第一次 个人app
一次远程桌面连接不上的问题处理
一台WIN2016,从客户端死活用mstsc远程连接这台WIN2016报错,报的是内部错误 小弟去了几次也没解决,网上各种办法都试了,就是不行,我过去最终重置了winsoc才可以,一条命令解决了问题如下图 这个命令的解释如下,还挺有用的,分享出来,知其然还得知其所以然 sc winsoc reset ......
记一次收割BC天恒盛达
0x00 前言随着菠菜类违法站点的肆虐,让无数人妻离子散。为此,献上一份微薄之力,希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子,除了外包以外就是天恒、大发几套程序模改的。 ......
记一次 .NET某收银软件 非托管泄露分析
一:背景 1. 讲故事 在我的分析之旅中,遇到过很多程序的故障和杀毒软件扯上了关系,有杀毒软件导致的程序卡死,有杀毒软件导致的程序崩溃,这一篇又出现了一个杀毒软件导致的程序非托管内存泄露,真的是分析多了什么鬼都能撞上。 前几天有位朋友找到过,我他们的程序内存在慢慢的泄露,最后程序会出现崩溃,不知道是 ......
App渗透 - 人脸识别登录绕过
一、APP抓包和逆向破解加密算法打开APP是一个登录框抓包后发现参数被加密了使用Jadx脱源码发现,并没有加壳也没有混淆,运气很好根据经验,先搜索Encrypt、Decrypt等关键字,发现在Common.js中有一个encryptData函数定位过去,一套加解密算法都写好了放在这放到浏览器cons ......
记一次分析网贷诈骗链
0x00 概述 某天,一位网上朋友告诉笔者,他被骗了。被骗方式很独特,因为自己没钱所以选择贷款,在贷款过程中惨遭诈骗。 诈骗短信: 0x01诈骗过程(此处受害者用小辉代替) 某日,小辉手机收到一条关于网络贷款的短信,恰逢月底,捉襟见肘,小辉没忍住诱惑下载打开了app。注册好账号,填写好身份证号、手持 ......
记一次对钓鱼诈骗网站的渗透测试
一个学长前几天不幸在钓鱼网站中招被骗走一些资金,在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架,直接找到ThinkPHP对应版本的Exp进行尝试:http://www.hu*****.***/index ......
记一次对某灰色产业cms的代码审计
一、目录结构 首先我们先看一下结构,system文件夹下有相关代码。我直接给大家看一下漏洞吧。二、审计出洞1、购物车异步获取信息 - SQL注入system\modules\member\cart.action.php 虽然本身是过滤单引号但是在这里并没有用单引号保护起来所以这里是一个注入,并且没有 ......
记一次网络任务赚佣金骗局到溯源到个人的渗透实战
在鹰图中找TSRC资产准备挖腾讯SRC时候看到此站点域名:qq.com.xxxx.top,标题为登录第一感觉不是正经站应该是钓鱼站whois查询到的webpack打包的这种站点基本都会有一些测试账号,试了试18888888888密码123456看到这个基本确定这就是个做任务赚佣金的那种,主打的就是一 ......
记一次对某个未成年禁入app的渗透测试
0x01 thinkadmin历史漏洞复习已经找到对方的app的后台地址是thinkadmin,因此我们需要去复习thinkadmin的历史漏洞。CVE-2020-25540https://github.com/zoujingli/ThinkAdmin/issues/244利用POC如下https: ......
APP分发一些坑和注意事项
app分发是很多app开发类的企业都会经常用到的一种平台,通过把开发好的app上传至分发平台进行内测下载,当你app的一时半会无法上架的app商城的时候,可以通过app虾分发平台暂时解决用户下载的问题,随着对个人信息保护和监管逐渐严格,苹果与各安卓商店对App审核都严格了很多。需要注意的是,很多分发 ......
