免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
小程序保护: 一步步实现getshell
忽然发现,写公众号那么久,我竟然没写过小程序相关的文章,借此机会,也分享一下个人对小程序的渗透之路吧。 网站有没有漏洞,三分靠运气,三分靠技术,剩下四分靠细心。 0.渗透思路 主要为两点 第一个是页面...
小程序解密反编译获取源码实现RCE
01文章前言 小程序除了抓包测试功能外,我们可以尝试解密并反编译,最后获取其源代码包,从中查看其源代码文件,运气好的话我们可以获取到其配置信息,以此深度控制小程序。 当然,也可能是另外一种...
小程序的支付漏洞和任意地址删除
0x01 概述 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等...
wx小程序自动化辅助渗透 工具e0e1-wx
0x01 工具介绍 动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露。 0x02 安装与使用 一、环境配置 1.配置wx文件夹位置配置,来到设置,查看文件管理对应...
记一次简单的在线商城漏洞挖掘解析
0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:s...
记某SRC邀请处逻辑越权到组织管理员漏洞
本文由掌控安全学院 - xi4007 投稿 1.在挖掘某src漏洞时候信息收集的时候收集到某小程序 该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的 这里我们准备两个测试账号(A和B) 2...
逆向追踪网络请求流量 解密一款wx小程序
阅读须知文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!...
记一次由sessionkey泄露导致的任意用户登录
0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵...
小程序渗透:Burp+Fiddler+Proxifier
本文由掌控安全学院 - zbs 投稿码领资料获网安教程话不多说,直接先上个效果图:新新的版本哈;好好的抓包哈;然后直接说我如何配置的:准备好三个工具:bp、fiddler、proxifier【也可以用...
记一次微信小程序逆向
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文由作者授权,首发在奇安信攻防社区https://forum.butian.net/share/...
最新版微信(Win+Macos)开启小程序DevTools
1 前言 之前写了一篇文章在macos下只能开启VConsoles,今天看到WeChatOpenDevTools-Python目前已经支持Macos的Devtools,故进行了测试,第一...