件在哪呢？

然后我們復(fù)制到classes中，注意我們是將整個(gè)包結(jié)構(gòu)拷貝進(jìn)來(lái)了

然后我們填寫web.xml

現(xiàn)在我們先看下我們的服務(wù)器配置有沒(méi)有問(wèn)題

我們?cè)谀夸浝镄陆ㄒ粋€(gè)文件

里面寫hello

然后進(jìn)入到tomcat/bin目錄下，執(zhí)行這個(gè)文件

會(huì)出現(xiàn)一個(gè)提示框

表示服務(wù)器啟動(dòng)，然后打開我們的瀏覽器，輸入這個(gè)地址

你會(huì)發(fā)現(xiàn)瀏覽器中出現(xiàn)你剛寫的內(nèi)容

這時(shí)候說(shuō)明服務(wù)器配置正常，我們繼續(xù)向下面走

我們將輸入地址改為：

回車發(fā)現(xiàn)，已經(jīng)出現(xiàn)我們的結(jié)果

正好對(duì)應(yīng)我們寫的內(nèi)容，說(shuō)明我們寫的內(nèi)容被訪問(wèn)到了

      前端開發(fā)看似很簡(jiǎn)單，但是卻涉及了很多的知識(shí)領(lǐng)域，達(dá)內(nèi)IT培訓(xùn)網(wǎng)整理了15個(gè)前端開發(fā)學(xué)習(xí)知識(shí)，包塊了一些頁(yè)面布局、框架開發(fā)流程、設(shè)計(jì)和編寫 HTML 郵件代碼等資源。

1. Bootstrap 4 Cheat Sheet

一份 Bootstrap 4 的參考手冊(cè)，來(lái)自 HackerThemes 網(wǎng)站的 Alex。這個(gè)網(wǎng)站有一個(gè)非常漂亮交互式布局，這個(gè)漂亮的交互式布局展示了可被點(diǎn)擊的條目，當(dāng)該條目被點(diǎn)擊時(shí)在該頁(yè)面的視口的底端會(huì)有代碼片段和代碼效果顯示出來(lái)。你也可以在版本 4 里點(diǎn)擊突出的所有新的東西。

2. AngularJS Cheat Sheets(AngularJS 參考手冊(cè))

“我們創(chuàng)建了一些參考手冊(cè)學(xué)習(xí)指南來(lái)幫助你克服最初的 AngularJS 學(xué)習(xí)曲線，并且提供給你的日常工作提供一份參考?！卑ㄈ輩⒖际謨?cè):AngularJS Core Services (AngularJS 核心服務(wù)),AngularJS Directive Definition Object (AngularJS 指令定義對(duì)象)，和 AngularJS ui-router (AngularJS 用戶界面路由)。

3. React Makes You Sad

Dan Abramov 為那些在使用 React 框架時(shí)有理解不同概念困難的人而制作的一張流程圖。這張流程圖提供了一些可以做和不可以做的類型的建議，來(lái)幫助你簡(jiǎn)化事情，這樣你就可以更好地理解這個(gè)庫(kù)了。

4. Flexbox Patterns(可擴(kuò)展布局盒模式)

“Flexbox 很棒，但是引入了很多新的概念，這樣做可能使使用它變得有些困難。這些交互示例將會(huì)展示給你很實(shí)際的方法，來(lái)使用 Flexbox 構(gòu)建 UI 組件。它們以簡(jiǎn)單的代碼，而在結(jié)尾之前得到更復(fù)雜的代碼

5. Hacksplaining

它不僅僅適用于前端開發(fā)者，同時(shí)也值得在開發(fā)領(lǐng)域的人進(jìn)去看一看?！盩he best defense against hackers (對(duì)抗黑客最好的防御)是一個(gè)見多識(shí)廣的開發(fā)團(tuán)隊(duì)。我們交互式的練習(xí)將教會(huì)你的團(tuán)隊(duì)，關(guān)于如今大多數(shù)的常見的安全漏洞?！?/p>

6. JavaScript Standard Style (JavaScript 標(biāo)準(zhǔn)樣式)

JavaScript 標(biāo)準(zhǔn)樣式并不是一個(gè)主要的學(xué)習(xí)指南，但是它是一個(gè)模式，根據(jù)這個(gè)模式你可以安裝和運(yùn)行 JavaScript，并且可以通過(guò)命令行來(lái)測(cè)試你的 JavaScript 代碼，而不是一系列 JavaScript 語(yǔ)法的規(guī)則。它也被用作一個(gè)文本編輯器的插件。作為一份指南，你也可以看看 Rules breakdown，這對(duì)于初學(xué)者和其他人來(lái)說(shuō)是培養(yǎng)一些基本的 JavaScript 意識(shí)練習(xí)的最好方法。

