0x1 概述 由于项目需求,给出了n多条域名,需要获取其对应的ip地址。本文叙述了解决项目问题所使用的方法,且本文旨在研究js反混淆,请勿将所观所学用于非法操作,如有侵权,联系立删。 0x2 需求 给...
漏洞挖掘 | 记一个信息泄露到RCE
本文由掌控安全学院 - 杳若 投稿 打点 开局一个登录框 信息收集 发现了一处接口泄露了部分信息 不过只有支付宝密钥的信息无法扩大危害,此时尝试寻找了一下其他同类型系统同样的接口,查看一下是否泄露的信...
记信息泄露到RCE
本文由掌控安全学院 -杳若 投稿 打点 开局一个登录框 信息收集 发现了一处接口泄露了部分信息 不过只有支付宝密钥的信息无法扩大危害,此时尝试寻找了一下其他同类型系统同样的接口,查看一下是否泄露的信息...
微信溯源的小技巧(水文章)
事情是这样的,前几天有个朋友饥渴难忍,于是去贴吧找了mm泻火,殊不知mm把他当韭菜,诈骗了他几十块钱,于是他找到了我问我能不能通过微信二维码查询到姓名。我心想我擦,按道理说支付宝是可以查的,但是微信的...
代码审计 DSmall系统
代码审计 DSmall系统最近比较闲来学习学习代码审计,顺便记录一下自己的成长。找源码的话之前看到公众号发文,可以在网站中找开放的源码项目,网站就是下方这个。个人感 觉这里的源...
CTFSHOW内部赛 逆向6_二进制玩家人均全栈
> > CTFSHOW内部赛 逆向6_二进制玩家人均全栈 newbie99 是个zip文件,修复一下得到一个 ” 听说大家很怕VMP? ” 的文件。 无法运行,跟标准elf文件比较一下,把...
记一次授权渗透测试 - 喜欢吃蛋炒饭
前言: 领导发来了一个Excel文件,里面罗列了本次渗透测试的目标。我大致浏览了一下,全是各个系统的登陆界面。 弱口令: 面对登录框,我习惯性猜解一下弱口令,或者跑一下自己积累的密码字典。在这里,我通...
记一次对某收费协同办公系统的审计(.Net审计) - 冷水明天不熬夜了
概述 这系统是二、三月份的时候朋友发我的,叫我审计一下,大概看了一下漏洞挺多的,引擎搜索了一下发现没人报出来,但应该不少人知道了,以为只是一个小型的系统,但没想到关键字一查有1W多个,算中型了,由于是...
【渗透实战系列】|9-记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)
某天挖 edu 挖到自闭,然后想着 fofa 一下,看看有没有什么好玩的站点好家伙,居然还真有这种商城,原谅我孤陋寡闻了。于是乎,想进去学习了一下首先,进行了一下初步的信息收集基本上都是伪静态的,没有...
我还是科普一下“加密”之类的问题吧
从我混论坛到现在这么久了,大家也都问过很多很多为什么。 不过一直以来,好像有一个问题是亘古不变的: xxxxx,这是什么加密呀?一般xxxxx,看起来就是base64。 其实吧,对这种问题忍了很久了…...
【奇技淫巧】终于突破终端连接,分享一下
前言:在t00ls看了一年多的帖,学到很多东西。在这里感谢所有的成员,谢谢你们的知识。@rices 的精神,我很敬佩。对t00ls不离不弃!有大家在,我坚信t00ls会好起来的。一、查看终端端口(服务...
对某自习室系统的一次渗透测试(从iot到getshell再到控制全国自习室)
前段时间找了个自习室学习,因为自习室网络不太好就无聊扫了一下网段,发现了一台Ampak Technology机器以为是笔记本电脑(自习室一般都是用手机比较多),就扫了一下详细信息: &nb...