互联网厂商API利用工具

alyssa

安全工具

01

工具介绍

针对互联网各大API泄露的利用工具，包含钉钉、企业微信、飞书等。



02

食用方法

钉钉
1、肯定你得有ak、as。填进去获取token

2、建用户
最简单的做法，直接填入有效手机号，加入组织中可以直接用手机号登录该企业。userid不要重了，写大点。删除按钮是根据userid来删除的



3、发公告钓鱼
获取管理员信息，得到管理员userid。



查userid可以得到部门id dept_id，这里只做了对部门发公告，实际操作中针对个人发公告效果不如直接加用户钓鱼好使。



进一步可以发公告钓鱼



4、获取应用列表，这个会泄露一些没备案的难搜的资产。
企业微信
企业微信相对于钉钉，限制较多，22年后获取的应用Corpsecret需要设置白名单，且无法绕过。并且对于通讯录的Corpsecret需要单独获取。

1、用Corpid和Corpsecret获取token
2、新建用户，填入有效手机号，加入组织中可以直接用手机号登录该企业。


而且加进去就分配邮箱，可通过邮箱和企业微信钓鱼。



3、还可以通过获取邀请二维码加入到企业。



飞书
实际利用的较少，一般都是劫持cookie做钓鱼用。

1、获取tenant_access_token
2、新建用户，填入有效手机号，加入组织中可以直接用手机号登录该企业。
需要注意，open_department_id为查询到的部门id，用户默认是放根部门，比较明显。可以放小部门里。




3、公告问题，直接手机号登进去就可以发，没看到发公告的api接口。


03

工具下载
进入公众号夜组安全，回复关键字【231121】获取下载链接