前言js逆向一直没有相关了解,虽然目前渗透遇见的不是很多,大多数遇见的要么不加密,要么无法实现其加密流程,不过最近看到了一个较为简单的站点正好能够逆向出来,就做了简单记录。本文旨在介绍js逆向的一些基...
JS逆向系列11-反调试与反反调试(续)
0x00 前言本文是对上期反调试与反反调试文章的补充。0x01 location我在上期文章中提到过我无法通过hook解决掉location.href,后来也有师傅在留言区提到了另一个location...
实战 | 网页挖矿分析
点击蓝字 关注我们”免责声明本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。前言近日,收到设备告警,办公区有用户终端连接了公共矿池地址,本文对整个事件进行了大致描...
【工具推荐】jsEncrypter.jar实现burp对js加密爆破
[ 工具简介 ]—— 总不能因为过去100年我们一败涂地,就放弃争取胜利吧 【摘自《杀死一只知更鸟》】 ——jsEncrypter.jar jsEncrypter.jar是一款使用phantomjs...
实战:渗透一个node站点拿到后台权限
前言 遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限 信息搜集 先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等 这个站...
Vue Vben Admin硬编码漏洞
01 免责声明:文章内容仅供日常学习使用,请勿非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。...
JS文件FUZZ测试,实现国外政府网站越权
正文部分 动态加载的 JavaScript 文件 我首先查看了该网站的js文件,它是基于 React 构建的,许多终端节点都可以在客户端访问。在 JavaScript 文件中发现一些漏洞后,我尝试使用...
渗透|记某次测试中因为JS拿下整个云
0x00 前言本次分享主要是分享一次HC中的思路,值得大家学习,服务器已经交给相关部门进行取证等也已经打包结A了0x01 信息收集首先给到一个资产是二维码,是一张sese图片里面带有约炮的app下载,...
记一次hc中因为JS拿下整个云
0x00 前言本次分享主要是分享一次HC中的思路,值得大家学习,服务器已经交给相关部门进行取证等也已经打包结A了0x01 信息收集首先给到一个资产是二维码,是一张sese图片里面带有约炮的app下载,...
实战 | 某金融src较复杂攻击链进入后台
1.前言本文大体完成于去年,是由某金融SRC的案例修改而来,由于涉及一些敏感信息,所以部分细节略有修改。整个案例还是很有意思的,从一个页面到另一个页面,从一个JS到另一个JS。2.目录FUZZ到JS接...
EDUSRC漏洞挖掘思路整理
免责声明本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与...
某金融src的一次较复杂攻击链进入后台
1.前言本文大体完成于去年,是由某金融SRC的案例修改而来,由于涉及一些敏感信息,所以部分细节略有修改。整个案例还是很有意思的,从一个页面到另一个页面,从一个JS到另一个JS。2.目录FUZZ到JS接...