iami233
iami233
文章149
标签36
分类4
校友邦小程序签到加密逻辑解析

校友邦小程序签到加密逻辑解析

通过抓包校友邦小程序实现自动签到一文,我们知道了签到和签退是通过请求下面这个接口实现的

1
https://xcx.xybsyw.com/student/clock/Post.action

其中请求头中 Cookie 我们可以通过接口获取,vn 为固定值,而 tsm 三个参数是通过代码生成的

Confetti 带来有仪式感的鼓励

Confetti 带来有仪式感的鼓励

最近在推上刷到了一篇关于福格行为模型的推文,感觉挺有意思的。福格行为模型是一种被广泛使用的行为设计方法论,它可以帮助人们更有效、更持久地做有意义的事情。

记一次JS逆向密码加密

记一次JS逆向密码加密

今天漫游某单位资产的时候,发现了一个站点,反手 admin/admin 测一下,提示 密码不正确,输入 admin1/admin1 提示 用户不存在 ,同时 验证码 还可以重复使用,这不得 top1000 跑一下

PHPStudy RCE 分析

PHPStudy RCE 分析

本质上是一个存储型 XSS 漏洞。通过 XSS 漏洞可以构造恶意 js 代码,在代码触发时自动发送添加 计划任务 的请求,从而实现 RCE

XSS

我们直接在用户名的地方填写我们的 xss 地址,点击登录即可

浅谈PHP反序列化漏洞

浅谈PHP反序列化漏洞

写在前面

如果反序列化过程中用户对某些参数可控,从而控制内部的变量设置函数,那就可以利用反序列化构造攻击。

1
2
serialize()     //将一个对象转换成字符串
unserialize() //将字符串还原成一个对象