当前位置 当前位置:首页 > 自学教程 > 攻防技术

越权 微信@all原理分析

2023-11-17小罗网络收集397

前台网上流传的微信无需群主,就能艾特所有人漏洞。

被疯狂@了

越权_微信@all原理分析 图1

利用条件非常简单:在群内,打出@所有人,然后不要发出来!直接复制到其他群里引用内容发出来!
要在电脑pc,手机不行的。建一个有艾特所有人的群,不要发,复制到别的群引用出来。

底层的原理:

直接上原理,我们正常@一名用户时,前端会给后端发送一段参数:

其中会有wxid,指明了要艾特的某个用户

越权_微信@all原理分析 图2

而@all时发送的参数就变成了:

@username:notify@all@#-divider)

越权_微信@all原理分析 图3


简单的来说我们把艾特某人的wxid替换为notify@all就能实现随便@all了

漏洞微信官方已修复。


本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途。本站所有信息均来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权不妥之处请致信 E-mail:[email protected] 我们会积极处理。敬请谅解!


标签:分析  原理  越权  
   相关评论
本站资源来自互联网收集 仅供用于学习和交流 我们尊重任何软件和教程作者的版权 请遵循相关法律法规 本站一切资源不代表本站立场
投诉侵权邮箱:[email protected] © 小罗资源网