工具在最下面～

今日关于企业微信的漏洞爆出来,通过url获取到key,进而利用api可以调用然后进行一些其余操作。整体的过程可以看看我之前写的

《企业微信Token-Secret利用思路》

https://mp.weixin.qq.com/s/MyIUhkxmyw-msCPnhUi92A

不过这是很久之前的了,最新的有点变化,大家可以去看一下官方api

https://developer.work.weixin.qq.com/document/path/90664

今日事件,通过未授权接口,获取secret等。

还有群里一些修复方案.

过程。主要是strcorpid和Secret,通过api获取重点access_token,下面所有的获取都需要access_token去实现。

使用token访问诸如企业通讯录信息，修改用户密码，发送消息，云盘等接口

进而获取一些个人信息

一些深入用法,通过阅读api,瞬间让我想到了结合wps的钓鱼。

例如:通过发送消息,如下图word文件。

又或者

关于工具的,这里的企业微信分为两种:

1.私有部署(这次漏洞的范围)。

2.saas部署,(这次不包括)

之前的Tencent CK Tool 1.0,主要是针对saas部署的。

针对这次的检测,还是重新写的.

交流了一下,本想写exp的,但是直接获取个人信息？？？

必须也得有,看看大佬们脚本～～