亚洲全黄无码一级在线看_国产剧情久久久性色_无码av一区二区三区无码_亚洲成a×人片在线观看

當(dāng)前位置: 首頁(yè) > 科技新聞 >

對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)

時(shí)間:2020-05-22 16:27來(lái)源:網(wǎng)絡(luò)整理 瀏覽:
文章來(lái)源: 黑子的自我拯救大家好,很久沒(méi)更新有沒(méi)有想我呢。(大家想要的東西附在文章末尾,回復(fù)關(guān)鍵字【20200412】下載獲取下載地址)沒(méi)錯(cuò)

文章來(lái)源: 黑子的自我拯救

大家好,很久沒(méi)更新有沒(méi)有想我呢。


(大家想要的東西附在文章末尾,回復(fù)關(guān)鍵字【20200412】下載獲取下載地址)


沒(méi)錯(cuò),就是那個(gè)越權(quán)幫別人支付訂單,xss打自己cookie的男人,他回來(lái)了。


前段時(shí)間寫(xiě)的幫粉絲滲透棋牌app,被很多朋友私信問(wèn)我到底怎么搞下來(lái)的,他們也想來(lái)這么一套一頓操作猛如虎的連環(huán)打法。



但是我怎么可能告訴你們我是admin/123456進(jìn)去的?那不是有損我在你們面前樹(shù)立起的高手形象?


不行,我得編個(gè)故事,告訴你們我不是用的0DAY,只要不是admin/123456,那我的形象還能基本維持住。


好了,閑話不多講,咱們進(jìn)入今天的主題活動(dòng)。


那么,我們到底應(yīng)該怎么去測(cè)試app?


總結(jié)一下很多人遇到這種棋牌app測(cè)試項(xiàng)目的幾種問(wèn)題。


只給你一個(gè)下載app的地址。就會(huì)抓個(gè)數(shù)據(jù)包。一頓操作猛如虎,沒(méi)事折騰一下午。


在實(shí)際情況中,很多小型的非法的棋牌app都以經(jīng)很少自己建立一個(gè)官網(wǎng)了,而是轉(zhuǎn)為將app放在第三方下載站點(diǎn),比如這個(gè)。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


也就是說(shuō),在從網(wǎng)站獲取信息之類的情況基本沒(méi)有了,那么我們能收集信息的也就是app里面去入手了。


打開(kāi)app以后他是這樣的。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


如果現(xiàn)在你們能回答問(wèn)題的話,那我覺(jué)得,你們肯定會(huì)告訴我,當(dāng)然是客服留言處xss來(lái)一發(fā)啦!


說(shuō)實(shí)話,在對(duì)棋牌app測(cè)試中,xss盲打成功的結(jié)果基本為負(fù)數(shù),當(dāng)然,也并不是說(shuō)xss就沒(méi)用了,但是畢竟這個(gè)東西還是要看場(chǎng)景的。


關(guān)于還有人會(huì)說(shuō)的注入,近段時(shí)間,我遇到的app測(cè)試,就一個(gè),還是兩個(gè)月前的事情了,當(dāng)然,也可能是我太菜了,沒(méi)注意到。


那么剩下的關(guān)鍵就是抓包了,除了上面我們說(shuō)的注入,利用burpsuite相結(jié)合,來(lái)對(duì)鏈接進(jìn)行測(cè)試之外,其實(shí)更多的,是獲取到有用的信息,比如網(wǎng)站的ip地址,或者一些域名信息,雖然前面說(shuō)了,很少有做官網(wǎng)的棋牌了,但那些都是一些小站,有野心和投入的還是會(huì)搭建官網(wǎng),可以把PC端和手機(jī)端同步做起來(lái)的。


那么棋牌站點(diǎn)官網(wǎng)會(huì)不會(huì)存在注入等等這些漏洞呢?答案是可能會(huì)存在,比如下面這個(gè)案例。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


我們一再?gòu)?qiáng)調(diào),注入產(chǎn)生在數(shù)據(jù)交互的地方,上面有什么地方是能夠產(chǎn)生數(shù)據(jù)交互的呢?眼睛不瞎手沒(méi)斷的朋友,看一眼,動(dòng)下手就知道了。


我們?cè)谶@個(gè)地方抓包,以下是數(shù)據(jù)包

POST /index/api/user_records.html HTTP/1.1Host: 5232yh.comProxy-Connection: keep-aliveContent-Length: 30Accept: application/json, text/javascript, */*; q=0.01Origin: http://5232yh.comX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://5232yh.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0page=1&act_id=71&actuser=qq000


最終結(jié)果是act_id存在注入。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


所以我們才講,測(cè)試范圍和方向大一點(diǎn),能挖掘漏洞和利用漏洞的地方才會(huì)多,局限性太大,不管什么測(cè)試,都很難辦。


在這里還得給大家講的是關(guān)于網(wǎng)上一些文章說(shuō)的把a(bǔ)pp放到類似于360顯微鏡,騰訊金剛的app漏洞測(cè)試平臺(tái)去測(cè)試,希望大家還是冷靜點(diǎn),首先看看自己會(huì)不會(huì)逆向,看不看得懂安卓代碼。


