利用介绍
一般利用流程:
核心是利用access_token进行一些api的调用
而access_token的获取需要知道corpid和corpsecret的值。
参考文章:
https://developer.work.weixin.qq.com/document/path/90664(企业微信开发者中心)
https://developer.work.weixin.qq.com/resource/devtool(企业微信API调用)
参数
access_token:是企业后台去企业微信的后台获取信息时的重要票据,由corpid和secret产生。所有接口在通信时都需要携带此信息用于验证接口的访问权限。
corpsecret:是企业应用里面用于保障数据安全的“钥匙”,每一个应用都有一个独立的访问密钥,为了保证数据的安全,secret务必不能泄漏.
corpid:每个企业都拥有唯一的corpid.
userid:每个成员都有唯一的userid.
部门id:每个部门都有唯一的id.
tagid:每个标签都有唯一的标签id
external_userid:企业外部联系人的id,可能是微信用户,也可能是企业微信用户.
agentid:每个应用都有唯一的agentid.
案例
在某次测试中,发现下面文件,这里进行了去敏处理。发现文件中存在Token和corpid和secret。然后搜索引擎搜索发现为企业微信的密钥。
阿里云的密钥表哥们玩的应该很多,拿到了密钥基本上等于拿到了阿里云账号的控制权限,直接可以执行命令的。
关于企业微信的密钥,平时后台也遇到的很多,但是都没有进一步进行操作,这里翻了一下企微的开发API,发现根据密钥一般可以用来获取一些用户信息或者进行一些钓鱼操作等。具体可以参加企业微信的开发手册。
ps:
有的微信后台管理。corpsecret不叫corpsecret,可能叫xxx密钥之类。一样用法。
过程
利用过程获取access_token
根据从文件中找到的corpid和corpsecret进行请求获取access_token
https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=id&corpsecret=secrect
根据access_token获取一些用户信息
https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=xxxxx
其余的一些用法:
添加企业微信成员
成功后即可通过手机号登录目标企业的企业微信。把自己设置成高层,进行钓鱼社工等又是一种深度用法。
钓鱼成功后,别忘了删除
开发工具
在漏洞挖掘中,特别是src等,主要是一些用户信息更加敏感,写了小工具,直接获取部门用户信息。
本公众号文章以技术分享学习为目的。
由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。
一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(极梦C):企业微信Token-Secret利用思路