微信小游戏有漏洞?这个工具让你像调试网页一样透视小程序内部

admin 2026-06-30 08:20:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: First是一款基于Frida动态插桩和ChromeDevToolsProtocol的微信小程序安全调试工具,支持实时拦截API调用、修改云函数参数、解密wxapkg包及路由枚举等功能。文档详细介绍了工具的技术架构、安装方法和使用场景,适用于小程序安全研究和漏洞检测。 综合评分: 88 文章分类: 安全工具,移动安全,WEB安全,渗透测试,漏洞分析


cover_image

微信小游戏有漏洞?这个工具让你像调试网页一样透视小程序内部

菜狗 菜狗

只会看监控的实习生

2026年6月29日 08:59 广东

在小说阅读器读本章

去阅读

First — 微信小程序安全调试工具

 Frida + CDP 双引擎驱动 | 支持 macOS / Windows | 小程序安全研究与逆向分析利器


产品定位

First 是一款专注于微信小程序安全研究的调试工具,基于 Frida 动态插桩技术与 Chrome DevTools Protocol(CDP)深度集成,为安全研究员提供小程序运行时的全维度观测与干预能力。

不同于传统的静态分析工具,First 能够在小程序运行时实时捕获 API 调用、拦截云函数请求、动态修改参数并重放,让安全测试从”黑盒猜测”升级为”白盒透视”。


核心功能

🔧 运行时调试

| 功能 | 说明 | 技术实现 | | — | — | — | | Frida 注入 | 动态注入微信进程,获取运行时控制权 | Frida Gum 引擎 | | CDP 桥接 | 代理 Chrome DevTools 协议,复用前端调试生态 | Chrome DevTools Protocol | | DevTools 集成 | 直接使用 Chrome 开发者工具调试小程序 | WebSocket 代理转发 |

☁️ 云函数动态捕获

  • Hook 点wx.cloud.callFunction

  • 能力

  • 实时拦截云函数调用

  • 查看完整请求参数(data、header、cloudID 等)

  • 动态修改参数后重放请求

  • 批量测试边界条件与注入向量

应用场景:快速验证云函数端的权限校验逻辑、参数过滤机制。

🔗 wx.* API 全捕获

覆盖微信小程序核心 API:

| API 类别 | 具体接口 | 捕获内容 | | — | — | — | | 用户认证 | wx.login | code、appid、secret 交换流程 | | 网络请求 | wx.request | URL、method、data、header、响应数据 | | 用户信息 | wx.getUserProfile | 授权参数、返回的用户敏感信息 | | 数据缓存 | wx.setStoragewx.getStorage | key-value 存储内容 | | 文件操作 | wx.downloadFilewx.uploadFile | 文件路径、下载链接 |

🧭 路由枚举与导航

  • 页面路由抓取:自动枚举小程序所有可访问页面
  • 跳转守卫检测:识别未授权访问的页面路径
  • 参数遍历测试:对路由参数进行 fuzzing,发现越权入口

📦 wxapkg 解密解包

| 能力 | 说明 | | — | — | | 自动解密 | 识别微信本地缓存的 wxapkg 加密包 | | 源码提取 | 解包获取小程序原始代码结构 | | 敏感信息扫描 | 自动检测硬编码的 API Key、Secret、内网地址等 |

🤖 MCP Server 集成

  • AI 辅助分析:对接大语言模型,自动解读捕获的流量数据
  • 智能漏洞识别:基于上下文理解,提示潜在的安全风险点
  • 报告生成:一键输出结构化的安全分析报告

🔄 在线更新机制

| 更新项 | 说明 | | — | — | | 偏移量更新 | 微信版本迭代后,自动同步 Frida 注入点偏移 | | Skills 更新 | 漏洞检测规则、Hook 脚本持续迭代 |


