文章总结： 文章介绍了BurpSuite插件JaySenWxapkg，旨在解决微信小程序渗透测试中的难点。该工具支持一键解密wxapkg包，具备多线程批量解包能力，并通过正则规则精准提取API接口及敏感信息。插件提供可视化面板与灵活配置，有效提升小程序安全检测效率。 综合评分： 80 文章分类： 渗透测试,安全工具,逆向分析

Burp 微信小程序渗透利器，一键解密小程序wxapkg 包 + API 提取 + 敏感检测

Jaysen13

渗透安全HackTwo

2026年1月8日 00:00 广东

0x01 工具介绍

微信小程序因代码包加密、接口隐蔽等特性，成为渗透测试的难点场景。JaySenWxapkg 作为 Burp 专属小程序渗透利器，完美适配微信最新版本，支持一键自动解密 wxapkg 加密包，搭配多线程批量解包能力，高效处理主包与分包文件。工具内置灵活正则规则，可精准提取 API 接口并过滤前端无效路径，同时集成手机号、密钥等敏感数据检测模块，可视化面板分栏展示结果，配置自动保存，大幅降低小程序渗透门槛，提升测试效率。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg解密 | 自动识别加密包，AES-CBC+XOR解密，兼容PC微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程解包主包/分包，自动清理缓存 | | 🚪 API提取 | 自定义正则规则，过滤前端路径（pages/components等），一键复制所有接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等规则，支持自定义敏感类型正则 | | ⚙️ 灵活配置 | 接口前缀/后缀黑名单、API正则、敏感信息正则，修改自动保存 | | 📊 可视化面板 | 小程序信息、API结果、敏感数据分栏展示，清晰直观 | | 📱 小程序信息查询 | 自动提取AppID，查询小程序名称、主体、描述等基础信息 |

#

0x03更新说明

解开4版本已加密微信小程序的wxapkg包并正则提取api、敏感信息

0x04 使用介绍

📦使用指南

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

开放后需要提取信息的小程序

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

📝 配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API提取正则示例（默认规则）

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5024+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2400+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/d8wtW

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260108获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo Jaysen13《Burp 微信小程序渗透利器，一键解密小程序wxapkg 包 + API 提取 + 敏感检测》