7. Webpack: An Introduction (Webpack:一份入門手冊(cè))

“Webpack 是一款流行的模塊打包工具，它能在語(yǔ)塊里很方便地打包應(yīng)用的代碼資源，并且它能從一個(gè)服務(wù)器里把代碼加載到一個(gè)瀏覽器里。”這份指南在 Angular 的官網(wǎng)上有，這份指南已經(jīng)準(zhǔn)備好在 Angular2 應(yīng)用里使用 Webpack。

8. Aural UI of the Elements of HTML (HTML 元素的 Aural UI)

“HTML 元素是如何被屏幕閱讀器所支持的。”在 Windows10 操作系統(tǒng)上的 Firefox 瀏覽器里，在 VoiceOver 上的 Firefox 瀏覽器里和在 OSX 操作系統(tǒng)上的 Safari9 瀏覽器上，和在 Windows 8.1 操作系統(tǒng)上的 NVDA 和 Firefox 瀏覽器里是由四個(gè)表格組成的數(shù)據(jù)來(lái)覆蓋 JAWS 的， 還有更多的測(cè)試。

JAWS 介紹鏈接地址: http://wenku.baidu/view/18d8337a1711cc7931b716d4.html

VoiceOver 介紹鏈接地址: http://baike.sogou/v7818959.htm?fromTitle=voiceover

OSX 介紹鏈接地址: http://baike.sogou/v286354.htm?fromTitle=OSX

NVDA 介紹鏈接地址: http://blog.sina/s/blog_bdda07c4010197aq.html

9. Type Terms

Type Terms 工具對(duì)設(shè)計(jì)者的有用程度遠(yuǎn)大于開發(fā)者，但是它對(duì)于那些想更加熟悉排版術(shù)語(yǔ)的人來(lái)說(shuō)，是為他們精心設(shè)計(jì)的和有用的交互工具。它是 Supremo (蘇帕摩)的民間機(jī)構(gòu)，一個(gè)曼徹斯特的設(shè)計(jì)機(jī)構(gòu)開發(fā)出來(lái)的。

10. Email Toolbox (Email 工具盒)

它是大量的鏈接資源，主要聚焦在設(shè)計(jì)和編寫 HTML 郵件代碼上。這些資源都在不同的分類下，包括人們應(yīng)遵循的，課程，可讀的博客文章，工具和郵件服務(wù)提供者(商)。

11. Almost complete guide to flexbox (without flexbox)

這里有很多不同的伸縮布局盒指南和工具，但是他們有一些不同。這份指南將向你展示在你的布局里如何使用傳統(tǒng)的方法來(lái)達(dá)到和伸縮布局盒一樣的效果。很高興能看到它們?cè)谶@樣一個(gè)帖子里，并且還有代碼示例。

12. Angular 1.x styleguide (ES2015)

這是由 Todd Motto 寫的一份”針對(duì)團(tuán)隊(duì)的 Angular 樣式指南”，他是一名 Telerik 倡導(dǎo)開發(fā)人員。Todd 也在 Angular JS 開發(fā)網(wǎng)站上提供課程。這份樣式指南”已經(jīng)為 ES2015 從頭到腳重新寫了一遍，內(nèi)容變化的是在 Angular1.5 以上版本在未來(lái)升級(jí)你的應(yīng)用到 Angular2。”

Telerik 的介紹鏈接地址: http://bbs.51aspx/showtopic-44305.html

13. CSS Purge

這個(gè)網(wǎng)站可以給你一些流行網(wǎng)站和框架排名的有效統(tǒng)計(jì)數(shù)據(jù)，可維持的 CSS. 它可以展現(xiàn) CSS 文件大小的數(shù)據(jù)，具體的排名和使用的 CSS 屬性。

14. Google Chrome’s CSS File

(需自備墻梯才能打開鏈接)

歸功于 Umar Hansa 在推特上寫的博客文章。這是 Chrome 瀏覽器使用的核心 CSS 文件，該核心 CSS 文件用來(lái)為 HTML 元素提供以西基本默認(rèn)的樣式。有興趣可以快速瀏覽，因?yàn)樗_實(shí)有一些奇怪。

