夜雨聆风0x01 工具介绍
wmpf-mcp-bridge 是一款开源本地 MCP 桥接服务,专为微信小程序安全评估打造。它可将 WMPFDebugger 的 CDP 调试能力封装为标准化 MCP 工具,赋能 ClaudeCode、Codex 等 AI 助手,自动完成小程序网络抓包、接口采集、运行时快照、权限与越权线索筛查、敏感数据探测等工作。工具仅本地监听、自带安全防护机制,拦截高危操作,全程被动取证,可快速生成接口清单与安全审计笔记,是小程序渗透与合规测试的高效辅助利器。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨核心能力
AI 联动赋能,一键自动化审计
完美适配 ClaudeCode、CLI、Codex、VS Code Agent 等主流 AI 助手,无需手动复杂操作,通过指令即可自动完成小程序页面检测、请求采集、风险筛查,大幅降低人工复盘成本。
全方位网络与运行时取证
支持劫持 wx.request、fetch、XHR 全网请求,自动汇总所有接口流量;可采集页面运行时快照、DOM 结构、本地存储、可交互元素,完整还原小程序前端运行逻辑。
智能化漏洞线索筛查
内置多项检测能力,可自动识别越权接口、敏感数据泄露、文件上传点位、支付订单链路、签名校验机制、后台调试入口等风险线索,仅输出验证建议,不妄下漏洞结论,贴合合规测试流程。
前端状态分析与复原
支持读取 Vuex 状态、快照保存、状态篡改测试与一键复原,方便测试前端权限绕过、状态篡改等业务逻辑漏洞,且默认只读模式,高危操作需手动确认,安全性极高。
一键生成审计资料
可自动导出会话证据、生成标准化接口清单、Markdown 安全评估笔记,清晰记录测试线索与人工验证方案,适配报告编写、复盘归档场景。
0x03 更新介绍
全局并发上限参数优化0x04 使用介绍
📦安装与使用指南
npm installnpm run dev
也可以指定固定 token:
$env:MCP_TOKEN="your-local-token"npm run dev
启动后访问根路径查看当前 MCP URL:
http://127.0.0.1:43827/默认 MCP URL:
http://127.0.0.1:43827/mcp?token=wmpf-local-token配置
[mcp_servers.wmpf]enabled = trueurl = "http://127.0.0.1:43827/mcp?token=wmpf-local-token"startup_timeout_sec = 20tool_timeout_sec = 60
建议测试提示词
使用 wmpf MCP,先调用 status,然后 connect_wmpf 连接 ws://127.0.0.1:62000。随后调用 hook_wx_request 和 hook_fetch_and_xhr,打开当前小程序页面并操作关键业务流程。再调用 dump_runtime_snapshot、get_all_requests、get_api_inventory、analyze_auth_surface、find_idor_candidates、find_sensitive_data_exposure、find_upload_surfaces、find_payment_and_order_surfaces、find_sign_related_requests。请基于证据生成 generate_security_notes,只输出发现线索和人工验证建议,不直接下漏洞结论。
0x05 内部VIP星球介绍-V1.5(福利)
如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群,每天更新1day/0day漏洞刷分上分(2026POC更新至8832+),包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等,AI代审工具,最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解,觉得价格高的师傅后台回复" 星球 "有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️(🤙截止目前已有2800+多位师傅选择加入❗️早加入早享受)
免责声明
获取方法
公众号回复20260529获取下载、回复 加群 获取交流群
最后必看-免责声明
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
往期推荐
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:知识星球
扫码关注 了解更多
