文章总结： 该文档介绍一款专为微信小程序安全测试设计的BurpSuite插件，支持自动解密wxapkg加密包、批量解包主包/分包、智能提取API接口及检测敏感信息泄露。工具提供可视化操作界面，内置手机号、身份证、密钥等敏感信息检测规则，并详细说明从定位小程序包到生成测试报告的完整工作流程。文档强调工具仅限授权安全测试使用，需注意法律合规性。 综合评分： 72 文章分类： 渗透测试,WEB安全,移动安全,安全工具,漏洞分析

太离谱了！这款 Burp 插件让我一键解密微信小程序，还自动提取了 200 个 API 接口和泄露的 AWS 密钥…

原创

菜狗 菜狗

只会看监控的实习生

2026年4月15日 08:11 广东

在小说阅读器读本章

去阅读

支持微信最新版，一键自动解密 + 批量解包 + API 接口提取 + 敏感数据泄露检测

专为微信小程序安全测试设计的 Burp Suite 扩展插件。自动解密 wxapkg 加密包、批量解包主包/分包、智能提取 API 接口、检测敏感信息泄露，全程可视化操作，配置自动保存。

📋 功能特性

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg 解密 | 自动识别加密包，支持 AES-CBC + XOR 解密，兼容 PC 微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程解包主包/分包，自动清理临时缓存 | | 🚪 API 提取 | 自定义正则规则，智能过滤前端路径（pages/components），一键复制所有接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等规则，支持自定义敏感信息正则 | | ⚙️ 灵活配置 | 接口前缀/后缀黑名单、API 正则、敏感信息正则，修改自动持久化 | | 📊 可视化面板 | 小程序信息、API 结果、敏感数据分栏展示，清晰直观 | | 📱 小程序信息 | 自动提取 AppID，查询小程序名称、主体、描述等基础信息 |

🛠️ 快速开始

1. 定位小程序包路径

Windows 默认路径：

C:\Users<用户名>\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

> 找不到？使用 `findsomething` 全局搜索 `packages` 目录。

### 2. 清理缓存（关键步骤）

该目录下每个文件夹代表一个小程序，可能包含多个 wxapkg 文件。为避免混淆，**建议先清空目录**：

1. 关闭微信
2. 删除 `packages` 目录下所有文件夹
3. 重新打开微信并进入目标小程序

### 3. 使用插件解包

1. **选择小程序包**：在插件界面选择对应的小程序文件夹
2. **自动解包**：插件自动识别主包/分包，多线程并行解密解压
3. **提取分析**：自动提取 API 接口和敏感信息，右侧过滤面板排除前端路径

### 4. 结果查看

- **API 接口**：可复制到 Burp Repeater/Intruder 进一步测试
- **敏感信息**：高亮显示手机号、身份证、密钥等泄露数据
- **文件浏览**：点击"文件浏览"查看反编译后的源码

---

## ⚙️ 配置指南

### 敏感信息检测规则

内置正则规则，支持自定义扩展：

| 类型 | 正则示例 |
|:---|:---|
| 手机号 | `1[3-9]\d{9}` |
| 身份证号 | `\b\d{17}([0-9]\|X\|x)\b` |
| 邮箱地址 | `[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}` |
| IP 地址 | `^(?:25[0-5]\|...){4}$` |
| AppSecret 泄露 | `(?i)\b\w*secret\b` |
| Session Key 泄露 | `(?i)\bsession_key\b` |
| 车牌号 | `^[京津沪渝...]{1}[A-Z]{1}[A-Z0-9]{4}...$` |

### API 提取规则

**默认正则**（匹配 URL/URI 路径）：

regex (?:”|’)(((?:[a-zA-Z]{1,10}://|//)[^”‘/]{1,}.([a-zA-Z]{2,})[^”‘]{0,})|((?:/|../|./)[^”‘><,;| *()(%%$^/\[]][^"'><,;|()]{1,})|([a-zA-Z0-9-/]{1,}/[a-zA-Z0-9-/]{1,}.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^”|’]{0,}|))|([a-zA-Z0-9_-]{1,}.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^”|’]{0,}|)))(?:”|’)

### 🎯 典型工作流程

关闭微信 → 清理 packages 目录 → 打开目标小程序     ↓ 插件选择小程序包 → 自动解密解包     ↓ 提取 API 接口 → 复制到 Burp 测试     ↓ 检测敏感信息 → 生成测试报告 “`

💡 使用技巧

| 场景 | 操作建议 | | — | — | | 快速定位小程序包 | 按修改时间排序，最新生成的即为目标小程序 | | 减少干扰数据 | 合理配置前缀/后缀黑名单，过滤静态资源 | | 深度源码分析 | 使用”文件浏览”功能查看反编译后的 JS/WXML | | 批量接口测试 | 一键复制所有 API 到 Burp Intruder 进行遍历 | | 敏感信息挖掘 | 开启全部敏感规则，重点关注密钥/Token 泄露 |

⚠️ 注意事项

• 微信版本兼容性：支持微信 PC 版 3.9+，如遇解密失败请检查微信版本
• 缓存清理：每次测试前建议清空 packages 目录，避免历史数据干扰
• 法律合规：本工具仅供授权安全测试使用，请勿用于非法用途

回复JaySenWxapkg获取

低价出售安全证书不限于cisp、pte等请Vme～建了一个项目群，想进群的请回复进群即可

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗 菜狗《太离谱了！这款 Burp 插件让我一键解密微信小程序，还自动提取了 200 个 API 接口和泄露的 AWS 密钥…》