免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
小程序渗透测试-绕过sign签名思路
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
EDUSRC挖掘技巧
前言最近一直在研究edu漏洞的挖掘思路,首先很多人经常问到的问题就是为啥我感觉收集起来的资产真的很少,首先我们在挖掘一类漏洞的时候我们需要了解清楚当中的业务逻辑,每个业务可能存在一些功能上的特点,挖掘...
【攻防实战】地市红队攻防演练经验总结
在过去2023的日子里,参加了某个地市的攻防,因此,想写下该文章总结下经验免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承...
windows下通杀wx小程序云函数实战
试过的都知道, 用了云函数的小程序抓包是拿不到结果的找了个使用云开发做的小程序 《某问卷系统》 一. 解包 工具有不少 我这里用的是 unveilr 最新版 unveiler wx -sf "D:We...
微信小程序抓包及测试
本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获网上大多数的小程序测试抓包都是用的安卓模拟器,这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式环境准备Burp2023.9....
【通用/事件-第4期】给管理系统后台打孔的最后一天,这个安服当不了……
通用/事件态势感知后台打孔态势:大量管理员后台居然放到了小程序漏洞感知-第4期-后台打孔今天我们欢聚,为未来喝彩!网络安全路上的跳板,你我终将为网络安全尽绵薄之力! ...
【通用/事件-第1期】弱口令2.0时代-小程序后台通用弱口令
通用/事件态势感知弱口令2.0态势:小程序后台批量弱口令后漏洞感知-第1期-小程序弱口令通用今天我们欢聚,为未来喝彩!网络安全路上的跳板,你我终将为网络安全尽绵薄之力! &nbs...
记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘
0X01 前言 在某次攻防演练,某家做儿童学习系统的公司 给的资产只有ip,ip上只有官网。无法获取到什么有用的信息。 末尾领取资料,资源 0X02 漏洞复现 发现目标单位存在一个微信小程序,从微信小...
实战| 小程序存在优惠卷遍历
本文由掌控安全学院 - 守法好青年 投稿 进入小程序,因为是一个小商城,所以照例先查看收货地址是否存在越权,以及能否未授权访问,但是发现不存在这些问题,所以去查看优惠卷 进入领券中心,点击领取优惠券时...
【微信小程序渗透测试】小程序抓包及反编译通杀方法,附漏洞挖掘案例
一、微信小程序抓包通杀方法 工具:微信PC端+ Proxifier + burp burp设置 监听本地8080端口,导出证书,双击并安装在本地计算机上 双击安装 选择本地计算机 Proxifier ...
浅聊2023年SRC碰到的那些洞
公众号被留言催更了,不觉间距离上次发文已经过去近三个月了,一转眼23年马上结束了,得一小空,放飞自我,随便写点,无任何逻辑,简单给23年收个尾吧。0x00 "老生常(非要)谈"的登录口话题1、是否可以...
26