内容简介:先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。有关Web层次有价值的文献越来越少了,这点最近在打CTF时候也体现出来了,得PWN者得天下…..Web题有点难度的基本就是大杂烩(把所有和Web相关的整合到一起出一道题)
*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。
先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。
有关Web层次有价值的文献越来越少了,这点最近在打CTF时候也体现出来了,得PWN者得天下…..Web题有点难度的基本就是大杂烩(把所有和Web相关的整合到一起出一道题)
也可能是现在可利益化的圈子比较多,各种小密圈收费即分享的机制(我感觉这种机制也挺挺好,技术无价。)
好啦,到这里了。。。从这里就开始入正题了。
所谓投标测试,重点你测出的漏洞越多越好,和安全测试一样,不同于渗透。好像有点绕,打一个比方,banner泄露,apache版本泄露,这个基本没什么危害的也可以算漏洞,也是可以加分的。
没啥说的,开始测试(下面可能点有些啰嗦,方便所有人看。),我是直接用手机测试的。
第一个坑:
访问微信小程序显示访问超时?
说明网站使用https,需要把证书传上去,安装就好了。
整好了之后开开心心打开小程序,又发现,TM数据包是加密的,怀着郁闷的心情开始测试,发现测完了只有几个漏洞,确实蛋疼。还好在我东哥夜以继日的的研究下,到了深夜两点,找到了加密方式和密钥(据说是看动漫到了12点多)
第二个坑:
如何获取微信小程序的加密方式?
微信小程序的包其实是储存在本地的,只要是访问过微信小程序,他的包自动下载到本地。在查了半天资料,终于把wxapkg包下载到了本地,然后随便下载个解包工具,就可以得到小程序前端的代码(最好不要用那个nodejs解包的方法)
有了前端代码,很简单的从JS里面调取出来了加密方式,密钥等,原来是ECB加密,把数据包放到了解码那里,终于解码出来了,看到了解码出来的JSON字符串,心想终于可以测业务逻辑漏洞了。就这样第三个坑来了。
第三个坑
这个坑坑了我一晚上,因为这不是我的问题,是解码网站的问题。(这也是这篇文章主要想吐糟的地方)先附上两个解码网站: http://tool.chacuo.net/cryptaeshttp://www.seacha.com/tools/aes.html
从图可以看出,加密数据,通过密钥解密,然后得到的值是一样的。
然后看下图:
确实没错,相互转换解密没问题。
下面再看一张图:
看这张图,我可能遇到了玄学,这还是ECB吗?
为啥加一个双引号就差这么多呢?然后看下图:
看见这张图之后我吐了一口老血,你竟然给我编码…我服了。
下面说下原理,上图左部分的网站,会把我输入的{a=b,c=”d”} 里面的双引号,先html转义之后,然后再进行ECB加密。
所以这里说一句,上面其实不用理解,记住: 我们要用这个网站解密。
还有点,如果感觉网站很麻烦的话,其实可以把解密集成到burp里面,这样可以方便点。
文章里面不涉及技术,只涉及思路,大家感兴趣根据思路去做一下,自己去踩一下坑,毕竟如果我把所有步骤图放上,按步操作会局限大佬们的思想。
对了,最近SRC的活动又出来了,没事的大佬可以去赚钱去了。。。。
文章有哪些错误,或相互学习讨论的知识可以在评论留言。
*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Introduction to Computation and Programming Using Python
John V. Guttag / The MIT Press / 2013-7 / USD 25.00
This book introduces students with little or no prior programming experience to the art of computational problem solving using Python and various Python libraries, including PyLab. It provides student......一起来看看 《Introduction to Computation and Programming Using Python》 这本书的介绍吧!
