https://www.hktlgbet.com/
Table Of Content 滲透博彩APP1 TLGBET電博娛樂城體育博彩資訊|腳球下峯女兒 TLGBET電博娛樂城21點 PP:若何成為一個下手並在賭桌上稱霸 滲透TLGBET電博娛樂城博彩APP1 一、前言 過年回家飯局上遇到一個原來心儀的妹子,雖然已經4、5年沒見面了,妹子見到我還是分外親熱,不僅主動挨着我坐着,居然還邀請我一路玩遊戲,心中竊喜不已,哥們王者剛上了王者星耀,先好好炫一下技術,然後…… 妹子就給我發來了這個: 2、目標闡明 在 Android 模擬器上安裝遊戲,配置好 burpsuite 代辦代理,並開初用 wireshark 抓包進行流量闡明。啓動遊戲,發現 app 會通過 www.game1579.com 進行身份認證並獲取遊戲根基信息,另外一個URL是 。 簡單測試了一下已知的幾個API,未發現明顯毛病,異時發現該伺服器安裝有平安狗。 繼續闡明流量,發現了一個比較關鍵的功能:用户通過微信登陸成功後,APP會把用户頭像上傳到伺服器上,在APP添載的時候從WEB伺服器上讀取用户頭像。而文件上傳的操作,是通過/Public/XmlHttpUser.aspx這個API來完成的。 三、過程 1) 任意文件上傳配合web.config繞過平安狗getshell 毛病位置: filename參數
Like
Comment
Share
