文章总结： 本文介绍了一款集成了微信小程序解密、批量解包、API提取及敏感数据检测功能的Burp插件工具。该插件支持AES-CBC+XOR解密算法，能够自定义正则规则过滤无关路径，并内置身份证、手机号等敏感信息检测逻辑。文章详细讲解了工具的使用步骤、配置方法及获取途径，具有较强的实战操作价值。 综合评分： 83 文章分类： 安全工具,逆向分析,移动安全,漏洞分析

一键自动wx小程序解密+批量解包+API接口提取+敏感数据泄露检测

FL_Clover

网络安全007

2026年1月9日 10:37 广东

支持微信最新版，可解大部分微信小程序wxapkg包，一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作，配置自动保存！

📋 功能清单

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg解密 | 自动识别加密包，AES-CBC+XOR解密，兼容PC微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程解包主包/分包，自动清理缓存 | | 🚪 API提取 | 自定义正则规则，过滤前端路径（pages/components等），一键复制所有接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等规则，支持自定义敏感类型正则 | | ⚙️ 灵活配置 | 接口前缀/后缀黑名单、API正则、敏感信息正则，修改自动保存 | | 📊 可视化面板 | 小程序信息、API结果、敏感数据分栏展示，清晰直观 | | 📱 小程序信息查询 | 自动提取AppID，查询小程序名称、主体、描述等基础信息 |

🛠️ 快速上手

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

📝 配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API提取正则示例（默认规则）

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

• 前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/
• 后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

📋 工具获取

关注公众号后台回复“20260109”均可获取下载链接

| | | — | | 免责声明：  本文章仅做网络安全技术研究使用！另利用网络安全007公众号所提供的所有信息进行违法犯罪或造成任何后果及损失，均由使用者自身承担负责，与网络安全007公众号无任何关系，也不为其负任何责任，请各位自重！公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！让我们一起为中国网络安全事业尽一份自己的绵薄之力！ |

●推荐阅读●

应急响应系列

未授权访问漏洞系列

Nessus漏扫神器之攻防两用

红队如何在攻防演练中一夜暴富？

浅谈Nacos漏洞之超管权限后续利用

超级弱口令工具+超级字典，攻防必备！

记某APP服务端渗透测试实战GetShell

日常实战渗透小技巧，掌握就无需担心漏洞产出为零！

实战|某网站未授权访问=》数据库权限=》服务器权限

全方位揭秘：50多种横向渗透提权终极技巧，一篇文章彻底掌握！

写作不易，分享快乐

期待你的 分享●点赞●在看●关注●收藏****

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全007 FL_Clover《一键自动wx小程序解密+批量解包+API接口提取+敏感数据泄露检测》