实战利器:Burp微信小程序解包插件-夜雨聆风

实战利器:Burp微信小程序解包插件

免责声明：本公众号内容仅用于知识分享和学习，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号梦醒安全及作者不为此承担任何责任，一旦造成后果请自行承担！

PART.01

前言

在移动应用安全渗透测试领域，微信小程序因轻量化、高普及率的特性，成为安全检测的重要目标。但小程序的wxapkg包加密、接口分散、敏感信息隐蔽等问题，往往让测试工作效率低下。今天给大家分享一款适配Burp的微信小程序渗透测试工具，一站式解决wxapkg解包、API提取、敏感数据检测等核心需求，大幅提升小程序安全测试效率。

PART.02

介绍

一、工具核心能力

这款工具针对微信小程序渗透测试的痛点做了全方位优化，核心功能覆盖测试全流程：


功能模块	核心能力
🔓 wxapkg解密	自动识别加密包，采用AES-CBC+XOR解密方案，兼容PC微信小程序缓存包
📦 批量解包	递归扫描目录，多线程处理主包/分包，自动清理缓存文件
🚪 API提取	支持自定义正则规则，过滤前端无关路径（pages/components等），一键复制接口
🔍 敏感检测	内置手机号、身份证、AppID、密钥等检测规则，支持自定义敏感类型正则
⚙️ 灵活配置	可设置接口前缀/后缀黑名单、API正则、敏感信息正则，修改后自动保存配置
📊 可视化面板	分栏展示小程序基础信息、API提取结果、敏感数据检测结果，直观清晰
📱 小程序信息查询	自动提取AppID，查询小程序名称、主体、描述等基础信息

二、快速上手操作步骤

1. 定位微信小程序包存储路径

PC端微信小程序包默认存储路径为：

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

若未找到，可全局搜索“packages”文件夹。

2. 清理历史缓存包

该目录下会存储多个小程序的wxapkg包，为精准提取目标小程序信息，先删除所有历史包文件。

3. 加载目标小程序包

打开微信，启动需要检测的目标小程序，此时微信会重新生成该小程序的wxapkg包文件。

4. Burp插件提取分析

在Burp中打开该工具插件，选择小程序包所在文件夹，工具会自动批量解包所有主包/分包，提取API接口并检测敏感数据。

三、实用配置示例

1. 敏感信息检测正则

可直接复用以下规则，也可自定义扩展：

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

2. API提取正则

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')