黑客实战:从app渗透到网站沦陷

最新推荐文章于 2025-03-12 10:00:59 发布
最新推荐文章于 2025-03-12 10:00:59 发布
阅读量4k 收藏 35
点赞数 9
文章标签: 网络 网络安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571990/article/details/127871747
版权

分享一下今天对某app进行渗透测试,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量

  1. 使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来

2. 使用工具对主域名进行敏感目录扫描,发现存在一个admin的目录

对该目录进行访问,发现存在管理后台,且目前看没有验证码,可以尝试爆破

输入不同的账号,看是否存在用户名枚举,如下输如admin显示账号或者密码错误

 输入admin2显示账号未注册,所以此处存在账号枚举漏洞

最低0.47元/天 解锁文章
渗透实战-抓取APP流量包
beirry的博客
12-04 3786
现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。 接下来我将对微信小程序来进行抓包发送给burpsuit。这里选择本地模式,管理员启动 点击连接引擎 配置系统代理 配置以下内容,点击配置HTTP/HTTPS代理 启用成功 打开左边的手工渗透测试,点击MITM,点击劫持启动,即可运行 可以看到右上角有手动劫持,自动放行,被动日志三个选项,现在处于自动放行状态,则不抓包 输入手机号,获取验证码可以看到抓取到数据包
黑客技术进阶指南:从基础知识到高级技巧的全面提升路径
10-30
内容概要:本文详细介绍了黑客技术的发展道路,从初学者到高级黑客的成长阶段,涵盖了技术基础、进阶技能和职业发展的各个方面。文章首先解释了黑客的真实面貌和他们在网络安全中的双重角色,接着分别阐述了黑客所需的编程语言、网络知识、操作系统和密码技术等基本技能。此外,还探讨了渗透测试、工程实战和安全大咖级别的技能要求,并强调了实践和经验积累的重要性,如参加黑客竞赛、参与开源项目和搭建实验室等。最后,文章讨论了职业规划和发展路径,以及在成长过程中需遵守的道德和法律准则。 适合人群:对黑客技术感兴趣的学生、网络安全从业者以及希望进一步提升技术能力的工程师。 使用场景及目标:适用于想要全面了解黑客技术并逐步成长为高级网络安全专家的人士,旨在提供一条系统的成长路径和实践指导。 其他说明:本文不仅仅局限于技术层面,还强调了道德和法律的重要性,提醒读者在成长过程中保持正确的价值观。
wireshark密码嗅探侵入后台管理系统
zhusongziye的博客
04-21 5019
背景: 后台管理系统仅为内网使用并与资金流转息息相关,但是为http协议传输,且用户名密码没有加密,遂想尝试获取其他用户的用户名密码并突破内网侵入后台管理系统; 思路: 1:本机开启WiFi热点,使用wireshark混杂模式监听对应网卡,待目标用户连接WIFI,并执行登录后台操作后获取用户名密码 2:为方便在家办公,公司开启了VPN远程连接内网,VPN账号用户名按既定规则生成,密码为八位...
渗透测试实战分享—从app网站沦陷我是怎么做到的?
Python84310366的博客
03-12 964
分享一下今天对某app进行渗透测试,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量首先1. 使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来2. 使用工具对主域名进行敏感目录扫描,发现存在一个admin的目录对该目录进行访问,发现存在管理后台,且目前看没有验证码,可以尝试爆破输入不同的账号,看是否存在用户名枚举,如下输如admin显示账号或者密码错误输入admin2显示账号未注册,所以此处存在账号枚举漏洞3. 进行表单爆破。
网络安全之渗透实战学习
kali_Ma的博客
10-27 2万+
前言 本次渗透以SMB共享之SCF文件攻击为突破点,利用burp编码爆破Basic Authorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。 本次渗透过程从技术层面来说难度并不算很大,本文精华在于渗透过程中运用到了多个知识点,并对多种利用SMB攻击的方法作了总结,下面开始此次渗透实战之旅。 信
app渗透测试实战Getshell
总有人间一两风,填我十万八千梦
05-17 8786
分享一下今天对某app的合法渗透测试,从基础的信息收集到拿到网站的shell的过程。
使用Fiddler对手机APP抓包渗透测试实战
Love&Share
11-12 4725
朋友让帮忙投票,想着随手一测,没想到真有洞还 web端点击就提示下载手机app,不知道他是咋检测的,就下了某日报app 既然是app,首先使用 fiddler 抓取手机流量,用电脑模拟器或者手机设置代理,将流量转发至电脑 具体步骤 首先需要保证手机和电脑在同一个WiFi下,如果是模拟器那没事了,但是设置方法一样,以手机为例 在fiddler中启动代理,tools-options 选择connections,设置代理端口,我用的9999 手机设置中设置代理, 服务器主机名填写电脑ip 端口就.
aap渗透_一次App 渗透实战
weixin_33430573的博客
12-23 790
