文章总结： 本文介绍了BurpSuite插件jaysenwxapkg，用于解密新版微信小程序包。该工具能一键批量解析wxapkg文件，自动提取API接口及手机号、密钥等敏感信息。文章提供了详细的安装路径解析、正则配置示例及使用流程，为安全人员提供了高效的小程序审计辅助工具，并强调需在授权合法环境下使用。 综合评分： 88 文章分类： 安全工具,移动安全,渗透测试

【转载】【BurpSuite插件推荐】微信小程序一键提取API、敏感信息–jaysenwxapkg

secureyang

2026年1月24日 15:04 北京

以下文章转载于大佬 jaysen 凌霜雁安全志。

该burp插件可以解密新版本微信并且提取api和敏感信息。很方便，欢迎推广和使用。

0x00 插件介绍

以前老版本的微信很多师傅都登不上了，目前市面上也好像没有针对微信新版本的小程序反编译解包并提取敏感信息的插件，jaysenwxapkg 就是一款基于burp api 2025.8开发的插件

项目地址：

https://github.com/Jaysen13/jaysenwxapkg

（点击直达 GitHub，star 收藏不迷路～）

简洁直观的操作面板，功能一目了然

0x01 插件使用

1、下载安装

• 访问项目仓库，下载最新版 jar 包
• 打开 BurpSuite → 「Extender」→ 「Add」→ 选中 jar 包

加载成功后，插件栏会出现专属图标，像这样👇

2、找到小程序包，定位关键路径

可以查看我目前是微信最新版本：4.1.6.14

微信最新版（测试版本 所有4版本亲测可用）的小程序包默认藏在这里：

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

每个子文件夹对应一个小程序，主包、子包全在这，像这样👇

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

3、一键解析，信息自动提取

打开需要提取信息的小程序后，在插件选择小程序的文件默认首先打开以下路径：

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

点击【批量解析所有wxapkg包】即可解密该小程序的所有主包和子包，并提取信息，像这样👇

解包缓存在

C:\Users\你的用户名\.burp\JaySenWxapkgOutput

可以用编译器打开该目录搜索刚刚提取的铭感信息解包后的文件内容

0x02 插件配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4

API接口提取正则示例

(?:”|’)(((?:[a-zA-Z]{1,10}://|//)[^”‘/]{1,}.([a-zA-Z]{2,})[^”‘]{0,})|((?:/|../|./)[^”‘><,;| *()(%%$^/\[]][^"'><,;|()]{1,})|([a-zA-Z0-9-/]{1,}/[a-zA-Z0-9-/]{1,}.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^”|’]{0,}|))|([a-zA-Z0-9_-]{1,}.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^”|’]{0,}|)))(?:”|’)

前缀/后缀黑名单示例

• 前缀黑名单：

/pages/,/components/,/static/,/uni_modules/,uview-ui/

• 后缀黑名单：

jpg,gif,svg,wxss,wxml,png,js,jpeg

【免责与授权声明】

本文旨在进行安全技术研究、提升安全防御意识，所有内容仅限于授权环境下的测试与学习。

请务必遵守《网络安全法》及相关法律法规。 文中涉及的漏洞信息及利用方法，严禁用于任何未授权的非法测试与攻击。任何个人或组织因不当使用本文内容而触犯法律，均需自行承担全部责任。

安全之路，始于责任，忠于技术。愿与各位同仁共筑更安全的数字世界。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：secureyang 《【转载】【BurpSuite插件推荐】微信小程序一键提取API、敏感信息–jaysenwxapkg》