点击上方 蓝字关注我们
点击上方 蓝字关注我们
免责声明:
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
0x01 前言
起因是在微信群看到有师傅问个代理无法抓包的问题。
末尾可领取挖洞资料文件
0x02 漏洞发现
用师傅给的链接代理抓包试了下,发现是:connection reset
遇到connection reset可以考虑被防火墙拦截或其他什么拦截了,我这里情况是因为本地内网代理问题,不知道那个师傅是不是这个情况。
解决问题,用google正常(不走代理)访问,F2 Network查看Remote Address确认是不是存在上层代理地址,我这里不是本地地址127.0.0.1,而是内网代理地址,记录该ip地址及端口
将记录的ip在user options添加一条记录,如果你这个上层代理有登录认证的话需要填username等,没有的话直接添加ip及端口。
添加完后就可以挂bp代理抓包了,解决connection reset。
对师傅搞的yellow诈骗站也挖了下,发现一些东西,实在涩涩死我了
在前端代码的发现文件服务路径/plate/
访问路径发现有些东西,其中有log文件夹,以为能翻到后台登录日志啥的,结果啥也没有。
发现前台聊天视频记录,还有一些“受害者”的转账记录,还有很多sex视频
后面没有在一一测试,到此结束。
0x03 最后
碰到抓不到包的时候,可能也是因为类似情况,也有可能对Burpsuite特征进行了检测,需要删除Burpsuite特征或换其他抓包工具绕过!喜欢的师傅可以点赞转发支持一下谢谢!
原文始发于微信公众号(WIN哥学安全):记一次某yp网站浅挖|挖洞日常
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论