记一次从企业微信到内网遨游

gclome

原文链接：记一次从企业微信到内网遨游

✔ 0x01 OA弱口令入口

---

​
进入后台发现他们的上传功能全部关掉了，但是有企业微信推送模块
​
在该模块中获得两个重要的参数CorpID、secret，CorpID是企业号，企业微信的唯一ID，secret是管理组凭证，拥有这两个参数就代表了你拥有了企业微信的管理权限。

---

✔ 0x02 构造请求进入企业微信

---

2.1 通过CorpID与secret获取access_tokenhttps://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=id&corpsecret=secrect
调用该接口，获取access_token
​
2.2 通过acess_token获取部门IDhttps://open.work.weixin.qq.com/devtool/query?e=301002
将access_token进行输入，获取部门信息
​
2.3 构造请求，将自己的微信号加入企业微信将自己的微信信息POST进创建成员的URL

1. https://qyapi.weixin.qq.com/cgi-bin/user/create?access_token=ACCESS_TOKEN
   

复制代码

1. {
   
2.   "userid": "masterperng",
   
3.   "name": "法师",
   
4.   "department": [partyid],
   
5.   "mobile":"1388888888"
   
6. }

复制代码

​

创建成功，成功渗透进入企业微信
​

---

✔ 0x03 钓鱼咯

---

​
由于是在企业微信内部开展的钓鱼，成功率很高
​
最后开始尽情的内网遨游

---

✔ 0x04 总结一下

---

4.1 攻击者角度在我作为一名攻击者的角度来看，当获得了后台无法成功的getshell，可以去观察下是否有这种推送功能，比如企业微信、钉钉推送等等或者邮箱订阅，这些都可能有条件进行伪造进行鱼叉攻击，总之不要一棵树吊死，死找上传点去Getshell。
4.2 防守者角度对于防守者，我想说的是
不要弱口令
不要弱口令
不要弱口令
弱口令很有可能会产生一连串的连锁反应，所以不要抱有侥幸心理，如果说自己用的CMS存在0day被打了，可以说这是遇到了天灾，但是如果说由于自己用的CMS采用了弱口令被打了，这只能说是人祸了。