企业微信Secret Token利用思路

gclome

原为链接：企业微信Secret Token利用思路


在一次渗透过程中，获得了一台服务器的主机权限，但是提权未果。不得已只能翻一下主机上面的文件，看一下有没有什么可以利用的地方。在其中一个网站源码里面，翻到了这么一段代码

1. <add name="CorpId" connectionString="wxxxxxxxxxxxx" />
   
2.     <add name="CorpSecret" connectionString="xxxxxxxxxxx" />
   
3.         <add name="CorpToken" connectionString="xxxxxxxxxx" />

复制代码

百度了一下，发现是企业微信的开发密钥

​
阿里云的密钥大家都知道，拿到了密钥基本上等于拿到了阿里云账号的控制权限，直接可以执行命令的。
企业微信的密钥，还是接触比较少，翻了一下企微的开发API，发现可以通过这个ak添加企微用户。

第一步：获取AccessTokenAPI地址：https://qyapi.weixin.qq.com/cgi- ... ;corpsecret=secrect
传入获取到的id和secrect即可获取AccessToken
​
第二步：获取部门ID企微中会分为一个个的部分，通过企微的API我们可以获取到企业的架构和部门ID，这个在添加成员的时候用的到。
在https://open.work.weixin.qq.com/devtool/query?e=301002中查询上一部获取到的ak权限就能，查询到部门名称，以及部门ID
​

第三步：添加企微成员​
往https://qyapi.weixin.qq.com/cgi- ... _token=ACCESS_TOKEN

1. {
   
2.    "userid": "zhangsan",
   
3.    "name": "张三",
   
4.    "department": [6],
   
5.    "mobile":"1388888888"
   
6. }

复制代码

调用成功后，即可通过手机号登录目标企业的企业微信。可选择企业微信通讯录中选择高管、信息部门等姓名进行伪装。然后再采取社工钓鱼的方式，信任度和成功率都会高很多。


第四部：善后当使用手机号登录成功以后，可通过修改成员API来修改姓名进行伪装，并且可以将手机号修改为空来防溯源。
​
最后，删除成员以绝后患
​

企业微信API文档地址
https://qydev.weixin.qq.com/wiki ... 0.E6.88.90.E5.91.98