下载与安装

版本说明

 自 v1.1.0 起转为闭源,后续版本仅提供编译后的二进制分发。开源版本仍可获取历史 Release。

最新版本下载

| 平台 | 架构 | 文件名 | 适用场景 | | — | — | — | — | | macOS | Apple Silicon (M1/M2/M3) | First-ARM.dmg | 主流新 Mac | | macOS | Intel (x86_64) | First-Intel.dmg | 旧款 Mac / 黑苹果 | | Windows | x86_64 | First-Windows.zip | Windows 10/11 |

📥 前往 Releases 页面下载最新版


支持的微信版本

Windows 平台

WMPF 版本(微信小程序框架版本):

11581, 11633, 13331, 13341, 13487, 13639, 13655, 13871, 13909,
14161, 14199, 14315, 16133, 16203, 16389, 16467, 16771, 16815,
16965, 17037, 17071, 17127, 18055, 18151, 18787, 18891, 18955,
19027, 19201, 19977
  • 实时更新:持续适配最新微信版本
  • 社区贡献:19977 版本由微信群友”执守中一”提供

推荐微信版本4.1.10

  • [下载地址]
https://weixin.qq.com/cgi-bin/readtemplate?t=win_weixin

macOS 平台

WMPF 版本

17078, 18152, 18788, 19978
  • 实时更新:持续适配最新微信版本
  • 社区贡献:19978 版本由微信群友”人杰”提供

推荐微信版本4.1.10

  • 下载地址

快速开始

三步启动

# Step 1: 安装并打开 First 应用
# Step 2: 点击「启动」按钮 — Frida 自动注入微信进程
# Step 3: 在微信中打开目标小程序,开始调试

功能入口

| 入口 | 功能 | 操作方式 | | — | — | — | | DevTools | 前端调试 | 自动唤起 Chrome DevTools | | 云捕获 | 云函数拦截 | 侧边栏实时查看调用记录 | | 导航 | 路由枚举 | 点击扫描,一键跳转测试 |

macOS 特别说明

Frida 注入微信进程时,可能遇到系统级限制。提供两种解决方案:

方案一:关闭 SIP(系统完整性保护)

# 重启进入恢复模式(开机时按住 Cmd+R)
# 在终端执行:
csrutil disable
# 重启后即可正常注入

方案二:强制重签名微信应用

sudo codesign --force --deep --sign - /Applications/WeChat.app

技术架构

┌─────────────────────────────────────────┐
│           Chrome DevTools UI             │
│  (Elements / Network / Console / Sources) │
└─────────────────┬───────────────────────┘
                  │ CDP over WebSocket
┌─────────────────▼───────────────────────┐
│         First CDP Proxy Bridge           │
│    (协议转换 / 流量拦截 / 数据增强)       │
└─────────────────┬───────────────────────┘
                  │
    ┌─────────────┼─────────────┐
    │             │             │
    ▼             ▼             ▼
┌────────┐  ┌────────┐  ┌────────────┐
│ Frida  │  │ Frida  │  │   wxapkg   │
│ Agent  │  │ Script │  │   Parser   │
│(注入微信)│  │(Hook点)│  │(解密解包)   │
└────┬───┘  └────────┘  └────────────┘
     │
     ▼
┌─────────────────────────────────────────┐
│           WeChat (WMPF Runtime)          │
│  ┌─────────┐  ┌─────────┐  ┌────────┐ │
│  │ wx.login│  │wx.cloud │  │wx.requ-│ │
│  │         │  │.callFunc│  │est     │ │
│  └─────────┘  └────┬────┘  └────────┘ │
│                     │                   │
│              ┌──────▼──────┐            │
│              │ Cloud Func  │            │
│              │   Server    │            │
│              └─────────────┘            │
└─────────────────────────────────────────┘

项目地址

https://github.com/Spade-sec/First

低价出售安全证书不限于cisp、pte等cnvd、建了项目群,想进群的请回复进群


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:只会看监控的实习生 菜狗 菜狗《微信小游戏有漏洞?这个工具让你像调试网页一样透视小程序内部》

评论:0   参与:  0