本文作者:Taoing(Ms08067实验室 SRSP TEAM小组成员)
0x00:起因
项目方给了一个站,据说是被3家大厂LJ过了,没办法我也得硬着头皮R。虽然水不多。
0x01:思路
拿到站大概流程走一波估计是凉透了,我直接在域名后边加xxx.xxx.cn/admin发现后台一闪而过。
0x02:艰难的抓包
访问后台,bp抓包浏览器抓包都不行。直接跳
这里坑点,burpsuite抓不到,不是因为流量问题。原因大概看了下是因为require框架
0X03:突破限制(单身22年的手速)
1.首先打开F12点击Sources--回车请求等1秒马上按键盘上的Esc
2.这里机会一定要仔细去看源代码,看开发每一个get请求。每一个接口
0X03:总结
往往很多时候漏洞就在眼前,而自己却看不到,细心是挖洞!
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
关于Ms08067安全实验室
“Ms08067安全实验室”未来将会逐渐完善具体的研究、开发、CTF、运营、挖漏洞的分类,通过学习交流来形成团队自身的知识库或经验库。也会组织通过有偿培训、CTF、挖漏洞、出书等方式,让团队成员既能不断的消化吸收新的技术又能收获奖金和名誉!所以能有一帮为了安全理想凝聚在一起的兄弟,我们才能在这条路上越走越远!
官方网站:www.ms08067.com
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论