文章总结： 本文介绍Burp插件jaysenwxapkg，支持微信小程序4.x版本解包。该插件集成在Burp中，可批量解析小程序文件，利用正则自动提取API接口与敏感信息，并提供过滤配置降低噪音。结合影子小程序技术，能发现未公开攻击面，有效提升小程序安全测试效率。 综合评分： 85 文章分类： 安全工具,移动安全,逆向分析,渗透测试

加载文件

解析配置参考

API 正则提取

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

敏感信息正则匹配

手机号:1[3-9]\d{9}
车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$
AppSecret 泄露:(?i)\b\w*secret\b
IP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$
微信小程序 session_key 泄露:(?i)\bsession_key\b
身份证号:\b\d{17}([0-9]|X|x)\b
邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

接口关键词过滤黑名单，减少分析的时间

components/,uni_modules/,uview-ui/,uview-plus/,package/,static/,pages/

比如在这里增加一个@

API 接口里有@的就不会匹配 结合“影子”小程序使用

我们可以用 jaysenwxapkg 结合之前爆出来的“影子”小程序，寻找未公布的小程序，作为突破口

• • 新增攻击面：影子“小程序” https://mp.weixin.qq.com/s/kQCCdfVLke1K5Xzdjwq4hQ
• • 小程序渗透测试，只有一个页面？以及关联通杀方案 https://mp.weixin.qq.com/s/tEBDa2aFskvvyHbur-K_Bw
• • 下线了不是完全下线 https://mp.weixin.qq.com/s/52_JTEMSmaaJivFJ-0wSwQ

可以在下面的公众号

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击的HACK 进击的HACK 进击的HACK《Burp插件 | 微信小程序解包（支持4.x）》