大方子

拖入jadx可以看到在com下面有一个qihoo.util。同样拖入APKScan PKID可以看到是360加固。然后Ctrl+Shift+F搜索变量，得到它的值。原来360就是叫奇虎360。

然后将apk文件拖入jadx，一般加固的so文件是放在lib下的。将APK直接拖入即可获取相应的壳信息，可以看到是梆梆加固。这里我们需要使用APKScan PKID查壳工具。回答问题得到flag。

包名 package="com.ayoyou.girlsfighting.cmcc" # 版本号 android:versionName="1.0.0"通过打开AndroidMainfest.xml获取安卓程序的信息。我们需要下载并分析apk来回答题目。解压出来的apk文件拖入到jdx中。加固用的so文件，一般在lib中。

username、password、key等内容还查找敏感信息。然后Ctrl+Shift+F搜索文本直接找到flag。在我们日常的过程中我们还可以通过搜索。apk文件直接使用jadx进行逆向。双击即可跳转到其位置。

我们打开AntiDebug Breaker选择【清除路由守卫】再次刷新访问，就可以直接进入到Dashboard。点击Dashboard的时候会提示要登录。

这里我们首先进行【资产划转】，然后使用burp抓包。将amount改为1E33，然后放包。可以看到成功划转，此时币币资产是负数。这关主要考察的是科学计数法。

这里限制了只能上传图片文件，这里将xss.html改为xss.html.jpg。通过刚刚的返回包信息可以找到上传后的文件地址。然后使用burp抓包将后缀改回来。

这里我们重新开一个靶场，然后脚本换成race.py脚本。发送到turbo intruder中。访问个人中心得到flag。拦截绑定邀请码的数据包。测试后发现并发没有成功。

使用题目提供的邀请码，发现绑定成功，而且可以重发多次绑定。直接intruder，爆破100次。尝试使用自己的邀请码，发现不行。然后个人中心得到flag。

然后将自己的邀请码绑定到自己身上，成功续费会员。点击【邀请有礼】，获取属于自己的邀请码。回到个人中心即可得到flag。点开就是一个个人中心。

然后跟之前识别图片验证的操作流程差不多，由于这里的session_id和验证码是绑定的，这里我们还要对session_id进行设置。这里session_id填写@captcha-killer-modified@，表示使用插件正则提取的内容。这里勾选【是否使用该插件】，然后在响应提取中写入提取session_id的正则表达式。这里尝试验证码置空和重放都是没用的，而且验证码和session_id是绑定的。因此这里除了要考虑识别验证码，还要提取验证码对应的session_id。打开还是一个登录界面。

然后在burp中我们需要在【HTTP history】的【Filter】中打开【Image】显示，这样我们才能在列表中看到png的数据包。开始爆破查看数据包，可以看到返回的内容是“用户名或密码错误”，说明我们的验证码识别有效果了。此时我们pip list可以看到只有一个pip，就说明我们已经在虚拟环境中。运行后目录下就会多一个captcha这个保存虚拟环境的文件夹。运行activate.bat，可以启动虚拟环境。然后发送到captcha-killer面板。然后我们pip安装依赖。可以看到验证码的数据包。

这题比较简单，就是抓到登录的数据包之后，复用验证码进行爆破，就可以得到flag。

这里有一个小技巧就是，我们先选中password中的admin内容，然后再发送到intruder中。发送到repeater中，多点几次重放会发现一直都是提示“用户名或密码错误”我们在HTTP History中勾选image，就可以看到验证码的数据包。不是失效的原因是因为这个图片验证码是和session_id绑定的。那么就说明这里存在的验证码不是失效的情况，那么我们可以直接爆破。接下来我们要将刚刚的登录数据包发送到intruder中。可以看到验证码和session_id是进行绑定的。

查看刚刚的响应包可以看到有code字段，那么尝试修改响应包来绕过。这里我们进行挂号会发现说余额不足，支付失败。重新进行挂号支付，并拦截响应包。打开就是一个挂号系统解密。将code的值从1改为0。

我们可以直接扫目录，得到api-docs接口文档信息。也可以使用spring-boot-scan来扫描。然后我们直接调用api接口得到flag。很明显的spring-boot页面。

