前两天,偶然在微信PC端上发现了一个漏洞,感觉有亿点好玩~
适用版本:微信Windows端最新版,3.1.0.67
这篇文章的第一个版本,这里本来是一段如何复现这个bug的教程。但为了考虑到不被微信河蟹惩罚,思考再三,还是决定把这一段去掉。
总之,一顿操作猛如虎之后,在消息输入框中,一段XML格式的数据将会蹦出来,这是微信中描述一条消息的数据格式。
微信的程序员真是大意了!
来看一下这个XML数据:
从这个XML数据中,可以看到消息的发送人、内容、被引用的消息发送人、被引用的消息内容等等信息。
其中<content>字段,表示被引用的消息内容。
上面是引用的对方一条纯文本消息,假如引用的消息是其他类型,就更有意思了~
引用文章
这里引用一篇微信公众号文章的消息:
出现在XML中 <content> 里面的数据:
这里面又是嵌套了一段被转义的XML,我们给它还原一下:
这是这篇文章的一些信息,包括公众号名字、标题、副标题、文章地址URL等等信息。
引用表情包
如果引用的是一个表情包消息:
跳出的XML内容中,<content> 里面的数据:
可以看到有几个URL地址,其中的cdnurl打开一看,就是刚才的表情包GIF图片:
用这一招,可以轻松获取对方的表情包原始GIF文件,比如插入到这篇文章中来:
引用红包
我突发奇想,引用一个红包,弹出的XML会长什么样子,于是我试了一下,结果给我来了一个这个:
额,好吧,红包看不了。
除了纯文本、文章、表情包。微信还可以引用的消息类型还有很多,比如视频、转账、小程序等等消息类型,这些就留给大家自己去探索吧~