工具在最下面~
不是星标不推送文章了。
师傅也不想吧~
快把极梦C设置成星标吧。
今日关于企业微信的漏洞爆出来,通过url获取到key,进而利用api可以调用然后进行一些其余操作。整体的过程可以看看我之前写的
https://mp.weixin.qq.com/s/MyIUhkxmyw-msCPnhUi92A
不过这是很久之前的了,最新的有点变化,大家可以去看一下官方api
https://developer.work.weixin.qq.com/document/path/90664
今日事件,通过未授权接口,获取secret等。
还有群里一些修复方案.
过程。主要是strcorpid和Secret,通过api获取重点access_token,下面所有的获取都需要access_token去实现。
使用token访问诸如企业通讯录信息,修改用户密码,发送消息,云盘等接口
进而获取一些个人信息
一些深入用法,通过阅读api,瞬间让我想到了结合wps的钓鱼。
例如:通过发送消息,如下图word文件。
又或者
当然都是一些假象~~
我瞎说的。
关于工具的,这里的企业微信分为两种:
1.私有部署(这次漏洞的范围)。
2.saas部署,(这次不包括)
之前的Tencent CK Tool 1.0,主要是针对saas部署的。
针对这次的检测,还是重新写的.
交流了一下,本想写exp的,但是直接获取个人信息???
必须也得有,看看大佬们脚本~~
联系客服