工具分享|互联网厂商API利用工具

admin 2023年12月8日11:38:40评论19 views字数 829阅读2分45秒阅读模式

免责声明

由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!
工具介绍

针对互联网各大API泄露的利用工具,包含钉钉、企业微信、飞书等。

工具分享|互联网厂商API利用工具

食用方法

钉钉

1、肯定你得有ak、as。填进去获取token

工具分享|互联网厂商API利用工具

2.建用户

最简单的做法,直接填入有效手机号,加入组织中可以直接用手机号登录该企业。userid不要重了,写大点。删除按钮是根据userid来删除的

工具分享|互联网厂商API利用工具

3.发公告钓鱼

获取管理员信息,得到管理员userid。

工具分享|互联网厂商API利用工具

查userid可以得到部门id dept_id,这里只做了对部门发公告,实际操作中针对个人发公告效果不如直接加用户钓鱼好使。

工具分享|互联网厂商API利用工具

进一步可以发公告钓鱼

工具分享|互联网厂商API利用工具

企业微信

企业微信相对于钉钉,限制较多,22年后获取的应用Corpsecret需要设置白名单,且无法绕过。并且对于通讯录的Corpsecret需要单独获取。

1.用corpid和Corpsecret获取token

2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。

工具分享|互联网厂商API利用工具

而且加进去就分配邮箱,可通过邮箱和企业微信钓鱼。

 

工具分享|互联网厂商API利用工具

3、还可以通过获取邀请二维码加入到企业。

工具分享|互联网厂商API利用工具

工具分享|互联网厂商API利用工具

飞书

实际利用的较少,一般都是劫持cookie做钓鱼用。

1、获取tenant_access_token
2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。

需要注意,open_department_id为查询到的部门id,用户默认是放根部门,比较明显。可以放小部门里。

工具分享|互联网厂商API利用工具

工具分享|互联网厂商API利用工具

下载获取

https://github.com/pykiller/API-T00L/releases/tag/v1.2

工具已打包至百度网盘:

链接:https://pan.baidu.com/s/1i10zAMwjDT5mlqJdoLHrow
提取码:0000

 

原文始发于微信公众号(琴音安全):工具分享|互联网厂商API利用工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月8日11:38:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工具分享|互联网厂商API利用工具http://cn-sec.com/archives/2279470.html

发表评论

匿名网友 填写信息