摘要:
之前查看摄像头时发现了海康威视的存在CVE-2017-7921漏洞,因此找个试下。 1、fofa搜索 直接查找海康威视和中国地区的,很遗憾大部分都不能利用 点进去就能看到登录的后台地址 可以进行弱口令尝试,此处有点困难。 2、直接查看是否存在CVE-2017-7921漏洞 CVE-2017-7921 阅读全文
摘要:
上个月的猿人学逆向比赛终于参加了一次,本着嫖一件文化衫的目的与做出第一题的目标,开始了比赛。过程是艰苦的,结果还是满意的,文化衫嫖到了,现在记录一下第一题的过程。(基于补环境) #### 链接地址:https://match2023.yuanrenxue.cn/topic/1 ##### 1、网站分 阅读全文
摘要:
网站: aHR0cHM6Ly9mdXd1Lm5oc2EuZ292LmNuL25hdGlvbmFsSGFsbFN0LyMvc2VhcmNoL21lZGljYWwtc2VydmljZT9jb2RlPTkwMDAwJmZsYWc9ZmFsc2UmZ2JGbGFnPXRydWU= 接口分析 通过接口分析可以 阅读全文
摘要:
闲来无事,登录了练习平台找了个简单题练手,涉及到了新的内容,记录一下。 现象: 网页和charles重放可以拿到返回结果,通过postman和代码请求403或者其他 原因 后端进行了http2.0请求判断,非http2.0不通过 如何分辨 http1.1:以百度为例,在source-> reques 阅读全文
摘要:
好久没写文章了,目前的工作基本不涉及到逆向,都快忘了还有这项技能了,刚好,最近遇到一个加密参数问题,浅记一下 接口分析 选择图片后上传 图中请求为我们需要分析的接口以及加密参数信息,浅搜一下 打上断点重新请求后,此处发现content_md5已经被计算出来了,换一种思路 找到content_md5第 阅读全文
摘要:
通过flask+mongo+requests实现一个主从分布式爬虫 一:分布式爬虫介绍 1、对等分布式:每台机器上的的爬虫都一致 无论那台机器掉线,都不会影响其他机器的爬虫 可以根据需求动态的增/删计算机和爬虫的数量 试用场景:非递进关系网站 2、主从分布式:不同的机器类型做不同的动作,例如主机器只 阅读全文
摘要:
app下载地址:aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzY2MjI2Mjg= 一:App抓包:这不是重点,直接略过,查看抓包内容 点击查看代码 { "appid": "app", "aru": "*************", "data": "PhPsJ 阅读全文
摘要:
1、网站链接 aHR0cDovL2N0YnBzcC5jb20vIy8= 2、网站解密的方式比较新颖,之前没有遇到过,记录一下 1.网站抓包分析 从图中看出返回参数为加密值,数据信息是解密后返回,那么看一下堆栈找一下解密点 框框二中的都是一些vue.js的模块,我们省略关注,然后在第一个框中找解密点, 阅读全文
摘要:
url:aHR0cHM6Ly93d3cucWltaW5ncGlhbi5jbi9maW5vc2RhL3Byb2plY3QvcGludmVzdG1lbnQ= 网站分析 1、抓下网页的包:找document和xhr请求,发现有两个xhr请求返回的是相同的一串字符串 加密值为encrypt_data,因此在 阅读全文
摘要:
这篇不讲图片的还原和滑动轨迹的模拟,直接分析js逆向加密点 1、首先滑动验证码查看请求,发现主要的参数为w,接下来本篇就围绕着w的生成 查看堆栈打断点,最后的第四个堆栈,找到加密点 由代码可以看出:w值为 h+u,h的生成又跟l的有关,最后w参数变为了分析三行代码 var u = r[$_CAGEe 阅读全文