记一次对某色X直播APP的渗透
在一个风和日丽的晚上,正兴奋逛Twitter的我,忽然发现下面推荐关注有这么一个xxxx视频的名片。这这这这,我可是正经人,不知道Twitter为啥会给我推送这些。这必须盘他,打开推广链接,辣眼睛,下载该app。这app一打开就给人一股熟悉的味道,一看感觉很有可能是tp二开的。注册手机号fiddle ......
记菠菜积分商城的一次渗透
拿到目标站这个页面还没开始就已经准备放弃然后咱看右上角有个积分商城,心如死灰的我点进去看到这个页面直接摔门出去抽烟十分钟[别问为什么一问就是之前没搞成开始信息收集吧拿到这个积分商城把域名放进fofa得到真实ip以后找到了宝塔后台登录面板然后用域名/ip对目录进行扫描[御剑超大字典那款]看着语言栏勾选 ......
create-react-app react中使用monaco-editor v0.44
在通过create-react-app创建的react应用中使用monaco-editor v0.44 下载包: npm i monaco-editor npm i monaco-editor-webpack-plugin 安装插件: 使用craco自定义webpack配置 npm i craco ......
对某菠菜网站的一次渗透测试
无意间发现一个thinkphp的菠菜站,最近tp不是刚好有个漏洞吗?然后就顺手测试了一下,但过程并不太顺利,不过最后还是拿下了,所以特发此文分享下思路。0x00 一键getshell简单看了下,应该有不少人玩吧?正好前几天写了个测试工具,先掏出来测试一发。工具显示存在漏洞一键getshell,看起来 ......
[RFC6238] TOTP: 基于时间的一次性密码生成算法
原创 翎野君 翎野君 2019-03-28 22:42 在闲暇时间做了一个TOTP相关的开源项目,在项目初步完成之余,我尝试对[RFC6238]文档进行了翻译,供大家参考与查阅,若有不妥之处,还望各位前辈海涵斧正。 生活中我们会经常使用到TOTP的算法应用,如银行的动态口令器、网络游戏中的将军令、登 ......
记一次金蝶云星空二次开发的基础资料,插入了150万数据后,业务单据操作后台创建基础资料保存报错
业务说明 二次开发的基础资料,插入了150万数据后,创建资料保存报错。新创建资料的主键在插入的数据里。因为是销售出库单审核就要创建资料,导致销售出库审核时提示插入了重复键值。 官方帖子: 系统运维.数据库.修复种子表(单据) (kingdee.com) 系统运维.数据库.修复种子表(基础资料) (k ......
H5APP请求部分js脚本出现502情况问题排查
1. 问题现象 公司客户APP内网部署,集成到公司客户办公APP,如果想要外网访问APP,需要通过指定的地址,估计是反向代理,具体的我不是很清楚。 昨天突然出现无法进入APP的问题,经过排查发现是部分js文件请求失败,报502错误 2. 排查思路 首先排查服务器与网站是否正常,远程发现网站运行正常, ......
第一次作业
陈春君的第一次作业 这个作业属于哪个课程https://edu.cnblogs.com/campus/zjlg/23rjjsjc 这个作业的目标 1. 创立自己的博客,完善账号信息2.发表随笔,介绍自己以及表达对课程的期望 姓名-学号 陈春君-2021339930005 一、自我介绍 个人信息 我叫 ......
第6天:基础入门-抓包技术&HTTPS协议&APP&小程序&PC应用&WEB&转发联动
安装charles 到Windows本地: 安卓模拟器安装: 如果抓模拟器就要使用从远程主机,如果不是,则从所有进程 访问 谷歌浏览器安装证书: 41:43 :如何将charlet数据,带外代理到burpsuite ......
一次采用commons-codec对明文进行加密的艰难之旅
背景:因为业务需要,需要对java工程,用到的配置文件的明文,进行加密。 在网上找到的通过的commons-codec-1.11-sources.jar的Base64类,进行加密解密 public class AESUtil { private static String sKey = "XXX45 ......
ohpm : 无法将“ohpm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次。
ohpm : 无法将“ohpm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。 造成该问题有两个: 没有配置好 ohpm 的环境变量。 没有配置好 PowerShell 安全策略的原因。 两个步骤都要做好,才能真正解决问题。 问题1:配置环境变量 安装 ohpm 之后,不能直接在命令行中 ......
