实战 | 渗透某游戏、拿到充值权限

最新推荐文章于 2025-03-11 14:40:40 发布
最新推荐文章于 2025-03-11 14:40:40 发布
阅读量2.7k 收藏 15
点赞数 3
分类专栏: 笔记 Python基础教学 爬虫入门教学 文章标签: python 安全 渗透测试 经验分享 恰饭
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaahtml/article/details/116982148
版权
本文分享了一次渗透测试的过程,从抓包、XSS尝试到利用网站逻辑漏洞,最终获取游戏充值权限。作者强调了技术交流的合法性,并提供了相关资源链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面的话

因法律原因,本文中所提及技术的关键步骤已省略,且在无危害的封闭环境下模拟进行。本文仅供技术交流,请勿用于商业及非法用途,如产生法律纠纷与本人无关。

很多文章不能更新至CSDN,可以关注我的同名公众号(程序员启航)

一直找不到目标站点,昨天下午收到的一条微信之后突然有了目标

Image
Image
还是老规则 下载了APP 这里提示下注意事项

因为这种APP是自动采用微信账号登录 且苹果手机登录前需要申请数据网络权限

所以在进行抓包前 ,需要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法登录微信

Image
进入APP后、 首先对APP内部通过http请求获取或得到数据的接口进行了测试, 也测试得到APP走http请求的IP为 ,阿里云服务器IP地址

注意事项 碰到阿里云服务器(不要进行端口扫描,不要进行网页路径探测)