15. MaintainableCSS

“編寫 CSS 不用再擔(dān)心之前存在的樣式會(huì)帶來(lái)問(wèn)題。MaintainableCSS 是編寫模塊化的，可擴(kuò)展的和可擴(kuò)展性的 CSS 樣式的一種方式。”這是由 Adam Silver 編寫的有十二個(gè)部分的指南。

作為一個(gè)已經(jīng)做web前端開發(fā)6年的老鳥，今天給大家總結(jié)一下前端的總體流程，還有學(xué)習(xí)方法之類，可以讓新手有一個(gè)清晰的認(rèn)識(shí)，并且可以堅(jiān)持下去。首先是HTML+css作為web前端最簡(jiǎn)單的部分，很多人在學(xué)習(xí)靜態(tài)布局的時(shí)候都很難搞定，或者說(shuō)大多數(shù)人學(xué)的太快了，很多人一周就學(xué)完了，其實(shí)無(wú)論學(xué)什么東西，內(nèi)容都不多，比較就比在誰(shuí)掌握的好，你一周學(xué)完的html css 和一個(gè)月學(xué)完的html css那結(jié)果肯定是不一樣的，主要還是在多練習(xí)。建議時(shí)間1-1.5個(gè)月。如果你能完整的作為任何靜態(tài)布局，你算是過(guò)關(guān)了，而不是你自己認(rèn)為你學(xué)完了而已。你把每一個(gè)標(biāo)簽理解到位哪里會(huì)有那么容易？沒(méi)有一個(gè)月的時(shí)間根本不夠，如果你對(duì)于外邊距內(nèi)邊距還理解的不夠深刻，那你還是好好進(jìn)修吧！然后就是JavaScript作為前端的核心和難點(diǎn)，很多人是學(xué)不會(huì)JavaScript的，原因無(wú)非在于自己瞎學(xué)，能力也不夠，又沒(méi)人指點(diǎn)，所以必然會(huì)學(xué)不會(huì)，以至于最后放棄，其實(shí)最后說(shuō)來(lái)還不是因?yàn)槟悴粫?huì)學(xué)嗎？學(xué)習(xí)JavaScript的時(shí)候推薦一本書《JavaScript權(quán)威指南》這是我對(duì)于初學(xué)者學(xué)web前端唯一推薦的一本書，其他內(nèi)容都不需要看書，看書無(wú)用在我這里，或者說(shuō)大多數(shù)人剛看書能看懂，不會(huì)寫的事實(shí)證明了這一點(diǎn)，初學(xué)者不看書的結(jié)果多為好處多?？磿鴮W(xué)本身就是一個(gè)錯(cuò)誤的學(xué)習(xí)方法。

之后是jQuery和Ajax作為前端做屹立不倒的框jQuery，它要比JavaScript簡(jiǎn)單容易的多，語(yǔ)法非常的簡(jiǎn)潔，容易理解，但是前提是你要把JavaScript掌握的很好才行。Ajax作為前后臺(tái)交互的東西，作為前端開發(fā)者必須掌握的東西之一。之后便是H5+C3，還有框架之類的。學(xué)習(xí)建議：1.有規(guī)劃的學(xué)習(xí)是學(xué)成web前端并且可以找到工作最基本的前提，每天學(xué)什么，學(xué)多少都是要固定的，學(xué)習(xí)本身就是一個(gè)過(guò)程，過(guò)程的每一天都應(yīng)該要平均，每天學(xué)完了新的知識(shí)點(diǎn)，那你必須要做相關(guān)的練習(xí)和案例。2.在學(xué)習(xí)的過(guò)程中會(huì)遇到許許多多的問(wèn)題，而80%的問(wèn)題作為一個(gè)初學(xué)者是根本沒(méi)有辦法解決的，所以你在學(xué)習(xí)的過(guò)程中一定要有人問(wèn)，不然問(wèn)題會(huì)困擾你很久，因?yàn)槟銢](méi)有經(jīng)驗(yàn)，所以很難找出問(wèn)題的所在，這樣很容易自暴自棄，當(dāng)年我就是這樣，覺得學(xué)web前端不適合我。3.在學(xué)完一塊知識(shí)點(diǎn)后，你是否會(huì)總?cè)亓?xí)，任何人學(xué)習(xí)任何東西都會(huì)忘，不忘是不可能的，所以你是否要去溫習(xí)一下之前，你只要你去溫習(xí)了就一定會(huì)加深印象，直到有一天你完全的記住了它，你不認(rèn)為它，它都認(rèn)識(shí)你了。4.對(duì)于職業(yè)有什么規(guī)劃，你應(yīng)該按照什么標(biāo)準(zhǔn)去學(xué)習(xí)，看看招聘網(wǎng)站上的標(biāo)準(zhǔn)是什么，你只要完成人家的標(biāo)準(zhǔn)就足可以找到一份屬于你自己的工作。

