edusrc-appkey泄露

简介

AppKey泄露是指应用程序的应用密钥（AppKey）或API密钥被非法访问或公开的安全事件。AppKey是应用程序与第三方服务或API进行安全通信的凭证，通常用于身份验证和数据加密。如果这些密钥泄露，攻击者可以利用它们来访问敏感数据、执行未授权的操作或冒充合法的服务请求

漏洞切入点

开局弱口令进入

对url监控模块进行摸排，发现一个/miniprogram/user/oppenId，进行拼接访问

提示500，缺少code参数，我们直接加上/miniprogram/user/oppenId?code=1访问成功，添加一个"和单引号试试看有没有sql注入

报错了，而且wxappkey的appid和secret爆出来了

直接去wxapi去利用，获取token

工具推荐

wx-key泄露利用

https://github.com/qiwentaidi/Slack