接下来尝试/api/v1/internal/getUserDataByTenantId?这里我们用到CaA，同样也是burp加载了CaA插件之后在页面上点点点，然后再CaA中查看value的值。我们直接在每个页面都点点来获取数据，直接在流量中发现了flag，而可以看到就是我们刚刚尝试的接口地址。打开第一个接口发现就是新闻，剩下的/news/2、/news/3、/news/4都是。后来发现是news/5下面的【获取数据】得到的flag。在正常情况下我们需要对tenantid的值进行FUZZ。

然后我们再加上type:existing，可以发现flag已经出来了。首先都为空进行传递，可以看到爆了一堆数据出来但是没有flag。这里每个功能点都要点点，每个选项都要查查免得有遗漏。我们不能填写中文值，否则就会出现乱码，查询不到结果。这里需要提的一点是，假设我们要设置city:深圳。这里除了从响应包下手，还可以直接从接口上下手。可以看到刚刚在查询门店的接口中发现flag。在网站上通过F12可以看到详细的接口信息。需要进行unicode转化才可以。在雪瞳上可以看到网站的接口信息。还有对应传递参数的信息。

发现接口地址是/api/user/add，请求方式是POST，Content-Type类型是application/json。将任意访问的数据发送到repeater中，然后Change request method将数据包改为POST。如果现实环境中，没有找到接口参数的详细信息，可以尝试其他数据包中的参数。这里我们尝试使用/api/user/add这个接口。然后可以使用明洞插件，生成一个json格式数据。然后使用添加的用户登录，发现可以成功登录。我们也可以在网页的源代码中看到这个接口。

如果不清楚json格式，可以通过明洞来将字段将内容转换为json格式。

登录后有4个卷可以领取，但是每次都只能领取1个卷这里我尝试使用yakite的并发功能，进行并发领取，yakite监听的端口是8083yakit切换到手动劫持然后点击领卷。

2、Token如果是base64编码的，那么很危险，可以进行替换。然后替换那个查看权益数据包中的token值，发现flag。然后看刚刚的返回包，可以看到返回了一个data信息。后续的token值就是这个data里面的数据。我们尝试将自己的token改成第一个用户的。然后我们在找其他的功能点，发现有宾客意见。发现了有73，74，75，78这几个用户。1、要多多点功能点，发现可以利用的地方。看看jwt能不能弱密钥爆破，发现不行。进去后随便点，发现套餐卷要验证身份。发现一个数据包，明显的可以id遍历。

尝试将token改为admin出现Invalid token，那么估计就只能用首页给的token=user。通过分别使用ID=1和ID=2的Etag都可以读取到admin的信息，这题应该属于情况B。结果可以看到1 2 3 都是有反应的，但是id为3的时候是403不让访问。使用If-Match再加上id=1的Etag，发现成功获取了flag，这里我们尝试将id=1的Etag带入到id=3的数据包中。为什么通过其他用户的Etag就可以读取admin的信息？发送到Intruder。下面是我跟豆包的对话。

微信开放平台是一个公司的总账号，AppID 是旗下每个应用的唯一标识，UnionID 则是用户在该公司所有应用里的统一身份，用于跨应用识别同一用户。AppSecret 是应用的 “密码”，OpenID 是用户在单个应用里的专属 ID，UnionID 是用户在整个公司下的统一 ID。Unionid泄露，那么攻击者可以尝试通过用户的unionid跨多个AppID来访问用户的个人数据。我们可以在HaE中编写规则，去匹配请求中的unionid，如果发现unionid就进行染色。接下来我们打开靶场题目进行访问。

访问出现受限，说是只能来自internal.haobachang.com的请求尝试修改Referer，发现不行。

在【Change Response】里面添加一条规则，上面的【Condition】表示在request中匹配到admin=就出发规则。我们看下burp的logger模块，可以看到Cookie中的admin=0，插件都自动帮我们替换为了admin=1。然后下面的【Match and Replace】表示在request中将admin=0自动替换为admin=1。这里我们可以使用MaR来实现自动替换，在平常的渗透测试过程中我们也可以开启一些规则，方便我们进行测试。勾选刚刚添加的规则，表示启用。