對(duì)我來(lái)說(shuō),不管你上面顯示掃描出多少個(gè)漏洞,只要我夠廢物,漏洞永遠(yuǎn)找不到我。


另外,360顯微鏡最讓人無(wú)語(yǔ)的一點(diǎn),就是沒(méi)有搜索app的功能,每次上網(wǎng)都只是給你一個(gè)鏈接,讓你去看,我懷疑這個(gè)玩意兒就是他們收集信息的一個(gè)來(lái)源,簡(jiǎn)直坑人,至于漏洞掃描,大家可以看看掃描結(jié)果,如圖。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


如果按使用后感覺(jué)來(lái)說(shuō),我感覺(jué)根本對(duì)我沒(méi)有什么屁用,起碼對(duì)我想拿權(quán)限這個(gè)前提來(lái)說(shuō)真的沒(méi)什么屁用,何況這些掃描結(jié)果,是真的雞肋。


還是自己抓包把,抓包是最實(shí)在的,很多人給我反饋過(guò)說(shuō)抓不到有用的包,就我自己的經(jīng)驗(yàn)來(lái)看,對(duì)棋牌app測(cè)試,抓哪里的包最容易抓到有用的?


那么我的答案就是,抓充值接口的包,為什么要抓充值接口?


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


首先,棋牌站點(diǎn)可以在后臺(tái)設(shè)置充值接口,支付寶,微信等等二維碼,如果設(shè)置在后臺(tái)完成,并沒(méi)有利用到第四方支付,那么就很有可能暴露后臺(tái)地址鏈接,ip等等,比如上面我們說(shuō)的至尊棋牌。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


在這里,我沒(méi)有抓包,只是點(diǎn)擊,發(fā)現(xiàn)跳轉(zhuǎn)到瀏覽器的一瞬間,跳轉(zhuǎn)地址是一個(gè)180開(kāi)頭的ip地址,但是緊接著,又變成了一個(gè)第四方支付。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


那么我們就直接抓包唄。

最后抓到鏈接為

http://180.xx.xxx.126/AppPay/zhifumao/index.aspx?gameid=101036&money=50&paytype=2


不要說(shuō)我不給你們實(shí)踐的機(jī)會(huì),下面是app下載地址。

https://bccji.com/p/A0tohkckur8


想裝X,就自己動(dòng)手去搞。


得到ip后,訪問(wèn)是跳轉(zhuǎn)到app下載地址的,所以,web服務(wù)肯定是在端口后面的,果然隨后用nmap掃描到8081這個(gè)端口,訪問(wèn),是后臺(tái)。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


肯定有人問(wèn)我,那我怎么搞到后臺(tái)系統(tǒng)里面去啊?

別問(wèn),問(wèn)就是admin/123456


那么,在這里,我就得給大家推薦一款好用的工具了,一位表哥寫(xiě)的apk敏感數(shù)據(jù)提取工具。apkAnalyser (文章末尾有下載地址)


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


把要提取的apk文件放到apps里面,然后點(diǎn)擊apkAnalyser.exe就行了,接著就可以在result目錄下看到提取的數(shù)據(jù)了,


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


包括哈希,ip,路徑等等。


當(dāng)然,還要給大家提供一個(gè)appscan平臺(tái),地址為:

https://www.appscan.io/

郵箱注冊(cè)一個(gè)賬號(hào),上傳app就可以進(jìn)行掃描提取數(shù)據(jù)信息。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


反正是比那些什么玩意兒好用多了,一天到晚搞那么多花里胡哨的。


你問(wèn)我既然有這個(gè)平臺(tái),為啥還要給個(gè)工具出來(lái)?還不是想讓你們多個(gè)選擇,憋說(shuō)話,我愛(ài)你們就完事了。



看到這里,你們小小的腦袋里肯定很疑惑,我看了半天都不知道到底測(cè)試了啥,其實(shí)我也不知道測(cè)試了啥,反正就是湊字?jǐn)?shù)。


測(cè)試個(gè)錘子,搞棋牌肯定要靠0DAY啊,測(cè)試測(cè)試,測(cè)個(gè)錘子試。


另外就是之前的那個(gè)可以改開(kāi)獎(jiǎng)號(hào)碼彩票站點(diǎn)了。


首先,那個(gè)網(wǎng)站程序叫天恒,前臺(tái)存在xss,在訂單用戶名處,可以盲打。


因?yàn)榫W(wǎng)站版本不同,有一部分用此程序的站點(diǎn),可以后臺(tái)getshell。

lib/classes/googleChart/markers/GoogleChartMapMarker.php


這個(gè)漏洞后續(xù)還是撿垃圾大隊(duì)的P7給我的,得給他加個(gè)雞腿。


另外,我已經(jīng)在web指紋識(shí)別平臺(tái)云悉提交了天恒的web指紋,以后大家就可以識(shí)別了。


對(duì)棋牌app漏洞挖掘以及一些工具(附送0DAY)


承諾為大家準(zhǔn)備的東西,已經(jīng)準(zhǔn)備好了。


兩個(gè)admin/123456已經(jīng)發(fā)貨了。


這次,大家就別罵我了,有的0DAY是真的不能發(fā)出來(lái),發(fā)兩個(gè)這種沒(méi)啥含量的,沒(méi)玩過(guò)的朋友玩玩就行了。


推薦內(nèi)容