首先,让我们抱怨。最近,我在FB上阅读了这篇文章。通常,底层有越来越多的概念。有许多难以理解的概念,没有勇气打开它。 Web级别上的文档越来越少,价值也越来越少。这最近已反映在法典信托基金中。 PWN是世界上最好的..网络问题的基本难点是大杂烩。汇总一个问题) 也许现在有更多的圈子可以盈利,各种小圈子的收费是共享机制(我觉得这个机制非常好,技术也是无价的。) 好的,这是..我现在就知道了。 所谓的投标测试,你测量的洞越多,安全测试就越好,与渗透不同。它似乎有点圆,例如,横幅泄露,apache版本泄露,这种基本无害也可以算是漏洞,也可以加分。 没什么可说的,开始测试(以下可能有点尴尬,很容易让大家看到。),我直接用手机测试过。 第一个坑: 访问微信小程序会显示访问超时? 说明网站使用https,你需要通过证书,安装没问题。 完成后,我愉快地打开了我的小程序,发现TM数据包已加密。我开始测试的是情绪低落。我发现测量中只有一些漏洞,而且真的很疼。幸运的是,在我的夜晚的研究中,我去了深夜,发现了加密方法和密钥(据说是动画到12点) 第二个坑: 如何获取微信applet的加密方法? 微信小程序包实际上存储在本地。只要访问微信小程序,他的包就会自动下载到本地。检查了半天的数据后,我终于将wxapkg包下载到本地,然后下载了解包工具,就可以得到小程序前端的代码(最好不要使用nodejs解包方法) 使用前端代码,从JS中提取加密方法,密钥等非常简单。它是ECB加密。将数据包放入解码中,最后解码。我看到了解码的JSON字符串。我想最终能够衡量业务逻辑漏洞。所以第三个坑来了。 第三坑 这个坑给了我一个晚上,因为这不是我的问题,这是解码网站的问题。 (这也是本文吐出的主要场所)首先连接两个解码站点:http://tool.chacuo.net/cryptaeshttp://www.seacha.com/tools/aes.html
从图中可以看出,加密数据由密钥解密,结果值相同。 然后看下面的图片:
确实,互相翻译和解密没有问题。 看下面的另一张图:
看看这张照片,我可能遇到过形而上学。这还是ECB吗? 添加双引号有这么大的区别吗?然后看下面的图片:
看完这张照片之后,我吐了一点旧血,你甚至把我编码..我接过了。 我们来谈谈下面的原则。上图左侧部分的网站将转换我输入的{a=b,c=“d”}中的双引号,首先是html,然后是ECB加密。 所以这里有一句话,上面并不需要理解,记住:我们将使用这个网站进行解密。 还有一点,如果您觉得网站非常麻烦,您可以将解密集成到打嗝中,这很方便。
文章不涉及技术,只涉及思想,每个人都有兴趣按照想法做事,踩到自己的坑,毕竟,如果我把所有的步骤放在地图上,一步一步将限制思路大人物。 顺便说一句,SRC的活动最近已经出来了,可以去赚钱了。 文章中的任何错误或彼此讨论的知识都可以在评论中加以评论。 *作者:一只老鼠 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。