记一次某yp网站浅挖

admin 2024年9月9日13:18:53评论20 views字数 608阅读2分1秒阅读模式

1
前言

起因是在微信群看到有师傅问个代理无法抓包的问题。

记一次某yp网站浅挖

记一次某yp网站浅挖

2
漏洞发现

用师傅给的链接代理抓包试了下,发现是:connection reset

记一次某yp网站浅挖

遇到connection reset可以考虑被防火墙拦截或其他什么拦截了,我这里情况是因为本地内网代理问题,不知道那个师傅是不是这个情况。

解决问题,用google正常(不走代理)访问,F2 Network查看Remote Address确认是不是存在上层代理地址,我这里不是本地地址127.0.0.1,而是内网代理地址,记录该ip地址及端口

记一次某yp网站浅挖

将记录的ip在user options添加一条记录,如果你这个上层代理有登录认证的话需要填username等,没有的话直接添加ip及端口。

记一次某yp网站浅挖

添加完后就可以挂bp代理抓包了,解决connection reset。

记一次某yp网站浅挖

对师傅搞的yellow诈骗站也挖了下,发现一些东西,实在涩涩死我了

在前端代码的发现文件服务路径/plate/

记一次某yp网站浅挖

访问路径发现有些东西,其中有log文件夹,以为能翻到后台登录日志啥的,结果啥也没有。

记一次某yp网站浅挖

记一次某yp网站浅挖

发现前台聊天视频记录,还有一些“受害者”的转账记录,还有很多sex视频

记一次某yp网站浅挖

记一次某yp网站浅挖

后面没有在一一测试,到此结束。

3
最后

碰到抓不到包的时候,可能也是因为类似情况,也有可能对Burpsuite特征进行了检测,需要删除Burpsuite特征或换其他抓包工具绕过!喜欢的师傅可以点赞转发支持一下谢谢!

原文始发于微信公众号(安全洞察知识图谱):【挖洞实战】记一次某yp网站浅挖

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日13:18:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次某yp网站浅挖http://cn-sec.com/archives/3146237.html

发表评论

匿名网友 填写信息