红队实战利器|QQ小程序/微信小程序反编译逆向全自动攻击面可视化分析工具

admin 2026-06-30 06:49:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档介绍了一款自动化QQ/微信小程序反编译分析工具,具备自动路径定位、资产识别、API提取、敏感信息检测等八大核心功能,支持红队快速进行小程序资产测绘、漏洞分析和风险评级。工具可一键扫描客户端缓存,自动提取Token、密钥等敏感数据,并提供可视化风险报告,提升攻防演练效率。 综合评分: 82 文章分类: 红队,移动安全,安全工具,渗透测试,WEB安全


cover_image

红队实战利器|QQ小程序/微信小程序反编译逆向全自动攻击面可视化分析工具

好品老鸭鸨 好品老鸭鸨

鹏组安全

2026年6月26日 12:01 江西

在小说阅读器读本章

去阅读

前言

在攻防演练、企业资产测绘场景中,QQ /微信小程序长期是容易被忽略的隐蔽攻击面。传统小程序分析依赖手动解包、抓包、全局检索,流程繁琐、效率低下,很难批量梳理本地缓存内所有小程序资产。

工具可一键扫描本地QQ客户端/微信客户端缓存,自动完成小程序资产提取、接口梳理、敏感数据审计、风险评级,大幅简化红队小程序资产测绘与漏洞前置分析流程。

QQ小程序

工具界面展示

全局资产 & URL 分类视图

多小程序批量扫描结果

八大核心功能详解

1. 全自动路径定位

无需手动查找 QQ 安装目录,工具自动遍历系统注册表、运行进程、系统默认安装路径,精准捕获 QQNT 客户端及小程序缓存存储目录,省去人工寻找缓存文件夹的步骤。

2. 小程序资产识别

自动解析小程序核心配置文件app-config.json,批量输出小程序名称、唯一 AppID、版本号、分包信息,快速梳理本机全部 QQ 小程序资产清单,适合红队批量测绘目标企业关联小程序。

3. API 调用全量提取统计

遍历小程序源码,提取所有qq.*wx.*原生 API 调用,按权限、功能分类汇总,快速定位高风险敏感接口(文件读写、相册、定位、用户授权等)。

4. 网络 URL 智能分类提取

自动抓取小程序内全部网络请求地址,自动划分四大类别:业务 API、CDN 静态资源、文档地址、第三方外链,一键复制全部接口 URL,直接导入 BurpSuite 开展渗透测试。

5. 敏感信息自动检测

内置正则匹配规则,自动扫描缓存、源码、存储数据中的高风险敏感字段:Token、密钥 Key、手机号、邮箱、JWT 令牌、会话凭证等,高亮标记泄露风险点。

6. 小程序权限审计

解析小程序申请的全部系统、业务权限,对高危权限(获取用户隐私、存储文件、跨域请求)标注安全风险提醒,辅助判断小程序潜在数据泄露隐患。

7. 综合风险评分体系

基于接口数量、敏感信息数量、高危权限、第三方外链数量多维度加权计算 0-100 分风险值,直观区分高 / 中 / 低风险小程序,优先深挖高分目标。

8. 本地存储数据浏览

可视化查看小程序持久化存储内容,包含fetchData接口缓存、auth 授权凭证、localStorage 本地存储、本地文件资源,无需手动翻找缓存文件。

微信小程序

基于对 wxapkg 反编译工具的深度二次开发与功能拓展,实现了从 自动提取 → 反编译 → 敏感信息识别 → 风险可视化 → 报告输出 的完整工作流。

工具亮点

  • 一键自动化:无需复杂配置,启动即用,覆盖监控、解包、扫描、分析完整流程。
  • 深度内容识别:自动提取超过 20 类敏感信息,包括各类云服务密钥、数据库连接串、API Token、内网地址等。
  • 直观风险呈现:采用高/中/低危三级色彩标记,结果清晰可读,支持点击查看上下文代码。
  • 开箱即用:纯原生 Windows 应用,无需安装 Python、Node.js 等任何外部依赖。
  • 便捷的操作流:提供右键快速菜单(复制、打开、定位)、代码预览及一键报告导出,极大提升分析效率。

核心功能

1. 实时监控与自动反编译自动监听微信小程序包目录(%USERPROFILE%\Documents\WeChat Files\...\wxapkg\)。一旦有新的 .wxapkg 文件产生,立即触发自动反编译并启动安全扫描,实现“发现即审计”。2. 批量扫描与手动分析支持手动选择小程序包目录进行批量处理。适用于专项安全审计、合规检查或对历史小程序的批量排查。3. 智能敏感信息提取内置针对微信生态与常见云服务的专用正则表达式与特征规则库。精准识别超过 20 类高风险敏感信息。4. 交互式代码审查面板点击任意扫描结果条目,中央面板将实时展示该敏感信息所在的源代码位置。默认显示命中代码行的前后各20行上下文,辅助人工研判风险场景与误报排除。5. 便捷的右键操作菜单在结果列表中右键点击任意条目,可快速执行以下操作:复制内容:复制选中的敏感信息文本。用记事本打开:直接打开包含该信息的源文件。在资源管理器中定位:快速跳转至源文件所在文件夹。6. 一键导出报告支持将完整扫描结果导出为 CSV 格式报告。文件编码已兼容 Microsoft Excel,确保中文内容无乱码,便于存档、分享或进一步数据处理。

GITHUB

QQ小程序:https://github.com/xjzhi/MPScan/

微信小程序:https://github.com/i-am-xjizhi/MPScan

e_scan

鹏组安全社区站:您身边的安全专家-情报 | 攻防 | 渗透 | 线索 | 资源社区

扫码关注

社区

鹏组安全社区:comm.pgpsec.cn

专注网络技术与骇客的一个综合性技术性交流与资源分享社区

老用户续费88折扣

社区首页

互助中心

免责声明

由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号鹏组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

好文分享收藏赞一下最美点在看哦


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:鹏组安全 好品老鸭鸨 好品老鸭鸨《红队实战利器|QQ小程序/微信小程序反编译逆向全自动攻击面可视化分析工具》

评论:0   参与:  0