摘要:
前言 随着移动应用的发展和推广,APP应用安全越来越受到重视。APP中各类防抓包的机制的出现,让测试无法正常进行分析。 这篇文章算是总结一下我最近遇到的一款抓不到包的APP,给大家提供一个双向证书认证应该如何解决的思路。 判断证书双向认证 刚拿到此app时候常规方法一把梭,发现只要一开启手机代理,却 阅读全文
摘要:
01 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不 阅读全文
摘要:
今天测试一个https网站的时候,发现通过burpsuit中转的数据包没有返回值,这是什么情况,刚开始以为是网站做了https双向认证,在错误的思路上面测试了好久,想把网站的证书导出来,然后导入到BP里面去,但是网站证书只能导出为test1.cer格式,使用证书转换工具portecler提示需要密码 阅读全文
摘要:
前言 记一次Apache Flink任意Jar包上传导致远程代码执行复现漏洞过程。 作者一直致力于小白都能看懂的漏洞复现过程,感谢大家们一路以来的支持! 致谢Cx01、丞相等表哥们。没有你们的帮助,没有这篇文章! 0x01 漏洞描述 近日,有安全研究员公开了一个Apache Flink的任意Jar包 阅读全文
摘要:
前言: 本篇文章是关于一次渗透测试中意外getshell的记录,属于ueditor v1.3.x 的aspx语言的非网上流传的getshell方式。由于当时在网上搜索并未发现该种getshell方法,故分享给各位。 经过: 起因是针对某客户网站进行渗透测试时,发现了一个ueditor编辑器路径,并且 阅读全文