0x00 前言 朋友委托我帮忙测一下他搭建的小程序,记录一下,从一个小程序开始挖掘,直接挖到通杀所有同类型站点的组合拳RCE,部分截图厚码请见谅. 0x01前期准备 寻找小程序目录可以通...
小程序抓包|Clash与mitmdump自动化加解密实践
本文讨论了小程序自动化加解密中的应用。作者首先指出使用proxifier+burpsuite在自动化加解密中遇到的问题,并推荐使用Clash作为代理工具。文章详细介绍了如何创建Clash配...
记一次用reGeorg+Proxifier内网代理登录服务器
现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!Part1前渗透阶段0x01:前渗透据朋友介绍,本次攻防比赛的shell大多是通过弱口令进入后台,...
小技巧 | Proxifier使用Chain实现多级代理
在打攻防时,大公司的内网环境往往比较复杂,可能会跨越多个网段。生产网、UAT环境、办公网可能并不互通,不出网更是前提。 在这种情况下,各个网站之间需要通过多个双网卡来进行流量转发,如果不熟悉,很容易搞...
【app渗透】IOS端抓包测试
IOS端抓包测试简介:理论上是可以抓到所有的ios端的app。原理是利用proxypin在ios端开启vpn代理流量,然后通过proxypin将流量转发到windows端的proxypin,再利用pr...
【工具集】burpsuite+Proxifier抓包微信小程序-胎教级教程(二)
---------------------------------------------------------------本文题干阅读时间推荐5min-----------------------...
Plugx远控免费公布
plugx远控,多协议支持,多年APT组织长期使用,功能强大且完善。 一些截图: 看起来版本是比较老。工具需要加入tg频道获取,作者二开过,且未开放源码,安全起见建议各位在虚拟机内使用 项目地址: h...
微信 iOS 端升级,支持查看好友添加时间
微信 iOS 端 8.0.52 正式版更新后,可以在好友的社交资料中查看当前好友的添加时间。路径如下:通讯录 → 更多信息 → 添加时间。该功能目前处于灰度测试阶段,仅部分苹果用户支持。此外,iOS ...
小技巧 | linux虚拟机一键使用本机代理(v2ray和proxifier)
也算是小技巧,用来打内网/虚拟机科学上网很快,比某度上各种拉S的教程方便多了。需求软件ioxproxychains情景介绍v2ray上网由于目前很多的梯梯采用了订阅链接式更新,windows端一般都是...
基于FRP+Proxifier的多层代理
0X01 简介 FRP 是一种快速反向代理,允许您将位于 NAT 或防火墙后面的本地服务器暴露给互联网。它目前支持 TCP 和 UDP,以及 HTTP 和 HTTPS协议,允许通过域名将请求转发到内部...
渗透测试最详小程序抓包教程
0X01背景介绍 本文主要介绍几种常见的小程序抓包方法 (1)模拟器下抓包:夜神模拟器安卓5+burpsuite (2)本地抓包:Fiddler+Burpsuite (3)本地抓包:Pr...
浅谈一次edusrc文件上传成功getshell
本文由掌控安全学院 - Tobisec 投稿 0x1 前言 这里记录一下我在微信小程序挖人社局等一些人力资源和社会保障部信息中心漏洞,人社这类漏洞相对于web应用端的漏洞来讲要好挖很多,...