0x01 工具介绍NextWQ 是一款面向红队研究与合规渗透测试的QQNT小程序攻击面自动化分析工具。工具可自动扫描注册表、进程完成目录定位支持小程序信息解析、API分类统计、网络URL提取与敏感信息检测同时具备权限审计与风险评分能力。轻量化部署、操作便捷适配CTF竞赛训练与日常安全研判助力安全研究者快速挖掘QQ小程序潜在风险与攻击资产仅用于合法网络安全技术研究。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心能力自动路径检测— 扫描注册表、进程、常见路径定位QQNT安装和数据目录小程序识别— 解析app-config.json显示小程序名称、AppID、版本API调用分析— 提取所有wx.*/qq.*API调用按类别统计URL提取— 发现所有网络请求URL分类为API/CDN/文档/第三方敏感信息检测— 检测 Token、Key、手机号、邮箱、JWT 等敏感数据权限审计— 分析权限请求并标注安全关注点风险评分— 综合评估小程序风险等级(0-100)数据存储浏览— 查看fetchData、auth、localStorage、文件系统0x03 更新介绍换一种打包方式这回适配 Windows 11 21H1 以上的版本优化拖拉卡住不动的问题优化小程序反编译的时候卡顿的问题Linux 暂时适配不了才发现没这环境打包还是太几把大了0x04 使用介绍安装与使用指南1 自动路径扫描无需手动配置目录启动程序后工具将全自动遍历系统注册表、后台运行进程、默认安装路径智能识别 QQNT 核心目录、小程序缓存目录与配置文件路径自动完成环境适配与初始化扫描。2. 小程序数据解析路径扫描完成后工具自动读取并解析小程序app-config.json核心配置文件批量提取小程序名称、AppID、版本信息等基础资产数据。同时全量抓取程序调用的wx.*、qq.*系列 API 及所有网络请求 URL并按 API、CDN、静态资源、第三方请求维度自动分类汇总。3. 智能风险审计与评分内置敏感数据检测规则可精准识别程序缓存中的 Token、密钥、JWT 令牌、手机号、邮箱等隐私敏感信息。同时自动审计小程序全部权限调用行为标记高危权限与异常调用逻辑结合多项安全指标自动生成0-100 分量化风险报告直观判定风险等级。4. 可视化结果查看支持可视化浏览小程序本地缓存、持久化存储、认证数据、接口缓存等核心数据所有扫描结果、风险点位、资产信息均结构化展示。无需手动分析日志可快速定位高危攻击面大幅提升安全研判与测试效率。下载《渗透安全HackTwo》回复20260626获取下载