在交互的过程中，我们可以在【Proxy】->【websocket history】里面看到websocket的数据包。在前面的图可以看到【参数：2】，那么越权的话我们就尝试修改这个参数看看会有什么效果。websocket常出现在网站上需要实时交互的常见，比如在线聊天室、在线客服这种。需要把前两项打勾，如果不想抓websocket的包后期就可以取消这两个勾。在开始前，我们需要在burp设置抓websocket的数据包。同样，我们把这个数据包放到reperter，并修改参数为1。

转到【Databoard】界面，选择【Param】，我们在网页上获取到的参数，对hr/list进行参数测试，这里我们全选，Ctrl+C复制即可。地图大师说为了确保fuzz成功率高，我们在CaA的Param搜索相关的参数，可以发现除了talent_id还有id，还有talents这些参数。爆破，可以看到会自动在我们的url后面添加参数进行测试，但是这里没有什么有用的信息，我们去测试别的接口。从刚刚的小秋信息来看，小球的ID是5，那么我们应该访问/5/flag的页面，就是小秋自己的flag页面。

直接根据提示登录，可以修改密码，想修改用户名但是前端不能修改。然后用新的密码登录得到flag。修改admin的密码。

对路径的爆破，我们除了对参数进行爆破，有些网站也会把用户的信息弄到URL里面，我们尝试对URL的后4位进行遍历。禅师对appKey进行Intruder。

这里因为UserID、UserToken、AccountID都有9，那么我们同时进行修改。同时修改UserID、UserToken没有效果。发现已经存在了test，那么就注册test1。可以看到有很多api接口，得都试试。单独修改UserID，没有效果。先尝试的profile接口。修改下UserName试试。发现可以越权，得到flag。换个/welcome接口。

我们看下雪瞳，可以看到的2个API接口。访问页面是一个个人信息页面。直接进行intruder。发现是可以进行水平越权。

这个考查的是HTTP Range漏洞。下面是地图大师的笔记内容截图。我们在http请求头上添加。

主页有提供账号密码可以直接登录随便填写一点东西可以看到下面会出现我们刚刚发布的东西点击可以查看内容，这里有点感觉是文件包含漏洞的感觉，但是后续写入php的代码并没有执行。

这里给的很直接，大概就是前端做了pdf校验，然后后端没有做校验那么我们可以通过burp抓包改包。

这里就是调用SQLMAP的命令，其中--batch表示需要用户交互的过程都选择默认、--level 3表示测试等级3会测试更多payload，--threads 10 表示10线程。添加*是SQLMAP中的用法，是为了告诉SQLMAP这里存在注入点，这样可以加快SQLMAP扫描进程。查看“xia_SQL”，可以看到xia_SQL会给疑似存在SQL注入的连接打勾。我们把请求转发到Repeater，然后将-0去掉，添加*我们添加--dump，来获取flag表中的数据。添加--dbs，来爆破数据库名。

这里需要我们burp安装CaA插件，然后挂上代理，在网页上多点点。地图大师说这个靶场并不能很好的体现CaA的作用，建议去看视频。将生成的字典放到intruder对登陆包进行爆破。然后我们在CaA中提起Param和Path。）的插件工作原理，最好先阅读下面两篇文章。到无影里面进行组合字典。

通过图片上的关键字进行搜索，就可以知道是先知社区。可以去站长直接查询网站的whois信息。

如果网站有套CDN的话，我们就可以使用17ce.com来进行多地ping，看看其IP值是否是统一的，如果统一的那就说明这个就是网站的真实IP。这里freebuf.com没有套CDN之类的，所以我们可以直接通过ping来获取它原始的IP地址。如果每个地区访问的IP都不一样则说明这个网站有CDN。直接右键复制图片地址，然后打开查看。用百度搜索下，发现是freebuf。

注意这里没有固定的密钥，每个人登录都是会变动的，需要自己抓取自己破解属于自己的密钥。然后抓包把里面的jwt密文放到无影里面破解。这里我使用官方的字典。