【神兵利器】微信小程序辅助渗透

项目介绍

在对微信小程序进行渗透测试时本项目可以提供自动渗透辅助，其中自动化辅助反编译、自动化注入Hook、自动化查看信息泄露等，目前仅限于Windows操作系统

效果演示

项目使用效果演示如下：

config.yaml配置文件介绍：

代码语言：javascript代码运行次数：0运行复制

tools:
  # 是否开启请求接口
  asyncio_http_tf: False
  # 小程序结果保存的文件名
  proess_file: "proess.xlsx"
  # 不进行拼接的接口的url,不写入该状态码的接口
  not_asyncio_http: ["weixin.qq", "www.w3", "map.qq", "restapi.amap"]
  not_asyncio_stats: [404]
  # 最大线程数
  max_workers: 5
  # 工具运行时间限制，单位秒
  wxpcmd_timeout: 30

wx-tools:
  # 微信位置(必须配置)，注意这里必须使用的是单引号
  wx-file: ''

bot:
  # 飞书机器人配置，是否开启飞书提醒
  feishu-tf: False
  api_id: ""
  api_secret: ""
  phone: [""]

# 配置正则处，前面是正则名字 后面为正则匹配条件，可自行更改添加
rekey:
  google_api: 'AIza[0-9A-Za-z-_]{35}'
  firebase: 'AAAA[A-Za-z0-9_-]{7}:[A-Za-z0-9_-]{140}'
  google_captcha: '6L[0-9A-Za-z-_]{38}|^6[0-9a-zA-Z_-]{39}$'
  ......

Config配置：

1、配置wx文件夹位置配置来到设置，查看文件管理对应的文件夹位置

2.配置hook，如果想进行hook-f12，我们需要配置对应的基址

使用方法

代码语言：javascript代码运行次数：0运行复制

# 不进行hook
python3 e0e1-wx.py
# 进行hook
python3 e0e1-wx.py -hook
# 进行hook同时对输出的代码进行优化
python3 .\e0e1-wx.py -hook -pretty

免责声明

仅限用于技术研究和获得正式授权的攻防项目，请使用者遵守《中华人民共和国网络安全法》，切勿用于任何非法活动，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律连带责任

本文参与 腾讯云自媒体同步曝光计划，分享自微信公众号。原始发表：2025-04-02，如有侵权请联系 cloudcommunity@tencent 删除接口配置微信小程序自动化工具