文章总结： 该文档介绍一款名为First的小程序渗透测试工具，集成Frida注入和CDP代理技术，支持GUI/CLI双模式运行，具备接口信息收集、路由枚举、云函数分析等功能。工具兼容微信WMPF指定版本，提供UserScript自动注入和敏感信息扫描能力，适用于小程序安全测试场景。文档包含详细安装步骤、参数说明及免责声明。 综合评分： 75 文章分类： 渗透测试,WEB安全,移动安全,安全工具,红队

小程序挖洞必备神器｜集成接口信息收集、路由枚举，Frida注入助力挖洞高效落地（2026-4-8）更新

vs-olitus vs-olitus

渗透安全HackTwo

2026年4月9日 00:00 广东

在小说阅读器读本章

去阅读

0x01 工具介绍

小程序挖洞必备神器｜First工具集成接口信息收集、路由枚举核心功能，依托Frida注入技术，助力挖洞工作高效落地。工具基于Frida+CDP代理开发，支持GUI与CLI双模式运行，可精准收集小程序接口信息，搭配路由枚举与一键跳转功能，同时兼容微信WMPF指定版本，支持UserScript自动注入，轻量化操作适配新手与资深挖洞从业者，开源免费，为小程序挖洞与接口信息收集提供便捷解决方案。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨核心功能特性

主界面 / Control Panel

使用First的时候，不建议开启调试（调试主包和调试frida）的两个选项，这两个选项是用来输出全量日志的，开启之后用起来可能会比较卡。

路由导航

云函数分析

功能特性

• 通过 Frida 注入微信客户端，转发小程序调试协议
• CDP 代理桥接，支持 Chrome DevTools 直接连接调试
• 路由枚举与一键跳转导航
• 云函数调用监控与参数分析
• UserScript 自动注入（支持按 URL 匹配、run-at 时机控制）
• 内置安全扫描模块，生成扫描报告
• 深色 / 浅色主题切换
• GUI（PySide6）与 CLI 双模式运行
• 敏感信息接口收集

#

0x03 更新介绍

移动调试选项功能删除敏感信息提取功能(待后续开发)删除路由导航的重定向功能新增侧栏小程序信息实时显示优化路由导航实际体验优化图标显示微信4.x 小程序注入 JSRPC 与调用

0x04 使用介绍

📦安装流程

环境要求（python >= 3.10）

安装依赖：执行命令 pip install -r requirements.txt 即可完成所有依赖安装。

微信版本要求

1. WMPF版本区间：19201-11581

2. 推荐微信版本：4.1.0.30

使用方法

（一）GUI 模式（推荐）

1. 执行命令 python gui.py，或双击“启动.bat”文件启动工具；2. 在工具主界面点击“启动调试”，即可开始调试；3. 小程序页面操作：点击“启动调试”前请勿打开小程序，启动调试后再重新打开小程序即可。

（二）CLI 模式

1. 默认端口启动：python main.py2. 自定义端口启动：python main.py --debug-port 9421 --cdp-port 620003. 开启详细日志：python main.py --debug-main --debug-frida

（三）连接 Chrome DevTools

工具启动后，在 Chrome 浏览器地址栏输入以下地址，即可连接调试：

devtools://devtools/bundled/inspector.html?ws=127.0.0.1:62000

（四）参数说明

| 参数 | 默认值 | 说明 | | — | — | — | | –debug-port | 9421 | 远程调试服务端口 | | –cdp-port | 62000 | CDP 代理监听端口 | | –debug-main | 关闭 | 输出主进程调试日志 | | –debug-frida | 关闭 | 输出 Frida 客户端日志 | | –scripts-dir | ./userscripts | UserScript 目录路径 | | –script | — | 指定单个 .js 文件注入 |

（五）UserScript 注入

1. 自动注入：将 .js 脚本放入 userscripts/ 目录，工具启动时会自动加载并按规则注入；2. 手动注入：执行命令 python main.py --script ./my_hook.js --script ./another.js，可手动指定多个脚本注入。

打包为可执行文件

执行命令 pyinstaller WMPFDebugger.spec，即可将工具打包为可执行文件，方便后续直接启动使用。

0x05 内部VIP星球介绍-V1.5（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5832+)，包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2700+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/SQ6ni

👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260409获取下载、回复 加群 获取交流群

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.5（AI自动化）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2026.2专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo vs-olitus vs-olitus《小程序挖洞必备神器｜集成接口信息收集、路由枚举，Frida注入助力挖洞高效落地（2026-4-8）更新》