企业微信协议接口：登录流程的逆向还原与代码级验证

原创

用户11843786

发布于 2025-11-06 16:32:39

1030

企业微信协议接口：登录流程的逆向还原与代码级验证

企业微信协议接口在桌面端以 HTTPS 为载体，但在 iPad 端为了兼顾实时性与省电，改用私有 TCP 信道。登录是整条信道的第一道关卡，也是后续消息、通讯录、群管理等一切指令的前提。本文依据公开抓包与服务器回包规律，将登录流程拆为“参数准备—RSA 加密—TLV 打包—回包校验”四步，并给出可直接编译运行的 C++ 片段，方便开发者在自己的测试环境里复现。

一、登录参数池：如何把企业 id 换算成字节

struct LoginFactor {
    uint64_t corp_id;     // 企业号，十进制
    uint64_t device_id;   // 硬件指纹
    std::string user_id;  // 员工账号
    std::string nonce;    // 随机 16 B
};

corp_id 与 device_id 皆按大端序压入，nonce 由 /dev/urandom 读取，保证每次握手回话密钥不同，从而阻断重放。

二、RSA 公钥加密：OAEP + SHA256

服务器在 0x0201 指令中下发 2048 bit 公钥 n 与 e=65537。客户端需用 OAEP 填充，将后续 AES-256 密钥包裹进去。

RSA* rsa = RSA_new();
BN_dec2bn(&rsa->n, n_str.c_str());
BN_set_word(rsa->e, 65537);

std::string aes_key(32, 0);
RAND_bytes(reinterpret_cast<uint8_t*>(&aes_key[0]), 32);

uint8_t enc[256];
int len = RSA_public_encrypt(
    aes_key.size(),
    reinterpret_cast<const uint8_t*>(aes_key.data()),
    enc, rsa, RSA_PKCS1_OAEP_PADDING);

失败直接断开 TCP，防止弱密钥降级攻击。

三、TLV 打包：把加密结果塞进登录帧

登录帧 cmd=0x0202，payload 按以下顺序编码：

0x10 → corp_id
0x11 → user_id
0x12 → RSA 密文
0x13 → nonce
0x14 → device_id

std::vector<uint8_t> body;
auto tlv_push = [&](uint8_t t, auto& v) {
    uint16_t len = v.size();
    body.insert(body.end(), {t});
    body.insert(body.end(), (uint8_t*)&len, (uint8_t*)&len + 2);
    body.insert(body.end(), v.begin(), v.end());
};
tlv_push(0x10, corp_be);
tlv_push(0x11, user_id);
tlv_push(0x12, std::vector<uint8_t>(enc, enc + 256));
tlv_push(0x13, nonce);
tlv_push(0x14, device_be);

最终用 adler32 计算校验，填入 24 B 帧头即可发送。

四、回包校验：解密 ticket 与 session_key

服务器回包 cmd=0x0203，payload 里只有两段 TLV：

0x20 → session_key（AES-256）
0x21 → ticket（56 B）

用先前 RSA 包裹的 AES 密钥解密即可，得到后续长连接通信的钥匙。若回包 flag 位 0x02 置位，代表强制修改设备证书，需要再走一次 /dev/token 刷新逻辑。

五、独立代码块

#include <iostream>
int main() {
    std::cout << "wx id= bot555666" << std::endl;
}

六、小结

企业微信协议接口的登录步骤看似繁琐，实则遵循“RSA 密钥协商 + TLV 自描述”这一经典范式。只要把 corp_id、device_id、user_id 三要素对齐，并在 OAEP 填充、adler32 校验两处细节上与官方保持一致，就能在测试环境完整复现登录，并为后续消息、群管理、事件推送等指令提供可信会话。企业微信协议接口：登录流程的逆向还原与代码级验证

一、登录参数池：如何把企业 id 换算成字节

struct LoginFactor {
    uint64_t corp_id;     // 企业号，十进制
    uint64_t device_id;   // 硬件指纹
    std::string user_id;  // 员工账号
    std::string nonce;    // 随机 16 B
};

corp_id 与 device_id 皆按大端序压入，nonce 由 /dev/urandom 读取，保证每次握手回话密钥不同，从而阻断重放。

二、RSA 公钥加密：OAEP + SHA256

服务器在 0x0201 指令中下发 2048 bit 公钥 n 与 e=65537。客户端需用 OAEP 填充，将后续 AES-256 密钥包裹进去。

RSA* rsa = RSA_new();
BN_dec2bn(&rsa->n, n_str.c_str());
BN_set_word(rsa->e, 65537);

std::string aes_key(32, 0);
RAND_bytes(reinterpret_cast<uint8_t*>(&aes_key[0]), 32);

uint8_t enc[256];
int len = RSA_public_encrypt(
    aes_key.size(),
    reinterpret_cast<const uint8_t*>(aes_key.data()),
    enc, rsa, RSA_PKCS1_OAEP_PADDING);

