文章总结： 本文介绍BurpSuite插件jaysenwxapkg，用于微信新版小程序反编译及信息提取。该插件支持一键解包主子包，自动提取API接口及敏感数据。文章详解了插件安装、包路径定位及批量解析步骤，并提供了手机号、AppSecret等正则配置示例，帮助安全人员快速定位小程序数据泄露风险。 综合评分： 90 文章分类： 安全工具,逆向分析,移动安全,数据泄露,渗透测试

【BurpSuite插件推荐】微信小程序一键提取API、敏感信息–jaysenwxapkg

原创

秋刀鱼

塔罗安全学苑

2026年1月10日 16:06 江西

0x00 插件介绍

以前老版本的微信很多师傅都登不上了，目前市面上也好像没有针对微信新版本的小程序反编译解包并提取敏感信息的插件，jaysenwxapkg 就是一款基于burp api 2025.8开发的插件

项目地址：Jaysen13/jaysenwxapkg： 自动解包微信小程序并提取敏感信息和api接口

觉得好用的师傅辛苦点点start✨

0x01 插件使用

image-20251229103047907

访问项目链接，下载jar包，然后直接导入jar包即可

image-20251229103133824

加载成功如上所示

可以查看我目前是微信最新版本：4.1.6.14

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

image-20251229093124896

以下图是一个小程序生成的主包和子包

image-20251229093139954

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后，在插件选择小程序的文件

默认首先打开以下路径：

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

image-20251229093308773

点击【批量解析所有wxapkg包】即可解密该小程序的所有主包和子包，并提取信息

image-20260110154754166

image-20251229103624954

image-20251229103747459

点击**【打开文件浏览器】**

image-20260110154954334

image-20260110155041313

可以直接全局搜索信息，已便快速定位真实的敏感信息泄露位置，不需要再去缓存处用编译器打开

0x02 插件配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}
车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$
AppSecret 泄露:(?i)\b\w*secret\b
IP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$
微信小程序 session_key 泄露:(?i)\bsession_key\b
身份证号:\b\d{17}([0-9]|X|x)\b
邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API接口提取正则示例

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

• 前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/
• 后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：塔罗安全学苑 秋刀鱼《【BurpSuite插件推荐】微信小程序一键提取API、敏感信息–jaysenwxapkg》