0X01.前言

    本次测试目标为国内某公益项目的一个专属,漏洞已经修复,运气不算好,获得的token权限不够高,要不肯定是高危跑不脱,这次是通过一个自动化监测收集的域名获取的域名(ps名字越长越怪的域名多看两眼)中找的JS文件看到的泄露企业微信token,然后利用企业微信的开发者接口文档利用获取敏感数据。

0X02.挖掘利用过程

1.  在收集到一堆新增加的域名里,我依次点开了一些,发现一个域名虽然打开是空白的,但会加载一些JS文件,这让我来了兴趣,直接ctrl+shift+p全局搜索敏感字段,这不,就来了个获取企业微信的接口https://xxx-xxxx-inc.com/cgi-bin/gettoken?corpid=wxb3xxxxxxxxx&corpsecret=xxxxxxxxxxxxxxx8xfOJxxx

2.  访问URL：https://xxx-xxxx-inc.com/cgi-bin/gettoken?corpid=wxb3xxxxxxxxx&corpsecret=xxxxxxxxxxxxxxx8xfOJxxx

3.  这里调用企业微信查询为有效token具有哪些权限,https://open.work.weixin.qq.com/devtool/query?e=48002

4. 可以通过企业微信开发者工具接口文档https://developer.work.weixin.qq.com/document/path/91022进行操作一些敏感操作。

5. 如获取部门成员信息

https://xxxx-inc.com/cgi-bin/user/list?access_token=xxxxxxxxxxxxxxxx&department_id=上面查询获取到的ID

6.其他操作我尝试了,如增加成员或者删除成员或者创建一个企业微信的邀请链接,但是权限不够,可惜了,要是够就是高位了,最后浅浅给个中。

0X03.总结

   因为之前没写过这种漏洞,虽然比较常见,但是我最想分享的还是我们一些奇怪的域名,不要看他打开是空白的还是没啥数据就不管了,多看看JS里的东西,有意外惊喜。

关 注 有 礼

原文始发于微信公众号（渗透测试研究中心）：记一次自动化域名收集获得JS中钉钉token利用