1.使用Charles+Postern配合抓取目标APP登录数据包(测试用户名:13211112222、口令123456)。2.简单分析登录数据包我们可以发现,我们输入的账号数据被保存在uid字段,而...
逆向某平台分析过程指导
本文为看雪论坛优秀文章看雪论坛作者ID:那年没下雪一抓包报文分析1、charles抓包分析报文 登录和注册发送验证码都带有⼀个sign字段。其他参数都为固定参数 ⽐如请求图中的:只有这个sign每次都...
一道反序列化bypass题ez_check
1.题干题目来自https://www.polarctf.com/#/page/challenges先看依赖,只有jackson,那么基本只能走toString-getter-TemplatesImp...
LinkedHashMap:Java界的秩序控,是时候重新认识它了!
LinkedHashMap?HashMap的“私生子”?原文说LinkedHashMap是HashMap的子类,还引入了双向链表来维护顺序…等等,这说法太官方了! 换个角度:如果HashMap是Jav...
代码审计| U8 FileManageServlet 文件读取漏洞分析
最近在写工具,分析官方漏洞补丁给自己的工具添加上一些day,这些day可能用不到,万一有一天用到了呢 补丁链接 https://security.yonyou.com/#/noticeInfo?id=...
JavaSec | 二次反序列化学习
扫码领资料获网安教程本文由掌控安全学院 - 作者名 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)前言比赛中会遇到限制很多的黑白名单,二次反序...
关于CC链1中的一些问题分析
0x00. 前言CC链1已有很多前辈分析,刚开始还好,到了后面,总觉得学的迷迷糊糊,从各类资料中所学也是一知半解。有很多问题对于Java基础不扎实的我或类似朋友,可能比较吃力。索性,我记录一下除常规链...
Java利用链URLDNS分析及利用
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息...
安卓逆向 某app signature参数分析
简单看了一下代码因为signature比较大众,搜出来的结果比较多,看了几个跟包名相关的类请求的时候大部分都是用的HashMap所以直接hook HashMap去寻找真正的调用类XposedHelpe...
app逆向-apk的sign签名绕过
前言来自Ricordi..学员的app逆向破解签名的案例!app破解过程在写完解密脚本后发现存在签名认证所以我们需要进行绕过sign才能重发然后我们修改数据包重发过后报错这个时候呢我们就需要去逆向si...
Java安全-CC6链
关注公众号夜风Sec内回复java,获取java审计代码视频资料CC6不限制JDK版本、也不限制CommonsCollections的版本❝分析后半部分的链和前面是一样的/* HashMap.read...
Tabby学习笔记 & Java反序列化gadget分析
Tabby学习笔记,挖掘反序列化gadget的思路和一些链的详细分析及POC 环境搭建Neo4jTabby需要用到Neo4j,项目中有相应的Dockerfile,直接启动,7474为Web端口 123...