亚洲全黄无码一级在线看_国产剧情久久久性色_无码av一区二区三区无码_亚洲成a×人片在线观看

文章來源： 黑子的自我拯救

大家好，很久沒更新有沒有想我呢。

（大家想要的東西附在文章末尾，回復關鍵字【20200412】下載獲取下載地址）

沒錯，就是那個越權幫別人支付訂單，xss打自己cookie的男人，他回來了。

前段時間寫的幫粉絲滲透棋牌app，被很多朋友私信問我到底怎么搞下來的，他們也想來這么一套一頓操作猛如虎的連環(huán)打法。

但是我怎么可能告訴你們我是admin/123456進去的？那不是有損我在你們面前樹立起的高手形象？

不行，我得編個故事，告訴你們我不是用的0DAY，只要不是admin/123456，那我的形象還能基本維持住。

好了，閑話不多講，咱們進入今天的主題活動。

那么，我們到底應該怎么去測試app？

總結一下很多人遇到這種棋牌app測試項目的幾種問題。

在實際情況中，很多小型的非法的棋牌app都以經很少自己建立一個官網(wǎng)了，而是轉為將app放在第三方下載站點，比如這個。

也就是說，在從網(wǎng)站獲取信息之類的情況基本沒有了，那么我們能收集信息的也就是app里面去入手了。

打開app以后他是這樣的。

如果現(xiàn)在你們能回答問題的話，那我覺得，你們肯定會告訴我，當然是客服留言處xss來一發(fā)啦！

說實話，在對棋牌app測試中，xss盲打成功的結果基本為負數(shù)，當然，也并不是說xss就沒用了，但是畢竟這個東西還是要看場景的。

關于還有人會說的注入，近段時間，我遇到的app測試，就一個，還是兩個月前的事情了，當然，也可能是我太菜了，沒注意到。

那么剩下的關鍵就是抓包了，除了上面我們說的注入，利用burpsuite相結合，來對鏈接進行測試之外，其實更多的，是獲取到有用的信息，比如網(wǎng)站的ip地址，或者一些域名信息，雖然前面說了，很少有做官網(wǎng)的棋牌了，但那些都是一些小站，有野心和投入的還是會搭建官網(wǎng)，可以把PC端和手機端同步做起來的。

那么棋牌站點官網(wǎng)會不會存在注入等等這些漏洞呢？答案是可能會存在，比如下面這個案例。

我們一再強調，注入產生在數(shù)據(jù)交互的地方，上面有什么地方是能夠產生數(shù)據(jù)交互的呢？眼睛不瞎手沒斷的朋友，看一眼，動下手就知道了。

我們在這個地方抓包，以下是數(shù)據(jù)包

POST /index/api/user_records.html HTTP/1.1Host: 5232yh.comProxy-Connection: keep-aliveContent-Length: 30Accept: application/json, text/javascript, */*; q=0.01Origin: http://5232yh.comX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://5232yh.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0page=1&act_id=71&actuser=qq000

最終結果是act_id存在注入。

所以我們才講，測試范圍和方向大一點，能挖掘漏洞和利用漏洞的地方才會多，局限性太大，不管什么測試，都很難辦。

在這里還得給大家講的是關于網(wǎng)上一些文章說的把app放到類似于360顯微鏡，騰訊金剛的app漏洞測試平臺去測試，希望大家還是冷靜點，首先看看自己會不會逆向，看不看得懂安卓代碼。

對我來說，不管你上面顯示掃描出多少個漏洞，只要我夠廢物，漏洞永遠找不到我。

另外，360顯微鏡最讓人無語的一點，就是沒有搜索app的功能，每次上網(wǎng)都只是給你一個鏈接，讓你去看，我懷疑這個玩意兒就是他們收集信息的一個來源，簡直坑人，至于漏洞掃描，大家可以看看掃描結果，如圖。

如果按使用后感覺來說，我感覺根本對我沒有什么屁用，起碼對我想拿權限這個前提來說真的沒什么屁用，何況這些掃描結果，是真的雞肋。

還是自己抓包把，抓包是最實在的，很多人給我反饋過說抓不到有用的包，就我自己的經驗來看，對棋牌app測試，抓哪里的包最容易抓到有用的？

那么我的答案就是，抓充值接口的包，為什么要抓充值接口？

首先，棋牌站點可以在后臺設置充值接口，支付寶，微信等等二維碼，如果設置在后臺完成，并沒有利用到第四方支付，那么就很有可能暴露后臺地址鏈接，ip等等，比如上面我們說的至尊棋牌。

在這里，我沒有抓包，只是點擊，發(fā)現(xiàn)跳轉到瀏覽器的一瞬間，跳轉地址是一個180開頭的ip地址，但是緊接著，又變成了一個第四方支付。

那么我們就直接抓包唄。

最后抓到鏈接為

http://180.xx.xxx.126/AppPay/zhifumao/index.aspx?gameid=101036&money=50&paytype=2

不要說我不給你們實踐的機會，下面是app下載地址。

https://bccji.com/p/A0tohkckur8

想裝X，就自己動手去搞。

得到ip后，訪問是跳轉到app下載地址的，所以，web服務肯定是在端口后面的，果然隨后用nmap掃描到8081這個端口，訪問，是后臺。

肯定有人問我，那我怎么搞到后臺系統(tǒng)里面去啊？

別問，問就是admin/123456

那么，在這里，我就得給大家推薦一款好用的工具了，一位表哥寫的apk敏感數(shù)據(jù)提取工具。apkAnalyser （文章末尾有下載地址）

把要提取的apk文件放到apps里面，然后點擊apkAnalyser.exe就行了，接著就可以在result目錄下看到提取的數(shù)據(jù)了，

包括哈希，ip，路徑等等。

當然，還要給大家提供一個appscan平臺，地址為：

https://www.appscan.io/

郵箱注冊一個賬號，上傳app就可以進行掃描提取數(shù)據(jù)信息。

反正是比那些什么玩意兒好用多了，一天到晚搞那么多花里胡哨的。

你問我既然有這個平臺，為啥還要給個工具出來？還不是想讓你們多個選擇，憋說話，我愛你們就完事了。

看到這里，你們小小的腦袋里肯定很疑惑，我看了半天都不知道到底測試了啥，其實我也不知道測試了啥，反正就是湊字數(shù)。

測試個錘子，搞棋牌肯定要靠0DAY啊，測試測試，測個錘子試。

另外就是之前的那個可以改開獎號碼彩票站點了。

首先，那個網(wǎng)站程序叫天恒，前臺存在xss，在訂單用戶名處，可以盲打。

因為網(wǎng)站版本不同，有一部分用此程序的站點，可以后臺getshell。

lib/classes/googleChart/markers/GoogleChartMapMarker.php

這個漏洞后續(xù)還是撿垃圾大隊的P7給我的，得給他加個雞腿。

另外，我已經在web指紋識別平臺云悉提交了天恒的web指紋，以后大家就可以識別了。

承諾為大家準備的東西，已經準備好了。

兩個admin/123456已經發(fā)貨了。

這次，大家就別罵我了，有的0DAY是真的不能發(fā)出來，發(fā)兩個這種沒啥含量的，沒玩過的朋友玩玩就行了。