API-Explorer——针对国内应用泄露secert后的通用利用工具
工具初衷是做一个小程序、公众号、企业微信、飞书、钉钉等泄露secert后利用工具,后来发现几家接口有一定区别,认证等参数分布在不同位置,索性就做成一个比较通用的工具了。目前可以定义:请求类型、url、header、body、正则提取认证token、接口参数说明。
API-Explorer是一款管理api接口的工具,可提前配置好接口,直接调用即可;可定义数据包任何位置内容,使用起来相当灵活。
应用 | 功能 | 数据库接口 |
---|---|---|
微信公众号 | 支持 | 完成部分常用功能 |
微信小程序 | 支持 | 完成部分常用功能 |
企业微信 | 支持 | 完成部分常用功能 |
钉钉 | 支持 | 完成部分常用功能 |
飞书 | 支持 | 只写了两个接口 |
腾讯地图 | 支持 | 完成部分常用功能 |
高德地图 | 支持 | 完成部分常用功能 |
百度地图 | 支持 | 完成部分常用功能 |
完成部分都是挖洞遇到过的key,边写边测试,如果遇到一些特殊情况无法使用可提交Issues或者联系“刨洞安全团队”公众号后台留言。
https://github.com/mrknow001/API-Explorer
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
评论已关闭