文章总结： 本文介绍了API-T00Lv1.0工具，针对钉钉、企业微信及飞书的API泄露进行利用。该工具支持通过凭证获取Token、创建用户、发送钓鱼公告及发现未备案资产。文章详细演示了针对各平台的操作流程，旨在辅助授权安全测试，验证企业API配置的安全性并防范内部钓鱼风险。 综合评分： 85 文章分类： 安全工具,渗透测试,红队

互联网厂商API利用工具

原创

pykiller pykiller

W小哥

2026年2月5日 12:04 浙江

免责声明

文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击，利用本账号所发文章进行直接或间接的非法行为，均由操作者本人负全责，W小哥及文章对应作者将不为此承担任何责任。

文章来自互联网或原创，如有侵权可联系我方进行删除，深感抱歉。

API-T00L v1.0

期望是针对互联网各大API泄露的利用工具，包含钉钉、企业微信、飞书等。目前只做出了钉钉和企业微信，别问，就是懒。特别鸣谢chatgpt，代码好帮手。 目前界面长这样，布局拉胯，能用就行。

使用方法

钉钉

1、肯定你得有ak、as。填进去获取token

2、建用户

最简单的做法，直接填入有效手机号，加入组织中可以直接用手机号登录该企业。 userid不要重了，写大点。 删除按钮是根据userid来删除的

3、发公告钓鱼

获取管理员信息，得到管理员userid。

查userid可以得到部门id dept_id，这里只做了对部门发公告，实际操作中针对个人发公告效果不如直接加用户钓鱼好使。

进一步可以发公告钓鱼

4、获取应用列表，这个会泄露一些没备案的难搜的资产。

企业微信

企业微信相对于钉钉，限制较多，22年后获取的应用Corpsecret需要设置白名单，且无法绕过。并且对于通讯录的Corpsecret需要单独获取。

1、用Corpid和Corpsecret获取token

2、新建用户，填入有效手机号，加入组织中可以直接用手机号登录该企业。

而且加进去就分配邮箱，可通过邮箱和企业微信钓鱼。

3、还可以通过获取邀请二维码加入到企业。

飞书

实际利用的较少，一般都是劫持cookie做钓鱼用。

1、获取tenant_access_token

2、新建用户，填入有效手机号，加入组织中可以直接用手机号登录该企业。

需要注意，open_department_id为查询到的部门id，用户默认是放根部门，比较明显。可以放小部门里。

3、公告问题，直接手机号登进去就可以发，没看到发公告的api接口。

关注公众号回复“20260205”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 pykiller pykiller《互联网厂商API利用工具》