今天无意中发现微信PC端存在逻辑错误,利益该逻辑错误漏洞可以在没有管理权限的微信群中@全体成员。建议自己创建两个微信群进行测试,以免被人骂。注意需要把PC端微信更新到新版才可以,且只在windows端的微信才存在该问题。自己建了两个微信群成功复现了该逻辑漏洞,操作如下:
-
首先登录windows系统的PC端微信,在自己有管理权限的微信群中进行@全体成员的操作,但是注意不要把消息发送出去了。
![微信PC端@全体成员逻辑漏洞]( "微信PC端@全体成员逻辑漏洞")
-
全选@所有人,然后将其剪切到其它自己没有管理权限的微信群中。
![微信PC端@全体成员逻辑漏洞]( "微信PC端@全体成员逻辑漏洞")
-
在群消息中选择引用一条消息,随便引用一条就行。
![微信PC端@全体成员逻辑漏洞]( "微信PC端@全体成员逻辑漏洞")
-
粘贴刚刚复制的@全体成员,这个时候鼠标选中粘贴的消息,会发现@所有人的权限还在。点击发送消息,然后就发现成功@了没有管理权限的微信群中的全体成员
原文始发于微信公众号(菜鸟的渗透测试之路):微信PC端@全体成员逻辑漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论