微信小程序全自动捡洞工具，一键完成解包反编译与敏感信息泄露审计，可视化漏洞报告输出

0x01 工具介绍随着微信小程序生态快速扩张硬编码密钥、内网地址、云服务凭证等敏感信息泄露已成为高频高危漏洞。传统小程序审计需手动解包、反编译、逐行排查流程繁琐效率低下。为此推出 MPScan 全自动捡洞工具无需额外环境依赖可一键完成 wxapkg 解包、反编译、敏感信息识别与风险分级全程自动化无人值守。工具内置多类云厂商密钥、数据库信息、内网 IP 等检测规则支持实时监控、批量扫描与交互式代码预览最终输出可视化报告极大降低安全测试门槛助力安全人员高效挖掘小程序敏感信息漏洞。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心亮点 一键自动化无需复杂配置启动即用覆盖监控、解包、扫描、分析完整流程。 深度内容识别自动提取超过 20 类敏感信息包括各类云服务密钥、数据库连接串、API Token、内网地址等。 直观风险呈现采用高/中/低危三级色彩标记结果清晰可读支持点击查看上下文代码。 开箱即用纯原生 Windows 应用无需安装 Python、Node.js 等任何外部依赖。 便捷的操作流提供右键快速菜单复制、打开、定位、代码预览及一键报告导出极大提升分析效率。️ 核心功能1. 实时监控与自动反编译自动监听微信小程序包目录%USERPROFILE%\Documents\WeChat Files\...\wxapkg\。一旦有新的 .wxapkg 文件产生立即触发自动反编译并启动安全扫描实现“发现即审计”。2. 批量扫描与手动分析支持手动选择小程序包目录进行批量处理。适用于专项安全审计、合规检查或对历史小程序的批量排查。3. 智能敏感信息提取内置针对微信生态与常见云服务的专用正则表达式与特征规则库。精准识别超过 20 类高风险敏感信息。4. 交互式代码审查面板点击任意扫描结果条目中央面板将实时展示该敏感信息所在的源代码位置。默认显示命中代码行的前后各20行上下文辅助人工研判风险场景与误报排除。5. 便捷的右键操作菜单在结果列表中右键点击任意条目可快速执行以下操作复制内容复制选中的敏感信息文本。用记事本打开直接打开包含该信息的源文件。在资源管理器中定位快速跳转至源文件所在文件夹。6. 一键导出报告支持将完整扫描结果导出为 CSV 格式报告。文件编码已兼容 Microsoft Excel确保中文内容无乱码便于存档、分享或进一步数据处理。0x03 更新介绍第一个版本发布0x04 使用介绍安装流程1、运行环境支持 Windows 10/11 64 位系统工具为纯原生编译无需安装 Python、Node.js、Java 等任何运行环境解压即可使用。2、快速启动下载最新版MPScan.zip并解压到任意目录。双击运行MPScan.exe即可启动工具。3、扫描模式自动监控模式工具启动后自动监听微信小程序包目录当运行新小程序产生.wxapkg文件时自动执行反编译与安全扫描实现 “运行即检测”。手动批量扫描点击 “选择目录”指定存放小程序包的文件夹工具将批量解包、反编译并完成安全审计适用于历史包排查与专项检测。下载⬇️回复20260417获取下载⬇️