文章总结： API-Explorer是一款可集中管理微信公众号、小程序、企业微信、钉钉、飞书等平台API的图形化工具，支持自定义请求头、体与正则提取token，内置常用接口数据库，方便泄露secret后快速利用与设备巡检、签到等场景，使用需下载源码附带的ApiInfo2.0.db并置于程序目录，认证区支持账号密码、cookie、固定key三种方式，日志区直接输出响应便于调试，作者欢迎借key与贡献接口以持续完善。 综合评分： 78 文章分类： 安全工具,WEB安全,红队,内网渗透,漏洞分析

API接口管理工具(目前内置微信公众号、微信小程序、企业微信、飞书、钉钉等)

原创

mrknow001 mrknow001

W小哥

2026年1月21日 11:36 浙江

API-Explorer

下载了Releases版本后，需要在源码页面将ApiInfo2.0.db文件下载到本地放到程序目录

废话篇：

工具初衷是做一个小程序、公众号、企业微信、飞书、钉钉等泄露secert后利用工具，后来发现几家接口有一定区别，认证等参数分布在不同位置，索性就做成一个比较通用的工具了。目前可以定义：请求类型、url、header、body、正则提取认证token、接口参数说明。

功能介绍

 API-Explorer是一款管理api接口的工具，可提前配置好接口，直接调用即可；可定义数据包任何位置内容，使用起来相当灵活。

| 应用 | 功能 | 数据库接口 | | — | — | — | | 微信公众号 | 支持 | 完成部分常用功能 | | 微信小程序 | 支持 | 完成部分常用功能 | | 企业微信 | 支持 | 完成部分常用功能 | | 钉钉 | 支持 | 完成部分常用功能 | | 飞书 | 支持 | 只写了两个接口 | | 腾讯地图 | 支持 | 完成部分常用功能 | | 高德地图 | 支持 | 完成部分常用功能 | | 百度地图 | 支持 | 完成部分常用功能 |

完成部分都是挖洞遇到过的key，边写边测试，如果遇到一些特殊情况无法使用可提交Issues或者联系“刨洞安全团队”公众号后台留言。

如果有人愿意借用下key就可以继续完善，愿意贡献者联系“刨洞安全团队”公众号

使用场景

场景1-(公众号appid，secert泄露利用)：

1、获取accesstoken

2、使用此token访问其他接口

有些时候拿到的appid跟secert公众号用不了，其实是它没有公众号，只有小程序，可以先用公众号接口获取token然后使用小程序接口获取其对应信息。

地图系列 

场景2-(设备巡检)：

绿盟扫描器

绿盟UTS

获取token，注意这里密码加密后的，为了通用工具不做任何加密，所以加好密传入才行。获取加密办法：

f12后登录页面输入账号密码，找到authen_user接口，获取password内容即可。这个密码可复用，只要不改密码就可以一直用。

使用token获取设备信息

场景3-(签到类)：

 没有实践，目前支持账号密码登录获取cookie，可以再加个签到接口即可。

使用说明

认证区域

由于标签可能不一样，第一行第一个就以id标识，第二个以key表示，第二行以token表示

目前考虑的认证有三种，分别是：

i. 账号密码获取token(响应body)

ii.  账号密码获取cookie(响应头)

iv.使用固定请求头，例如Basic认证或者api授权key

前两者需要输入id跟key获取token再使用，所以需要先点击”获取Token”，如果能获取到Token将会自动填充在token处

如果是第三种方式直接填写token使用即可。

Basic认证可直接输入”账号:密码”，然后点击Base64编码即可。

功能区域

两个下拉框第一个是分组，第二个是接口。为了防止接口数量太多使用起来不便，所以尽量对接口分组。

“接口说明”点击弹出内容为该接口请求与响应字段信息，方便使用。

“接口配置”可对配置接口值进行修改。说明：该处修改会影响数据库默认数据，但不影响有特殊标识的字段。

“获取”功能即请求该接口，并将响应输出到日志区。

“清空日志”回将日志区内容清空。

日志区域

为了展示所有内容，不好以可视化或者其他方式展示，直接将响应body原样输出了。(暂时没想到，如果有方案可以指导下)

接口编写

数据库关系结构图

关注公众号回复“20260121”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 mrknow001 mrknow001《API接口管理工具(目前内置微信公众号、微信小程序、企业微信、飞书、钉钉等)》