工具简介
API-Explorer是一款管理api接口的工具,可提前配置好接口,直接调用即可;可定义数据包任何位置内容,使用起来相当灵活。
工具初衷是做一个小程序、公众号、企业微信、飞书、钉钉等泄露secert后利用工具,后来发现几家接口有一定区别,认证等参数分布在不同位置,索性就做成一个比较通用的工具了。目前可以定义:请求类型、url、header、body、正则提取认证token、接口参数说明。
场景1-(公众号appid,secert泄露利用):1、获取accesstoken
有些时候拿到的appid跟secert公众号用不了,其实是它没有公众号,只有小程序,可以先用公众号接口获取token然后使用小程序接口获取其对应信息。绿盟扫描器
绿盟UTS
获取token,注意这里密码加密后的,为了通用工具不做任何加密,所以加好密传入才行。
获取加密办法:f12后登录页面输入账号密码,找到authen_user接口,获取password内容即可。这个密码可复用,只要不改密码就可以一直用。场景3-(签到类):
没有实践,目前支持账号密码登录获取cookie,可以再加个签到接口即可。https://github.com/mrknow001/API-Explorer黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650583064&idx=4&sn=e5bad126caed191cf25dc9ce50e31d43&chksm=83bdd5fcb4ca5cea0197bf15cd9d9e532e95379ee999708a23becd0c1431fb37f58e263f0a5f&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh