亚洲全黄无码一级在线看_国产剧情久久久性色_无码av一区二区三区无码_亚洲成a×人片在线观看

文章來(lái)源： 黑子的自我拯救

大家好，很久沒(méi)更新有沒(méi)有想我呢。

（大家想要的東西附在文章末尾，回復(fù)關(guān)鍵字【20200412】下載獲取下載地址）

沒(méi)錯(cuò)，就是那個(gè)越權(quán)幫別人支付訂單，xss打自己cookie的男人，他回來(lái)了。

前段時(shí)間寫(xiě)的幫粉絲滲透棋牌app，被很多朋友私信問(wèn)我到底怎么搞下來(lái)的，他們也想來(lái)這么一套一頓操作猛如虎的連環(huán)打法。

但是我怎么可能告訴你們我是admin/123456進(jìn)去的？那不是有損我在你們面前樹(shù)立起的高手形象？

不行，我得編個(gè)故事，告訴你們我不是用的0DAY，只要不是admin/123456，那我的形象還能基本維持住。

好了，閑話不多講，咱們進(jìn)入今天的主題活動(dòng)。

那么，我們到底應(yīng)該怎么去測(cè)試app？

總結(jié)一下很多人遇到這種棋牌app測(cè)試項(xiàng)目的幾種問(wèn)題。

在實(shí)際情況中，很多小型的非法的棋牌app都以經(jīng)很少自己建立一個(gè)官網(wǎng)了，而是轉(zhuǎn)為將app放在第三方下載站點(diǎn)，比如這個(gè)。

也就是說(shuō)，在從網(wǎng)站獲取信息之類的情況基本沒(méi)有了，那么我們能收集信息的也就是app里面去入手了。

打開(kāi)app以后他是這樣的。

如果現(xiàn)在你們能回答問(wèn)題的話，那我覺(jué)得，你們肯定會(huì)告訴我，當(dāng)然是客服留言處xss來(lái)一發(fā)啦！

說(shuō)實(shí)話，在對(duì)棋牌app測(cè)試中，xss盲打成功的結(jié)果基本為負(fù)數(shù)，當(dāng)然，也并不是說(shuō)xss就沒(méi)用了，但是畢竟這個(gè)東西還是要看場(chǎng)景的。

關(guān)于還有人會(huì)說(shuō)的注入，近段時(shí)間，我遇到的app測(cè)試，就一個(gè)，還是兩個(gè)月前的事情了，當(dāng)然，也可能是我太菜了，沒(méi)注意到。

那么剩下的關(guān)鍵就是抓包了，除了上面我們說(shuō)的注入，利用burpsuite相結(jié)合，來(lái)對(duì)鏈接進(jìn)行測(cè)試之外，其實(shí)更多的，是獲取到有用的信息，比如網(wǎng)站的ip地址，或者一些域名信息，雖然前面說(shuō)了，很少有做官網(wǎng)的棋牌了，但那些都是一些小站，有野心和投入的還是會(huì)搭建官網(wǎng)，可以把PC端和手機(jī)端同步做起來(lái)的。

那么棋牌站點(diǎn)官網(wǎng)會(huì)不會(huì)存在注入等等這些漏洞呢？答案是可能會(huì)存在，比如下面這個(gè)案例。

我們一再?gòu)?qiáng)調(diào)，注入產(chǎn)生在數(shù)據(jù)交互的地方，上面有什么地方是能夠產(chǎn)生數(shù)據(jù)交互的呢？眼睛不瞎手沒(méi)斷的朋友，看一眼，動(dòng)下手就知道了。

我們?cè)谶@個(gè)地方抓包，以下是數(shù)據(jù)包

POST /index/api/user_records.html HTTP/1.1Host: 5232yh.comProxy-Connection: keep-aliveContent-Length: 30Accept: application/json, text/javascript, */*; q=0.01Origin: http://5232yh.comX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://5232yh.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0page=1&act_id=71&actuser=qq000

最終結(jié)果是act_id存在注入。

所以我們才講，測(cè)試范圍和方向大一點(diǎn)，能挖掘漏洞和利用漏洞的地方才會(huì)多，局限性太大，不管什么測(cè)試，都很難辦。

在這里還得給大家講的是關(guān)于網(wǎng)上一些文章說(shuō)的把a(bǔ)pp放到類似于360顯微鏡，騰訊金剛的app漏洞測(cè)試平臺(tái)去測(cè)試，希望大家還是冷靜點(diǎn)，首先看看自己會(huì)不會(huì)逆向，看不看得懂安卓代碼。

對(duì)我來(lái)說(shuō)，不管你上面顯示掃描出多少個(gè)漏洞，只要我夠廢物，漏洞永遠(yuǎn)找不到我。

另外，360顯微鏡最讓人無(wú)語(yǔ)的一點(diǎn)，就是沒(méi)有搜索app的功能，每次上網(wǎng)都只是給你一個(gè)鏈接，讓你去看，我懷疑這個(gè)玩意兒就是他們收集信息的一個(gè)來(lái)源，簡(jiǎn)直坑人，至于漏洞掃描，大家可以看看掃描結(jié)果，如圖。

