- 博客(6)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 (APP测试三板斧)第三板: Frida+IDA手工逆向证书密码
一、优缺点优点:适用大部分情况,尤其是一键自动提取证书和密码,傻瓜化操作缺点:一键自动提取证书和密码还好,但不是万能的,手工逆向证书密码技术难度较大,需要有代码功底,并且如果有加壳加固等操作更加麻烦。二、步骤1.一键自动提取证书和密码因为 APP 在向服务端发请求时, APP 肯定会操作证书,所以如果能找到 APP 操作证书的代码地方, Hook 这部分代码,对参数做些输出打印,证书和证书密码就都有了。大部分情况下,都是Hook java.security.KeyStore
2020-07-27 11:00:58
4308
1
原创 (APP测试三板斧)第二板:frida+一键hook脚本绕过SSL Pining
一、优缺点优点:比xp框架适用范围广,大部分软件都没有检测frida,能绕过绝大部分单向证书绑定。缺点:还是不适用双向证书,还是需要分析app包逆向分析证书密码。二、步骤:1.安装frida客户端(PC)pip install fridapip install frida-tools服务端(安卓手机)在https://github.com/frida/frida/releases下载对应平台的服务端然后解压,移动到Android设备adb p..
2020-07-27 10:53:08
4072
1
原创 (APP测试三板斧)第一板:Xposed+JustTrustMe绕过SSL Pining
一、优缺点优点:自动化,安装好即可,无需任何操作缺点:无法100%绕过,某些软件会检测环境是否有xp框架,存在就无法运行,一些xp隐藏插件隐藏效果并不好二、步骤:1.安装xp框架XposedInstaller_3.1.5.apkhttps://github.com/rovo89/XposedInstallerhttps://repo.xposed.info/module/de.robv.android.xposed.installer2.安装trus...
2020-07-27 10:44:34
1236
1
原创 writeup 2019“新华三杯”中国医疗机构网络安全攻防演练大赛CTF(复赛)
2019年10月31日,由《中国数字医学》杂志社主办、紫光旗下新华三集团支持的2019“新华三杯”中国医疗机构网络安全攻防演练大赛(复赛),在武汉光谷科技会展中心火热开赛。来自全国30多个省市的150家医疗机构,518人参加了本次复赛,这也是迄今为止中国境内规模最大的医疗行业攻防大赛。复赛共2小时,分为理论题和CTF题,同时进行,CTF共10到题,并且要在2小时内提交writeup…以下是部分...
2019-11-05 21:20:55
3423
原创 apache shiro 1.2.4反序列化漏洞
Apache Shiro 简介Apache Shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞成因Apache Shiro 反序列化漏洞的主要成因是 shiro 在进行 remember me 操作时,将用户信息序列化后加密存储在c...
2019-11-04 09:43:25
922
原创 修改lijiejie的subDomainsBrute子域名扫描,自动批量化
修改lijiejie的subDomainsBrute子域名扫描,自动批量化原始工具下载地址https://github.com/lijiejie/subDomainsBrute/用小字典递归地发现三级域名,四级域名、五级域名等域名字典较为丰富,小字典就包括1万5千条,大字典多达6万3千条默认使用114DNS、百度DNS、阿里DNS这几个快速又可靠的Public DNS查询,可修改配置文...
2019-06-26 11:51:56
2602
5
锐捷RG和S所有系列交换机升级和密码恢复资料
2010-01-17
C++语言程序设计课后答案(清华大学郑莉)
2009-05-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人