项目笔记
记录项目中学习到的知识点。
大西瓜和小栗子
这个作者很懒,什么都没留下…
展开
-
利用fiddler和burp抓取手机流量
为什么这样抓取流量 用“模拟器”+“burp”抓取流量虽然好用,但有些限制 1、如果APP做了“虚拟环境检查”,打开APP就直接闪退。 2、如果APP与微信或QQ软件关联的话,“模拟器”不好操作。 3、如果APP获取定位等信息,“模拟器”无法实现。 直接手机+burp的方式我试过。很久才能拦截到数据,很影响测试心情。这个问题不知道是证书问题还是什么,有大佬可以说下吗? 实现原理 手机流量-->fiddler-->burp 实现步骤 前提 手机和电脑需要在同一局域网中 具体步骤 fiddl原创 2022-01-12 17:12:26 · 1499 阅读 · 0 评论 -
阿里云服务器配置问题
前言 最近,需要实施邮件钓鱼,需要搭建云服务器。在搭建过程中遇见的一些小问题记录下,以便下次再用。我选择的是宝塔面板。 前置知识 我们访问云服务器大概回经过这样的过程: 浏览器-->阿里云平台的防护的东东-->主机防护的东东-->你搭建的页面 如果页面访问不了,可从【阿里云平台防护】和【主机防护】排除,看该开的端口是否开放 知识碎片 开启端口 依次点击“实例”–>对象实例的“管理”–>“安全组”–>“配置规则”。开启你需要的端口就可了 注意: 功能中的“快速添原创 2022-01-11 18:22:43 · 246 阅读 · 0 评论 -
用burpsuit-intruder模块实现报错注入的检测----2021.07.02
检测条件 数据库开启了错误回显 参数的拼接 步骤 bp将要检测的数据包发送到intruder模块 在Payloads里设置加入的参数 点击 start attack,在Response的内容中搜索“syntax" 查看对应的"Request",看是哪一个参数 在改注入点输入下面SQL,就可以证明SQL注入的存在了 ' or updatexml(1,concat(0x7e,version(),0x7e),1); 总结 当一个数据包有多个参数时,便可以一次性测试完。但这里有一个问题,为确定这个原创 2021-07-02 13:08:13 · 248 阅读 · 0 评论