文章总结： 这篇文章介绍了CloudX插件，一个能够自动解密加密数据包的工具，特别适用于渗透测试和逆向分析。作者通过实际案例演示了如何配置插件解密小程序的加密数据，包括通过反编译找到AES加密算法，处理引号和换行符等特殊字符，最终成功解密数据并发现未授权漏洞。该工具支持多种加密算法，可提高渗透测试效率。 综合评分： 89 文章分类： 渗透测试,安全工具,WEB安全,漏洞分析,实战经验

加密数据自动解密神器

迪哥讲事

2025年12月15日 08:30 江苏

以下文章来源于轩公子谈技术 ，作者private null

轩公子谈技术 .

从0到1，五年翻身之路，安全笔记分享 擅长渗透测试，应急响应，内网渗透，代码审计。

做渗透测试、抓包分析时，最烦的是什么？

是对着一串加密乱码抓耳挠腮，反复调试解密脚本却毫无头绪？是耗费数小时拆解加密逻辑，最后还可能因为算法差异功亏一篑？

别慌！CloudX 插件重磅登场，专为数据包解密而生，堪称渗透测试、逆向分析的效率神器！

✅ 一键还原，告别繁琐无需手动编写解密代码，不用深究复杂加密算法，导入加密数据包，CloudX 自动识别加密类型，秒级还原明文内容，让你一眼看透数据传输的核心逻辑。

✅ 超强兼容，覆盖多场景不管是 Web 渗透中的接口加密数据、APP 抓包的协议密文，还是各类自定义加密格式，CloudX 都能轻松应对，适配主流加密算法，满足多样化分析需求。

✅ 轻量高效，操作零门槛极简交互界面，小白也能快速上手。无需复杂配置，即装即用，不占用过多系统资源，让你的分析工作快人一步。

✅ 精准解析，助力深度测试还原后的明文数据完整保留原始字段结构，助力你快速定位漏洞点、验证渗透思路，大幅提升渗透测试报告的撰写效率。

渗透测试效率不够高？加密数据包解不开？选CloudX 插件就对了！从此告别解密难题，专注核心分析工作，效率直接拉满！

👉 现在就体验，让加密数据包 “无所遁形”！

好，很好，非常好，广告费有着落了。

不得不说，这插件确实吊。废话说完了，开始实战演示如何使用。

下面是一个小程序，抓包发现请求包，响应包都是密文。这就很操蛋。

首先配置全局代理，打开电脑网络设置，勾选这四个，改成 burp 的 ip 和端口

也就是 127.0.0.1:8080

然后打开小程序，等待 burp 流量就可以了。

抓包发现，全都加密了

遇到加密的先不慌，先对小程序进行反编译，看看代码里是否存在解密代码

如果微信升级 4.0 版本了，他的小程序路径会改变，mac 的地址是

/Users/home/Library/Containers/com.tencent.xinWeChat/Data/Documents/app_data/radium/Applet/packages

windows 的话，应该是微信设置里，自定义的存储位置，找不到可以用 everything 全盘搜__APP__.wapkg。

然后就是反编译

拿到源码之后，可以全局搜索 encrypt，decrypt，aes，des，rsa 之类的，但是根据经验来看，大多数对称加密都是用的 aes，

第一行就很像，点进去,格式化代码后

d 是密钥，ecb 模式，填充是pkcs7，输出格式base64，先用工具解密看看是否成功。

可以成功解密，于是

导入插件，开始配置参数，发送给插件

进入插件页面

因为两边都加密了，所以请求体，响应体都要进行配置，单击右键，依次打开，我这里的是 aes

弹出窗口后，输入密钥，点击解密，发送解密失败

是因为多了两边的双引号，所以要正则匹配过滤掉引号，重新右键，这次点击正则规则

添加了之后，再次配置解密

请求配置后，开始配置响应包，一样的操作

配置完成后，点击查看已配置规则，总共有三个

执行第一个，去掉了引号

执行第二个，明文解密了

执行第三个，相应也解密了

然后这就没问题了，已经配置好了，回到抓包页面，重新访问小程序

它就自动变成明文了，类似中转站，实际上服务器请求的还是加密的。然后他也可以支持被动扫描，比如 tscan，明洞，fastjson，log4j，等等。

哎，我发现只有一个登录页面，反编译里的接口，访问都 401 难绷。

本来准备放弃了，想着还没有对接口目录扫描，试一试吧

该说不说，牛逼

当我访问其中一个链接时

什么鬼，还能这么玩

正当我准备解密的时候

啥玩意，难不成还有其他加密模式，又翻了半天的源码，始终没看到其他的加密算法，正当我准备放弃的时候，我发现有内鬼在里面

\n 换行符竟然在里面，难怪无法解密

刚好，未授权漏洞到手。

插件地址

https://github.com/cloud-jie/CloudX

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新，绝非简单搬运，包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

查看原文：《加密数据自动解密神器》