小程序挖洞必备神器｜集成接口信息收集、路由枚举，Frida注入助力挖洞高效落地（2026-4-8）更新

0x01 工具介绍小程序挖洞必备神器First工具集成接口信息收集、路由枚举核心功能依托Frida注入技术助力挖洞工作高效落地。工具基于FridaCDP代理开发支持GUI与CLI双模式运行可精准收集小程序接口信息搭配路由枚举与一键跳转功能同时兼容微信WMPF指定版本支持UserScript自动注入轻量化操作适配新手与资深挖洞从业者开源免费为小程序挖洞与接口信息收集提供便捷解决方案。注意现在只对常读和星标的公众号才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心功能特性主界面 / Control Panel使用First的时候不建议开启调试调试主包和调试frida的两个选项这两个选项是用来输出全量日志的开启之后用起来可能会比较卡。路由导航云函数分析功能特性通过 Frida 注入微信客户端转发小程序调试协议CDP 代理桥接支持 Chrome DevTools 直接连接调试路由枚举与一键跳转导航云函数调用监控与参数分析UserScript 自动注入支持按 URL 匹配、run-at 时机控制内置安全扫描模块生成扫描报告深色 / 浅色主题切换GUIPySide6与 CLI 双模式运行敏感信息接口收集0x03 更新介绍移动调试选项功能删除敏感信息提取功能(待后续开发)删除路由导航的重定向功能新增侧栏小程序信息实时显示优化路由导航实际体验优化图标显示微信4.x 小程序注入 JSRPC 与调用0x04 使用介绍安装流程环境要求python 3.10安装依赖执行命令pip install -r requirements.txt即可完成所有依赖安装。微信版本要求1. WMPF版本区间19201-115812. 推荐微信版本4.1.0.30使用方法一GUI 模式推荐1. 执行命令 python gui.py或双击“启动.bat”文件启动工具2. 在工具主界面点击“启动调试”即可开始调试3. 小程序页面操作点击“启动调试”前请勿打开小程序启动调试后再重新打开小程序即可。二CLI 模式​​​​​​​1. 默认端口启动python main.py2. 自定义端口启动python main.py --debug-port 9421 --cdp-port 620003. 开启详细日志python main.py --debug-main --debug-frida三连接 Chrome DevTools工具启动后在 Chrome 浏览器地址栏输入以下地址即可连接调试devtools://devtools/bundled/inspector.html?ws127.0.0.1:62000四参数说明参数默认值说明--debug-port9421远程调试服务端口--cdp-port62000CDP 代理监听端口--debug-main关闭输出主进程调试日志--debug-frida关闭输出 Frida 客户端日志--scripts-dir./userscriptsUserScript 目录路径--script—指定单个 .js 文件注入五UserScript 注入​​​​​​​1. 自动注入将 .js 脚本放入 userscripts/ 目录工具启动时会自动加载并按规则注入2. 手动注入执行命令 python main.py --script ./my_hook.js --script ./another.js可手动指定多个脚本注入。打包为可执行文件执行命令pyinstaller WMPFDebugger.spec即可将工具打包为可执行文件方便后续直接启动使用。下载公众号回复20260409获取下载