API-T00L 互联网厂商API利用工具
2023-12-9 16:44:0 Author: blog.upx8.com(查看原文) 阅读量:20 收藏

API-T00L简介

互联网厂商API利用工具。

支持钉钉、企业微信、飞书。

API-T00I利用工具V1.2@PYkiller,钉钉,企业微信,飞书,代理设置,App_ld,T_Access Token,App_Secret,获取Token,获取企业信息,新建账号,删除账号,获取根部门列表,获取账号信息,UserlD,手机号,获取部门用户列表,open_department_id,用户名,管理员,职位,系统管理员,部门id

截图

API-T00L 互联网厂商API利用工具

食用方法

钉钉

1、肯定你得有ak、as。填进去获取token

API-T00L 互联网厂商API利用工具

2、建用户

最简单的做法,直接填入有效手机号,加入组织中可以直接用手机号登录该企业。 userid不要重了,写大点。 删除按钮是根据userid来删除的

API-T00L 互联网厂商API利用工具

3、发公告钓鱼

获取管理员信息,得到管理员userid。

API-T00L 互联网厂商API利用工具

查userid可以得到部门id dept_id,这里只做了对部门发公告,实际操作中针对个人发公告效果不如直接加用户钓鱼好使。

API-T00L 互联网厂商API利用工具

进一步可以发公告钓鱼

API-T00L 互联网厂商API利用工具

4、获取应用列表,这个会泄露一些没备案的难搜的资产。

企业微信

企业微信相对于钉钉,限制较多,22年后获取的应用Corpsecret需要设置白名单,且无法绕过。并且对于通讯录的Corpsecret需要单独获取。

1、用Corpid和Corpsecret获取token

2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。

API-T00L 互联网厂商API利用工具

而且加进去就分配邮箱,可通过邮箱和企业微信钓鱼。

API-T00L 互联网厂商API利用工具

3、还可以通过获取邀请二维码加入到企业。

API-T00L 互联网厂商API利用工具

API-T00L 互联网厂商API利用工具

飞书

实际利用的较少,一般都是劫持cookie做钓鱼用。

1、获取tenant_access_token

2、新建用户,填入有效手机号,加入组织中可以直接用手机号登录该企业。

需要注意,open_department_id为查询到的部门id,用户默认是放根部门,比较明显。可以放小部门里。

API-T00L 互联网厂商API利用工具

API-T00L 互联网厂商API利用工具

3、公告问题,直接手机号登进去就可以发,没看到发公告的api接口。

下载地址

API-T00L_v1.2.jar


文章来源: https://blog.upx8.com/3945
如有侵权请联系:admin#unsafe.sh