工具简介
针对互联网各大API泄露的利用工具,包含钉钉、企业微信、飞书等,目前界面长这样,布局拉胯,能用就行。
特别鸣谢chatgpt,代码好帮手。
钉钉利用
1、肯定你得有ak、as,填进去获取token
2、建用户
最简单的做法,直接填入有效手机号,加入组织中可以直接用手机号登录该企业。userid不要重了,写大点。删除按钮是根据userid来删除的
3、发公告钓鱼
获取管理员信息,得到管理员userid。
4、获取应用列表,这个会泄露一些没备案的难搜的资产。
企业微信利用
2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。
而且加进去就分配邮箱,可通过邮箱和企业微信钓鱼。
3、还可以通过获取邀请二维码加入到企业。
飞书利用
实际利用的较少,一般都是劫持cookie做钓鱼用。
1、获取tenant_access_token
2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。
3、公告问题,直接手机号登进去就可以发,没看到发公告的api接口。
下载地址
原文始发于微信公众号(Hack分享吧):钉ding/企业V信API-T00L利用工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论