1、复现

条件：

1、Windows PC 端微信

2、自建一个群聊拥有群管权限可以@所有人

废话不多说，直接上图

@所有人

剪切后，到另一个群中，引用任意一个群里成员的消息，并将刚才剪切的粘贴至此，发送

便可完成非群管，@所有人，复现微信 @导致的逻辑漏洞，也可以称为越权漏洞

2、原理分析

当正常@他人的时候，前端会给后端发送一段参数，里面会包含 wxid，可以指明@的某个特定用户，当@all 所有人时，参数会发生改变：@username:notify@all#-divider，换句话说就是将某人的 wxid 替换为 notify@all就可以实现随便@all 了也算是变相的越权了

3、总结

可以自己创建一两个群进行复现，别往其他群里面轰炸了，潜心学习才是关键！