文章总结: First是一款基于Frida动态插桩和ChromeDevToolsProtocol的微信小程序安全调试工具,支持实时拦截API调用、修改云函数参数、解密wxapkg包及路由枚举等功能。文档详细介绍了工具的技术架构、安装方法和使用场景,适用于小程序安全研究和漏洞检测。 综合评分: 88 文章分类: 安全工具,移动安全,WEB安全,渗透测试,漏洞分析
微信小游戏有漏洞?这个工具让你像调试网页一样透视小程序内部
菜狗 菜狗
只会看监控的实习生
2026年6月29日 08:59 广东
在小说阅读器读本章
去阅读
First — 微信小程序安全调试工具
Frida + CDP 双引擎驱动 | 支持 macOS / Windows | 小程序安全研究与逆向分析利器
产品定位
First 是一款专注于微信小程序安全研究的调试工具,基于 Frida 动态插桩技术与 Chrome DevTools Protocol(CDP)深度集成,为安全研究员提供小程序运行时的全维度观测与干预能力。
不同于传统的静态分析工具,First 能够在小程序运行时实时捕获 API 调用、拦截云函数请求、动态修改参数并重放,让安全测试从”黑盒猜测”升级为”白盒透视”。
核心功能
🔧 运行时调试
| 功能 | 说明 | 技术实现 | | — | — | — | | Frida 注入 | 动态注入微信进程,获取运行时控制权 | Frida Gum 引擎 | | CDP 桥接 | 代理 Chrome DevTools 协议,复用前端调试生态 | Chrome DevTools Protocol | | DevTools 集成 | 直接使用 Chrome 开发者工具调试小程序 | WebSocket 代理转发 |
☁️ 云函数动态捕获
-
Hook 点:
wx.cloud.callFunction -
能力:
-
实时拦截云函数调用
-
查看完整请求参数(data、header、cloudID 等)
-
动态修改参数后重放请求
-
批量测试边界条件与注入向量
应用场景:快速验证云函数端的权限校验逻辑、参数过滤机制。
🔗 wx.* API 全捕获
覆盖微信小程序核心 API:
| API 类别 | 具体接口 | 捕获内容 |
| — | — | — |
| 用户认证 | wx.login | code、appid、secret 交换流程 |
| 网络请求 | wx.request | URL、method、data、header、响应数据 |
| 用户信息 | wx.getUserProfile | 授权参数、返回的用户敏感信息 |
| 数据缓存 | wx.setStorage / wx.getStorage | key-value 存储内容 |
| 文件操作 | wx.downloadFile / wx.uploadFile | 文件路径、下载链接 |
🧭 路由枚举与导航
- 页面路由抓取:自动枚举小程序所有可访问页面
- 跳转守卫检测:识别未授权访问的页面路径
- 参数遍历测试:对路由参数进行 fuzzing,发现越权入口
📦 wxapkg 解密解包
| 能力 | 说明 | | — | — | | 自动解密 | 识别微信本地缓存的 wxapkg 加密包 | | 源码提取 | 解包获取小程序原始代码结构 | | 敏感信息扫描 | 自动检测硬编码的 API Key、Secret、内网地址等 |
🤖 MCP Server 集成
- AI 辅助分析:对接大语言模型,自动解读捕获的流量数据
- 智能漏洞识别:基于上下文理解,提示潜在的安全风险点
- 报告生成:一键输出结构化的安全分析报告
🔄 在线更新机制
| 更新项 | 说明 | | — | — | | 偏移量更新 | 微信版本迭代后,自动同步 Frida 注入点偏移 | | Skills 更新 | 漏洞检测规则、Hook 脚本持续迭代 |
下载与安装
版本说明
自 v1.1.0 起转为闭源,后续版本仅提供编译后的二进制分发。开源版本仍可获取历史 Release。
最新版本下载
| 平台 | 架构 | 文件名 | 适用场景 |
| — | — | — | — |
| macOS | Apple Silicon (M1/M2/M3) | First-ARM.dmg | 主流新 Mac |
| macOS | Intel (x86_64) | First-Intel.dmg | 旧款 Mac / 黑苹果 |
| Windows | x86_64 | First-Windows.zip | Windows 10/11 |
📥 前往 Releases 页面下载最新版
支持的微信版本
Windows 平台
WMPF 版本(微信小程序框架版本):
11581, 11633, 13331, 13341, 13487, 13639, 13655, 13871, 13909,
14161, 14199, 14315, 16133, 16203, 16389, 16467, 16771, 16815,
16965, 17037, 17071, 17127, 18055, 18151, 18787, 18891, 18955,
19027, 19201, 19977
- 实时更新:持续适配最新微信版本
- 社区贡献:19977 版本由微信群友”执守中一”提供
推荐微信版本:4.1.10
- [下载地址]
https://weixin.qq.com/cgi-bin/readtemplate?t=win_weixin
macOS 平台
WMPF 版本:
17078, 18152, 18788, 19978
- 实时更新:持续适配最新微信版本
- 社区贡献:19978 版本由微信群友”人杰”提供
推荐微信版本:4.1.10
- 下载地址
快速开始
三步启动
# Step 1: 安装并打开 First 应用
# Step 2: 点击「启动」按钮 — Frida 自动注入微信进程
# Step 3: 在微信中打开目标小程序,开始调试
功能入口
| 入口 | 功能 | 操作方式 | | — | — | — | | DevTools | 前端调试 | 自动唤起 Chrome DevTools | | 云捕获 | 云函数拦截 | 侧边栏实时查看调用记录 | | 导航 | 路由枚举 | 点击扫描,一键跳转测试 |
macOS 特别说明
Frida 注入微信进程时,可能遇到系统级限制。提供两种解决方案:
方案一:关闭 SIP(系统完整性保护)
# 重启进入恢复模式(开机时按住 Cmd+R)
# 在终端执行:
csrutil disable
# 重启后即可正常注入
方案二:强制重签名微信应用
sudo codesign --force --deep --sign - /Applications/WeChat.app
技术架构
┌─────────────────────────────────────────┐
│ Chrome DevTools UI │
│ (Elements / Network / Console / Sources) │
└─────────────────┬───────────────────────┘
│ CDP over WebSocket
┌─────────────────▼───────────────────────┐
│ First CDP Proxy Bridge │
│ (协议转换 / 流量拦截 / 数据增强) │
└─────────────────┬───────────────────────┘
│
┌─────────────┼─────────────┐
│ │ │
▼ ▼ ▼
┌────────┐ ┌────────┐ ┌────────────┐
│ Frida │ │ Frida │ │ wxapkg │
│ Agent │ │ Script │ │ Parser │
│(注入微信)│ │(Hook点)│ │(解密解包) │
└────┬───┘ └────────┘ └────────────┘
│
▼
┌─────────────────────────────────────────┐
│ WeChat (WMPF Runtime) │
│ ┌─────────┐ ┌─────────┐ ┌────────┐ │
│ │ wx.login│ │wx.cloud │ │wx.requ-│ │
│ │ │ │.callFunc│ │est │ │
│ └─────────┘ └────┬────┘ └────────┘ │
│ │ │
│ ┌──────▼──────┐ │
│ │ Cloud Func │ │
│ │ Server │ │
│ └─────────────┘ │
└─────────────────────────────────────────┘
项目地址
https://github.com/Spade-sec/First
低价出售安全证书不限于cisp、pte等cnvd、建了项目群,想进群的请回复进群
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只会看监控的实习生 菜狗 菜狗《微信小游戏有漏洞?这个工具让你像调试网页一样透视小程序内部》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论