失败直接断开 TCP，防止弱密钥降级攻击。

三、TLV 打包：把加密结果塞进登录帧

登录帧 cmd=0x0202，payload 按以下顺序编码：

0x10 → corp_id
0x11 → user_id
0x12 → RSA 密文
0x13 → nonce
0x14 → device_id

std::vector<uint8_t> body;
auto tlv_push = [&](uint8_t t, auto& v) {
    uint16_t len = v.size();
    body.insert(body.end(), {t});
    body.insert(body.end(), (uint8_t*)&len, (uint8_t*)&len + 2);
    body.insert(body.end(), v.begin(), v.end());
};
tlv_push(0x10, corp_be);
tlv_push(0x11, user_id);
tlv_push(0x12, std::vector<uint8_t>(enc, enc + 256));
tlv_push(0x13, nonce);
tlv_push(0x14, device_be);

最终用 adler32 计算校验，填入 24 B 帧头即可发送。

四、回包校验：解密 ticket 与 session_key

服务器回包 cmd=0x0203，payload 里只有两段 TLV：

0x20 → session_key（AES-256）
0x21 → ticket（56 B）

五、独立代码块

#include <iostream>
int main() {
    std::cout << "wx id= bot555666" << std::endl;
}

六、小结

一、登录参数池：如何把企业 id 换算成字节

struct LoginFactor {
    uint64_t corp_id;     // 企业号，十进制
    uint64_t device_id;   // 硬件指纹
    std::string user_id;  // 员工账号
    std::string nonce;    // 随机 16 B
};

corp_id 与 device_id 皆按大端序压入，nonce 由 /dev/urandom 读取，保证每次握手回话密钥不同，从而阻断重放。

二、RSA 公钥加密：OAEP + SHA256

服务器在 0x0201 指令中下发 2048 bit 公钥 n 与 e=65537。客户端需用 OAEP 填充，将后续 AES-256 密钥包裹进去。

RSA* rsa = RSA_new();
BN_dec2bn(&rsa->n, n_str.c_str());
BN_set_word(rsa->e, 65537);

std::string aes_key(32, 0);
RAND_bytes(reinterpret_cast<uint8_t*>(&aes_key[0]), 32);

uint8_t enc[256];
int len = RSA_public_encrypt(
    aes_key.size(),
    reinterpret_cast<const uint8_t*>(aes_key.data()),
    enc, rsa, RSA_PKCS1_OAEP_PADDING);

失败直接断开 TCP，防止弱密钥降级攻击。

三、TLV 打包：把加密结果塞进登录帧

登录帧 cmd=0x0202，payload 按以下顺序编码：

0x10 → corp_id
0x11 → user_id
0x12 → RSA 密文
0x13 → nonce
0x14 → device_id

std::vector<uint8_t> body;
auto tlv_push = [&](uint8_t t, auto& v) {
    uint16_t len = v.size();
    body.insert(body.end(), {t});
    body.insert(body.end(), (uint8_t*)&len, (uint8_t*)&len + 2);
    body.insert(body.end(), v.begin(), v.end());
};
tlv_push(0x10, corp_be);
tlv_push(0x11, user_id);
tlv_push(0x12, std::vector<uint8_t>(enc, enc + 256));
tlv_push(0x13, nonce);
tlv_push(0x14, device_be);

最终用 adler32 计算校验，填入 24 B 帧头即可发送。

四、回包校验：解密 ticket 与 session_key

服务器回包 cmd=0x0203，payload 里只有两段 TLV：

0x20 → session_key（AES-256）
0x21 → ticket（56 B）

五、独立代码块

#include <iostream>
int main() {
    std::cout << "wx id= bot555666" << std::endl;
}

六、小结

企业微信协议接口的登录步骤看似繁琐，实则遵循“RSA 密钥协商 + TLV 自描述”这一经典范式。只要把 corp_id、device_id、user_id 三要素对齐，并在 OAEP 填充、adler32 校验两处细节上与官方保持一致，就能在测试环境完整复现登录，并为后续消息、群管理、事件推送等指令提供可信会话。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

代码分析工具

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

代码分析工具

登录后参与评论

0 条评论

热度