如果按使用后感覺(jué)來(lái)說(shuō)，我感覺(jué)根本對(duì)我沒(méi)有什么屁用，起碼對(duì)我想拿權(quán)限這個(gè)前提來(lái)說(shuō)真的沒(méi)什么屁用，何況這些掃描結(jié)果，是真的雞肋。

還是自己抓包把，抓包是最實(shí)在的，很多人給我反饋過(guò)說(shuō)抓不到有用的包，就我自己的經(jīng)驗(yàn)來(lái)看，對(duì)棋牌app測(cè)試，抓哪里的包最容易抓到有用的？

那么我的答案就是，抓充值接口的包，為什么要抓充值接口？

首先，棋牌站點(diǎn)可以在后臺(tái)設(shè)置充值接口，支付寶，微信等等二維碼，如果設(shè)置在后臺(tái)完成，并沒(méi)有利用到第四方支付，那么就很有可能暴露后臺(tái)地址鏈接，ip等等，比如上面我們說(shuō)的至尊棋牌。

在這里，我沒(méi)有抓包，只是點(diǎn)擊，發(fā)現(xiàn)跳轉(zhuǎn)到瀏覽器的一瞬間，跳轉(zhuǎn)地址是一個(gè)180開(kāi)頭的ip地址，但是緊接著，又變成了一個(gè)第四方支付。

那么我們就直接抓包唄。

最后抓到鏈接為

http://180.xx.xxx.126/AppPay/zhifumao/index.aspx?gameid=101036&money=50&paytype=2

不要說(shuō)我不給你們實(shí)踐的機(jī)會(huì)，下面是app下載地址。

https://bccji.com/p/A0tohkckur8

想裝X，就自己動(dòng)手去搞。

得到ip后，訪問(wèn)是跳轉(zhuǎn)到app下載地址的，所以，web服務(wù)肯定是在端口后面的，果然隨后用nmap掃描到8081這個(gè)端口，訪問(wèn)，是后臺(tái)。

肯定有人問(wèn)我，那我怎么搞到后臺(tái)系統(tǒng)里面去啊？

別問(wèn)，問(wèn)就是admin/123456

那么，在這里，我就得給大家推薦一款好用的工具了，一位表哥寫(xiě)的apk敏感數(shù)據(jù)提取工具。apkAnalyser （文章末尾有下載地址）

把要提取的apk文件放到apps里面，然后點(diǎn)擊apkAnalyser.exe就行了，接著就可以在result目錄下看到提取的數(shù)據(jù)了，

包括哈希，ip，路徑等等。

當(dāng)然，還要給大家提供一個(gè)appscan平臺(tái)，地址為：

https://www.appscan.io/

郵箱注冊(cè)一個(gè)賬號(hào)，上傳app就可以進(jìn)行掃描提取數(shù)據(jù)信息。

反正是比那些什么玩意兒好用多了，一天到晚搞那么多花里胡哨的。

你問(wèn)我既然有這個(gè)平臺(tái)，為啥還要給個(gè)工具出來(lái)？還不是想讓你們多個(gè)選擇，憋說(shuō)話，我愛(ài)你們就完事了。

看到這里，你們小小的腦袋里肯定很疑惑，我看了半天都不知道到底測(cè)試了啥，其實(shí)我也不知道測(cè)試了啥，反正就是湊字?jǐn)?shù)。

測(cè)試個(gè)錘子，搞棋牌肯定要靠0DAY啊，測(cè)試測(cè)試，測(cè)個(gè)錘子試。

另外就是之前的那個(gè)可以改開(kāi)獎(jiǎng)號(hào)碼彩票站點(diǎn)了。

首先，那個(gè)網(wǎng)站程序叫天恒，前臺(tái)存在xss，在訂單用戶名處，可以盲打。

因?yàn)榫W(wǎng)站版本不同，有一部分用此程序的站點(diǎn)，可以后臺(tái)getshell。

lib/classes/googleChart/markers/GoogleChartMapMarker.php

這個(gè)漏洞后續(xù)還是撿垃圾大隊(duì)的P7給我的，得給他加個(gè)雞腿。

另外，我已經(jīng)在web指紋識(shí)別平臺(tái)云悉提交了天恒的web指紋，以后大家就可以識(shí)別了。

承諾為大家準(zhǔn)備的東西，已經(jīng)準(zhǔn)備好了。

兩個(gè)admin/123456已經(jīng)發(fā)貨了。

這次，大家就別罵我了，有的0DAY是真的不能發(fā)出來(lái)，發(fā)兩個(gè)這種沒(méi)啥含量的，沒(méi)玩過(guò)的朋友玩玩就行了。