建议大家把公众号“鹏组安全”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
对某孕小程序渗透测试的时候遇到http数据包加密的情况
于是在前端js代码查找加解密的代码,可以搜索关键字encrypt,decrypt
在加解密的代码处打断点
在浏览器控制台调用加解密函数
加密内容
解密
登录系统是普通用户的界面
对登录的响应包修改参数,再加密
放包成功垂直越权
查看孕妇信息
通过解密得到的信息
★
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
文章来源:https://forum.90sec.com/t/topic/2300
原文始发于微信公众号(鹏组安全):渗透测试之http数据包加解密
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论