蛋壳追踪给你的app集成免填邀请码功能,邀请裂变效果嘎嘎好
App裂变营销中填写邀请码环节带来的用户流失难题 一、背景 在当今移动互联网时代,App成为了人们日常生活和工作中不可或缺的工具。随着市场竞争的加剧,App的推广和增长变得愈发困难。裂变营销作为一种有效的推广手段,被广泛应用。但在裂变营销中,填写邀请码环节常常成为用户流失的“重灾区”。 是的,邀请码 ......
如何实现APP安全加固?加固技术、方法和方案
如何实现APP安全加固?加固技术、方法和方案 本文我们着重分享App安全加固的相关内容。 (安全检测内容) 通过前面的文章我们知道了app安全检测要去检测哪些内容,发现问题后我们如何去修复?如何避免安全问题?首先我们先来讲一下APP安全加固技术。 Ipa Guard是一款功能强大的ipa混淆 ......
个人常用配置
vscode相关配置文件 launch.json文件配置 { // 使用 IntelliSense 了解相关属性。 // 悬停以查看现有属性的描述。 // 欲了解更多信息,请访问: https://go.microsoft.com/fwlink/?linkid=830387 "version": " ......
某电商app的sign分析
定位sign关键位置 抓包后看到sign的值为16个字节,猜测应该是一个md5 可以通过hookNewStringUTF利用字符串长度筛选定位到关键位置,也可以通过url中的关键字段去定位组包位置。这里利用后者,搜索x-api-eid-token字段,注意这里最好使用此url特有的字段,这样好筛选。 ......
如何对APP进行安全加固
如何对APP进行安全加固 引言 如今,移动应用市场蓬勃发展,APP数量呈现爆炸性增长。随着5G技术的广泛应用,APP的增长趋势持续增强。然而,由于APP的泛滥,网络攻击者的目标也在逐渐转移,数亿的移动互联网用户面临着病毒攻击的威胁,手机APP的安全形势变得更加严峻。 移动应用中存储着大量敏感数据 ......
园子开店记-周边第一款:鼠标垫设计图出炉
一边会员救园,一边尝试开网店,为了让这破园子能生存下去,我们在努力着。 万事开头难,开头起名难,而我们却在开头第一步就摔了一跤,起了一个糟糕的名字。在园友们雪亮的评论中我们意识到自己的错误,于是改繁归简,返璞归真,淘宝店铺名称用了最简单最熟悉的“博客园”。原来开头并不难,是我们自找难题。 ......
大模型实战营第一课心得笔记
1、了解专用模型和通用大模型,以及书生浦语大模型开源历程、轻量级、中量级以及重量级三种不同大模型系列,和其他大模型的性能对比。 2、了解从模型到应用的主要步骤以及书生大模型各步骤采取的主要技术,如训练数据,预训练、微调、开源评测体系等。 3、现有的疑问:书生中量级的使用商业成本以及具体功能性能表现, ......
uniapp的app苹果应用商店上架最简教程
除了测试版本之外,uniapp打包好的ipa文件是无法直接安装在普通用户的手机上面,这是苹果的证书和描述文件的机制的原因。 因此我们需要将打包好的ipa文件上架到苹果应用商店,也就是app store。 下面我整理了一篇全程不需要mac os电脑参与的上架苹果应用商店的教程。 教程的第一步,首先需要 ......
InterLM训练营 第一课笔记
大模型在ChatGPT发布之后,成为今年最热的话题与研究方向,也有人把今年称为AI元年 通用大模型 书生·浦语大模型 开源历程 书生·浦语大模型系列 性能 从模型到应用 针对上述的步骤中所用到的不同技术,提供了不同的开源框架 数据 预训练 微调 评测 OpenCompass 部署 智能体 Lagen ......