文章总结： Onyx是一款一站式渗透测试工具集，集成了空间测绘、漏洞扫描、小程序分析等多功能模块。它支持Fofa、Hunter等三大测绘引擎，并基于Nuclei引擎实现POC管理与批量扫描。其特色功能包括微信小程序的自动识别、反编译及敏感信息提取，同时内置多种应用加解密工具和辅助功能，旨在简化渗透测试全流程，提升工作效率。 综合评分： 85 文章分类： 渗透测试,红队,WEB安全,恶意软件,技术标准

一站式渗透测试工具|自动识别微信小程序、反编译分析、提取敏感信息，搭配多引擎测绘

Mstce Mstce

渗透安全HackTwo

2026年3月31日 00:01 广东

0x01 工具介绍

Onyx作为一站式渗透测试工具集，核心赋能攻防与安全研究场景，尤其在小程序分析与空间测绘领域表现突出。它可自动识别微信小程序，完成.wxapkg反编译、敏感信息正则提取，同时搭配Fofa、Hunter、Quake三大测绘引擎，整合漏洞扫描、密文加解密等多元能力，无需切换工具，助力安全人员高效完成信息收集、漏洞挖掘，简化渗透测试全流程，兼顾专业性与易用性。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨主要功能

| 模块 | 说明 | | — | — | | 空间测绘 | 集成 Fofa、Hunter、Quake 三大测绘引擎，支持批量资产导出 | | 漏洞扫描 | 基于 Nuclei 引擎，支持 POC 管理、批量扫描、请求包可视化、一键生成验证图片 | | 辅助工具 | 内置 CyberChef、JWT 密钥爆破、编码转换、Fscan 结果处理、攻防批量截图 | | 应用加解密 | 提供 FinalShell、Navicat、蓝凌、致远、帆软、Druid、JBoss 等常见应用/中间件的加解密工具 | | 小程序分析 | 支持微信小程序自动识别、反编译 (.wxapkg)、敏感信息正则提取 | | 企业信息 | 支持 IP 归属地查询、ICP 备案信息查询、企业与股权结构分析 | | 信息探测 | 包含端口扫描、杀软识别、指纹识别、敏感信息采集 (JS 分析) |

快速启动工具箱

渗透测试工具快速启动

空间测绘

支持多种网络空间测绘引擎

漏洞扫描

• Nuclei – POC兼容Nuclei模板格式
• POC 编辑器 – Monaco 编辑器，支持语法高亮
• 请求重放 – 支持自定义 HTTP 请求

漏洞管理：

自定义POC：

支持AI助力生成POC

请求重放

• 自定义 HTTP 请求
• 支持各种请求方法
• 实时查看请求和响应

示例

信息搜集

• 通过域名查询相关企业信息
• 股权结构分析
• 资产收集与关联

FScan 结果处理

自动解析和格式化 FScan 扫描结果

泄漏利用

微信利用

支持公众号、小程序、企业微信的 AK、SK 利用

常见资产密文加解密

渗透测试常见高危资产密文加解密

微信小程序

• 自动扫描 – 自动扫描微信小程序
• 小程序反编译 – 微信小程序反编译与代码分析
• 小程序敏感信息搜集 – 自动提取小程序中的敏感信息
• 自定义正则表达式 – 支持自定义正则表达式进行信息匹配

0x04 更新介绍

增强端口扫描和漏洞管理功能优化 SSH banner 读取稳定性，增加重试机制修复漏洞扫描触发逻辑和端口类型比较问题优化 Banner 显示，移除重复指纹禁用点击交互改进端口扫描逻辑，提升扫描准确性

0x04 使用介绍

📦安装指南

1️⃣下载对应平台的安装包：

0x05 内部VIP星球介绍-V1.5（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5632+)，包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2500+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/VuWGw

👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260331获取下载、回复 加群 获取交流群

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.5（AI自动化）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2026.2专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo Mstce Mstce《一站式渗透测试工具|自动识别微信小程序、反编译分析、提取敏感信息，搭配多引擎测绘》