本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
感谢海绵宝宝师傅的投稿,另外有兴趣投稿的师傅也可以联系我,微信号:bgbing-src 会给合适的稿费,还会额外送礼品(比如现在端午,会送端午礼盒,粽子等)
[引言] 分享一下在大佬如云的今天如何挖掘 src
分享一个不安全资源调用,什么叫不安全资源调用,可以通俗的理解成未授权访问,但又不完完全全的叫,到底是什么呢请看我秀往后退我要开始装逼了
和往常一样对 SRC 平台”交流学习”时发现居然有视频居然要钱,可我一分钱不想花,于是我就开始了我的操作
由于要购买才能开始学习,先是找了一个免费视频
然后就是使用万能的 F12,在控制台中发现居然会返回一个 mp4
于是我就按照相同的方法去付费视频进行了相同的操作,可惜啥也没有(可能只对免费视频有效),但是我忽然发现视频可能是通过 id 这个参数进行调用的
于是在我一段 FUZZ(就是乱猜)之下居然直接将跳到了一个需要付费的播放位置,于是我安装了 Flash 可惜依然看不了可能是因为还是得付钱
于是我抓取了返回包,在十几个返回包中找到了关键的返回包中携带了 mp4
于是我将链接复制到了页面上,但还是播放不了,这个时候师傅们可能就会放弃
但是我想到了迅雷的(特性)不是可以通过链接直接下载吗,于是我将链接放到了迅雷上并下载解码
成功通过工具的特性成功将视频下载下来并白嫖
经过我两个小时不懈的努力终于拿到了某 SRC400 块的赏金
火柴人安全团队招人,主要冲src
小小门槛:2022年提交过一个有效漏洞(企业src),并且审核通过,满足的话,加微信号:bgbing-src 给我简历即可
加入团队的好处:经常冲src,活跃度高的话,会送礼品,额外现金奖励,团建,线下面基这些,也会给团队直播挖src一些思路,互相交流技术,一起冲src,一起进步!
本文是bgbing安全内部海绵宝宝师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
相关链接:
原文始发于微信公众号(安世加):技术干货 | SRC挖掘思路(十)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论