玄魂工作室秘书 玄魂工作室 前天郑重声明:昨天这篇文章对外发布的时候,很多人直接找到我,说泄露了小米商城的的内部bug。吓得我赶紧撤回了文章。现在解释一下,文中确实有捕获小米的流量,那是因为我们的测试机为小米手机,并非测试的是小米商城。作者也非小米员工。为了表示歉意,本篇文章发放红包,领取红包方法,见文末。-----------------------------------说明: 本文来自 "玄...
渗透测试|真详细!以实战学习渗透测试流程及报告(图文+视频讲解)
liuhyusb的博客
08-04 1815
学习干货|小白女友看完这篇文章后,面试工作和护网蓝队初级竟然秒通过!*** 如您认为文章质量对您有所帮助,麻烦点个关注并转发让更多人看到**[渗透测试|一次丝滑的渗透测试记录][漏洞挖掘|记一次对某杀猪盘的漏洞挖掘(反诈)
【愚公系列】2024年03月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全)
热门推荐
时光隧道
02-26 8万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
黑客攻防技术宝典:Web实战篇(第2版)1
08-03
Web应用程序已经从简单的静态页面发展到复杂的交互式系统,为用户提供了一站式的在线体验。然而,随着功能的增强,安全问题也随之增加。作者强调了Web应用程序安全的重要性,因为它们经常成为黑客攻击的目标,可能...
从0到1:Python黑客技术实战全攻略.docx
最新发布
04-25
从0到1:Python黑客技术实战全攻略.docx
Kali Linux渗透测试实战
03-10
Kali Linux渗透测试实战 如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品, 从Kali开始,BackTrack将成为历史。如果您没接触过BackTrack也没关系,我们从头开始了解Kali Linux。按照官方网站 的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版。作为使用者,我简单的把它理解为,一个特殊的Linux发 行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用。也可称之为平台或者框架。
爱住了 | APP渗透测试漏洞实战教程
小司机的奥拓
12-19 1740
run app.broadcast.send -action 某个 action --extra TYPE KEY VALUE。**drozer环境 :**https://labs.mwrinfosecurity.com/tools/drozer/run app.service.start --action 某个 action。run app.broadcast.info -a 包名。run app.activity.info -a 包名。run app.package.info -a 包名。
渗透测试实战
weixin_34311757的博客
12-04 562
2019独角兽企业重金招聘Python工程师标准>>> ...
金融类IOS APP端渗透测试实战分享
公众号【伤心的辣条】资料领取~
04-09 1038
金融类APP的测试始终是一项挑战,尤其是在Android应用的防护策略日益完善,加壳和加固机制多样化的背景下,这种情况更突显了iOS APP测试的重要性。本文将以作者对金融类iOS App的一次渗透测试实践为基础,分享一些iOS App安全测试的方法和经验。
app渗透实战案例—Spring Boot Actuator未授权到脱库
总有人间一两风,填我十万八千梦
12-09 7776
目录 前言 测试过程 查找敏感信息 Heapdump获取密码信息 前言 今天在做app渗透测试的时候,发现网站使用了Spring Boot框架。其存在一个未授权访问漏洞,通过寻找敏感字段获取了数据库地址和用户名,以及寻找密码获取了数据库连接密码直接拿下了数据库 测试过程 对app抓包,请求了一些服务器地址,我们将地址复制出来在浏览器访问 其中一个地址访问出现如下所示的页面,那么可以判断其使用了Spring Boot框架,Spring Boot框架是最流行的基于Java的微服务框架之一,
【渗透实战】web渗透实战,相对高安全级别下,详细分析整个渗透过程以及介绍社工的巧妙性,拿一站得数十站,(漏洞已交)
Taneeyo的博客
03-03 3244
‘’‘ 版权tanee 转发交流请备注 漏洞已经提交管理员 关键过程的截图和脚本代码已经略去。希望大家学习技术和思路就好,切勿进行违法犯罪的活动。本实战案例仅作为技术分享,切勿在未经许可的任何公网站实战。 ’‘’ 前言:本次渗透交流的方法不是纯计算机网络的技术。而是一种巧解。其实大家都知道社会工程学很多时候就简单的理解为猜解。但是其意义远大于此,是一种心理角度上的宏观偏向值。一种无需依托任何黑客...
渗透实战(提高你的实战能力)_渗透测试实战
jennycisp的博客
02-08 1309
一、靶机地址下载靶机后,双击用vmware打开。二、靶机渗透1、打开靶场显示的是一个登陆界面。2、看到这个界面,我们不知道账号和密码,先外网打点。使用kali中的端口扫描工具:nmap 判断这个靶场地址的ip地址3、发现存在80端口,我们去通过ip去访问web界面。4、查看一下端口详细信息5、没发现什么其他了。我们现在对它进行目录扫描,看看有没有什么特殊的东西。一个一个去看6、可以输入,尝试尝试。发现了这个,我们去看看txt文件。发现我的输入都被保存在txt文件中了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值