记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

广东号码百事通"总机服务"微信公众号AppID和AppSecret泄露(可成功调用该帐号API操作)

2015-02-23 20:20

既然是微信公众号,先得关注它:“广东电信号百总机服务”(已通过微信官方认证)

公众号.png







出问题的地方(本想看看能不能刷礼品的...):

2.png



问题路径.png









该公众号调用自家服务端程序时,通过抓包发现其暴露了微信公众号AppID和AppSecret



复制那个网址出来

https://open.weixin.qq.com/connect/oauth2/authorize?appid=wxf85ffaf05e3612b6&redirect_uri=http://183.63.133.147/yixin/guagua1/auth4share.jsp?cmd=guagua1Main&response_type=code&scope=snsapi_base&state=STATE#wechat_redirect



抓包:

183.63.133.147/yixin/guagua1/auth4share.jsp?cmd=guagua1Main&response_type=code&scope=snsapi_base&state=STATE#wechat_redirect





fiddler get key1.png







var appId='wxf85ffaf05e3612b6';// 第三方用户唯一凭证 微信

var secret = 'a4af06385e73a54fd01ddc706035f547';// 第三方用户唯一凭证密钥





嗯,拿到key就可以通过腾讯微信官方提供的测试平台玩了:

微信公众平台接口调试工具:http://mp.weixin.qq.com/debug/

微信公众平台接口文档说明:http://mp.weixin.qq.com/wiki/14/89b871b5466b19b3efa4ada8e577d45e.html



成功获取其公众号access_token:

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=wxf85ffaf05e3612b6&secret=a4af06385e73a54fd01ddc706035f547





token2.png





获取公众号粉丝的openid:

微信公众平台接口调试工具-获取openid.png





获取公众号粉丝的昵称什么的(测了好几个都没发现MM....真纳闷....)

获取微信个人信息.png







然后就是跟她聊天了(微信定的游戏规则,互动前,需MM粉丝先主动联系公众号,然后公众号才能发东西给她..可恶...):

微信公众平台接口调试工具-向用户发送消息.png







发消息.png





当然你还可以做腾讯微信提供的下面互动,诱导访问其它网站,额....我不懂...:

1 回复文本消息

2 回复图片消息

3 回复语音消息

4 回复视频消息

5 回复音乐消息

6 回复图文消息



我没一个一个测试了,腾讯提供的,你都可以深入利于就是了哈哈



比如上传文件什么的,顺便发个图,方便下大家加乌云微信公众号哈哈:

上传图片.png

漏洞证明:

fiddler get key1.png





发消息.png

修复方案:

你懂的

知识来源: www.wooyun.org/bugs/wooyun-2015-090841

阅读:200602 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“广东号码百事通"总机服务"微信公众号AppID和AppSecret泄露(可成功调用该帐号API操作)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云