一、申請(qǐng)配置測(cè)試公眾號(hào)與配置本地服務(wù)器

1、打開瀏覽器，輸入：http://mp.weixin.qq/debug/cgi-bin/sandbox?t=sandbox/login，微信掃碼確認(rèn)登錄

2、進(jìn)入到該頁(yè)面，可以看到測(cè)試公眾號(hào)的微信名，以及非常重要的appID和appsecret

3、填寫服務(wù)器url，這個(gè)地址是要可以外網(wǎng)訪問(wèn)的，同時(shí)給微信服務(wù)器認(rèn)證的，所以分兩步走，一是先弄個(gè)外網(wǎng)可以訪問(wèn)的服務(wù)器地址，二是在該地址下放置微信官方要求的php文件

我的配置以及本地服務(wù)器文件夾如下，因此http://162c24l811.iok.la是我的服務(wù)器地址，但是這不是微信想要的哦

http://162c24l811.iok.la/core/wx_sample.php

4、填寫 Token ，可以自行填寫，但是必須與wx_sample.php中的Token一致，打開wx_sample.php即可看到，可修改

5、填寫域名，域名即為花生殼給你的域名，我的是162c24l811.iok.la

到此測(cè)試公眾號(hào)與本地服務(wù)器配置完畢。

二、配置調(diào)用微信接口需要的access_ token 和簽名

微信有寫好各種語(yǔ)言版本的，自己突然暫時(shí)找不到，就在這里分享自己的云盤鏈接吧：http://pan.baidu/s/1gfgKOHP，我用的是php語(yǔ)言版。不過(guò)，里面有些東西還是要自己配置，不懂php還是難搞得的，所以，送給看到這篇文章又有需要的人一個(gè)禮，分享個(gè)基本弄好的，簡(jiǎn)單配置就可以用的版本吧：http://pan.baidu/s/1sk9qySl

目錄如下：

接下來(lái)說(shuō)說(shuō)怎么配置吧：

1、access_token.json和jsapi_ticket.json建立好內(nèi)容保持為空哦，這里是接收自動(dòng)更新生成的access_token和jsapi_ticket用的。

2、配置get_jjsdk.php，require_once后為jssdk.php的路徑，我都是放在一起的，直接寫jssdk.php；$jssdk = new JSSDK里面前兩個(gè)更換為你的測(cè)試公眾號(hào)的appID和appsecret

3、配置jssdk.php，把以下file_get_contents后的改為你的json，注意路徑，這里是生成簽名等寫入json文件的地方

到此不出意外便成功了。

三、開始調(diào)用接口和使用微信調(diào)試工具

1、除了微信網(wǎng)頁(yè)js-sdk等不能通過(guò)微信開發(fā)文檔帶的在線調(diào)試工具開發(fā)的功能，其他均可按照官方文檔的要求，通過(guò)在線調(diào)試工具直接操作和寫上自己的代碼，微信公眾號(hào)會(huì)更新相應(yīng)的功能，比如自定義菜單、語(yǔ)音回復(fù)等。

2、關(guān)于使用微信jssdk進(jìn)行開發(fā)，首先先在html頁(yè)面引入微信js（官方文檔為1.1版本，部分功能不支持蘋果，比如蘋果不支持1版本的圖片預(yù)覽，在這里貢獻(xiàn)找了好久的1.2版本）：

3、創(chuàng)建一個(gè)js文件引入，這個(gè)文件用來(lái)請(qǐng)求之前配置好的php文件，更新生成和緩存簽名等，以及初始化微信接口，即config。

4、開始根據(jù)官方文檔jssdk開發(fā)想要的功能吧~~，這里舉例選擇圖片和上傳圖片接口的簡(jiǎn)單案例：