因为这两点都会让阿里云封你的IP 首先对反馈接口进行了抓包 丢入了XSS

最低0.47元/天 解锁文章
【Unity实战篇 】| 2.5D游戏是如何做出来的呢,2.5D游戏快速制作教程
努力前行,总会成为自己心中的那道光
08-09 8万+
玩过游戏的朋友都知道,市面上最常见的游戏多数分为2D和3D两种。 2D和3D游戏之间的差异大家都知道,一个是类似纸片游戏属于二维层面,另一个则是在3D立体空间中游玩。 其中还夹杂着一个2.5D游戏,本篇文章就来讲一下怎么通过Unity进行2.5D游戏是怎样的以及如何制作2.5D游戏。 制作方法很简单,文中使用到了Tile Map Editor制作2D地图,通过控制相机角度来形成伪3D来制作2.5D效果的游戏。 下面就一起来看看到底是怎样制作的吧!
《C/C++实战专栏》介绍
热门推荐
dvlinker的技术专栏
07-31 14万+
本文详细介绍《C/C++实战专栏》的主体内容构成。
某棋牌站点简单渗透
m0_59757868的博客
03-27 3319
前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。sql注入:该站点如果有师傅打过,肯定有感觉的。登录框这里存在sql注入,sqlmap跑一下。但是这里只是一个延时注入,是dba权限这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令xp_cmdshell上线:开启xp_cmdshell:admin';--执行命令判断出网:admin';
渗透某德棋牌游戏
weixin_43639741的博客
05-20 1万+
声明 本文章纯属虚构,如有雷同不胜荣幸,文中一切观点,纯属于作者瞎想与作者本人无关,大牛误喷,不带节奏谢谢!愿互相帮助共同进步 一直找不到目标站点,昨天下午收到的一条微信之后突然有了目标 还是老规则 下载了APP 这里提示下注意事项 因为这种APP是自动采用微信账号登录 且苹果手机登录前需要申请数据网络权限 所以在进行抓包前 需要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法...
抓包抖音充值接口,实现微信支付宝充值抖币收款通道
最新发布
2501_91048859的博客
03-11 431
相比抖音充值抖币接口,yy充值y币的风控就小很多,可以忽略不计,所以开发上也顺利很多。 把调用的相关接口和参数在这分享一下,具体的实现逻辑直接抓包、模拟请求挨个做下去就完事了。 以微信支付为例: 1.第...
棋牌网站实战渗透
m0_71953083的博客
11-19 1997
某棋牌网站后台渗透实战
某棋牌渗透测试
黑战士的博客
06-20 779
通过图3-1得知存在Sql注入漏洞且是mssql数据库,接下来查看对方是否数据库为dba权限,如果是尝试os-shell获取对方服务器权限。出此文章的初衷也是为了告诫在玩棋牌、dubo或者有想去玩的xdm不要去参加,网络db终害己、踏踏实实赚钱才是明路!由于手工进入后台无法getshell,这里使用AWVS扫描出的Sql注入进行测试。图 3-1 Sqlmap测试图。图 3-3 os-shell。图1-1 fofa资产收集。AWVS测试发现Sql注入。图2-4 AWVS高危漏洞。图 3-2 DBA权限图。
优秀运维脚本
小司机的奥拓
04-16 910
会显示出该进程名包含的所有线程。
实战 | 记一次对iphone手机游戏渗透测试
leah126的博客
02-10 1848
各位师傅好,我是女鬼水妖,某高校大二学生,热爱网络安全,主攻红队方向。账号密码就是为了获取 _session,同时 _session 是固定不变的 所以就可以说这个 _session 可以绕过来进行。再加上我本来是比较喜欢打游戏的,经过某公司渗透授权,对此游戏进行渗透测试。1. 移动端游戏是比较少进行渗透,我相信漏洞也是很多的,师傅们可以自己去挖掘。我们的目的不是登录其他用户的账号,我们是看是否能直接进行对数据库进行读取。先进行登录,发现它居然是用明文传输,没有经过其他加密算法进行加密。
实战渗透-一次拿到webshell后艰难的提权
qq_29437513的博客
07-25 2209
记上一篇,拿到webhshell后,数据库是dba, 本地上传一个cmd.exe组件上去后,执行失败 网上很多说改路径,写的也写不明白,想到之前迪哥用过的大马提权, 环境是php,但支持asp,有iis组件, 发现 D://recycle可写,传一个cmd.com组件执行命令 权限真的很小,是 nt service 网络用户权限,ns的权限是不能执行net的 支持的组件,提权的时候用的找 ===================== 查看systeminfo,发现有200多个补丁,准备打溢出,目标机是可以
Unity手机游戏开发:从搭建到发布上线全流程实战
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!想进粉丝福利群及免费送书群,直接私信我拉你。交流学习、商务合作:https://bbs.csdn.net/topics/614347534
01-21 1万+
Unity手机游戏开发:从搭建到发布上线全流程实战
最新网页游戏免费充值教程
07-24
最新网页游戏免费充值 基本大不分最新网页可以用这个方法
利用游戏软件注入漏洞渗透安卓手机
Cwillchris的博客
05-27 1638
实验环境: kali攻击机(192.168.98.30) window目标机(192.168.98.35) Evil-Droid工具 3D摩托安装包 实验步骤: 1、禁用IPV6 echo "net.ipv6.conf.eth0.disable_ipv6 = 1" >> /etc/sysctl.conf sysctl -p ifconfig 2、安装Evil-Droid工具 xshell上传master 解压并进入目录 unzip master cd
实战对某棋牌app渗透测试
黑战士的博客
07-22 2万+
某天无聊,看到朋友发过来一个信息,说要测试一个app。只扔过来一个链接,其余什么都没有。 就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到模拟器测试。 模拟器打开如下: 点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。 于是手机安装: 发现可以正常运行。实锤了是检测模拟器与手机。 app渗透
渗透国内某网络游戏服务器群记实
...::: X.U.S.T :::...
10-20 8805
没什么技术性,只是想说明现状  现在想弄钱的入侵者,似乎热衷于入侵网络游戏服务器,盗出游戏服务器程序或是数据库。国内的网络游戏企业,都应该招受过此损失,有暴露出来的,有没暴露出来的。但游戏企业对安全问题理解都十分片面,狭隘!  当然,不只是网络游戏企业。近一两年来,入侵者乐此不疲,各种商业数据的偷盗在国内几乎快形成一种"圈内产业"。不论是技术性还是行事组织性都与早年不可同日而语。需求与供应在这里似
APP游戏网站被入侵渗透暴力破解该怎么解决
weixin_67757219的博客
12-07 1750
最有人在问小蚁君当你的网站或者APP用户量上去,就会有人盯上你的用户数据,通过渗透的方式拿到你的用户数据,或者改数据。损失惨重。这就需要开发软件的时候就做好渗透测试,或者接入防御来解决,需要用安全产品来防御渗透入侵破解,接入简单,测试一下,这一块小蚁云安全还是相对比较专业的,同时防御ddos cc 多节点加速,防御全面。接下来咱们就先聊聊什么是渗透网络服务渗透攻击指的是:内存攻击中,以远程主机运行的某个网络服务程序为目标,向该目标服务开放端口发送内嵌恶意内容并符合该网络服务协议的数据包,利用网络服务程序内部
破解网页游戏充值漏洞/【Tryhackme】Gatekeeper(缓冲区溢出漏洞,firefox用户凭证信息破解)_详细攻防记录贴
程序员六七的博客
05-15 1431
本文渗透的主机经过合法授权。本文使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和渗透思路用于任何非法用途,对此产生的一切后果,本人不承担任何责任
通过minecraft拿到服务器root的简单渗透实战
qq_26128485的博客
08-04 5134
暑假没事,盘一下别人服务器
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 3184
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平静愉悦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值