还在手动反编译小程序、一个个翻代码找密钥？今天这款 MPScan 直接让你实现 “小程序捡洞自由”！

它是一款 Windows GUI 全自动小程序安全审计工具：

• 监控微信 → 自动反编译 → 批量扫描 → 提取敏感信息 → 一键出结果。

• 打开工具 → 打开微信点小程序 → 坐等高危漏洞上门。

一键全自动：无需配置、无需 Python/Node，点开即用实时监控：微信一开小程序，自动抓包反编译批量扫描：一次扫完所有本地小程序20+类敏感信息：AK/SK、密码、Token、内网 IP、数据库串风险分级：高危/中危/低危颜色标记，一目了然代码预览：点一下就能看泄露上下文，写报告超快导出报告：一键导出 CSV，交 SRC 直接用纯单文件：11MB EXE，无依赖、不写环境、不装库

二、能扫出什么？（直接捡洞级别）

腾讯云/阿里云/AWS/七牛云/华为云 AK/SK微信 AppSecret、支付密钥 mch_key、商户号数据库密码、MongoDB/MySQL/Redis 连接串

硬编码密码、API Token、JWT、Bearer内网 IP（10.x/172.x/192.x）未授权访问端点、后台地址

OSS 端点、短信密钥、内部接口路径

1. 下载运行

直接下载 MPScan.exe，双击打开（无需安装）。

2. 开始监控

点击 开始监控，工具会自动定位微信小程序目录。

如果路径不对，用「浏览」手动选择，通常路径如下：

%APPDATA%\Tencent\XWeChat\radium\Applet\packages%APPDATA%\Tencent\XWeChat\radium\users\xxx\applet\packagesWeChat Files\wxid_\Applet

3. 打开微信点小程序

打开微信 → 随便点几个小程序

工具会 自动发现 → 自动反编译 → 自动扫描

扫完直接在列表展示：

四、真实效果（别人已经捡到了）

• 扫出 AWS AccessKey 高危漏洞
• 阿里云 OSS + 账号密码批量泄露
• 小程序硬编码后台密码
• 大量内网 IP、内部接口泄露

很多人反编译后不知道对应的是哪个小程序？

这里我给大家配套一个 小程序名称提取工具：

• 自动读取 output 目录

• 从app-config.json 读取 navigationBarTitleText

• 输出：目录 + 小程序名称

• 按时间排序，精准对应

• SRC小白（不用学反编译，直接捡洞）
• 渗透测试、漏洞挖掘选手
• 不想折腾环境、不想写代码的人
• 想快速交漏洞、拿证书的同学