- 简介
- 目录大纲
- 最新文档
AI拿下第一个SRC漏洞
0x00 前言 众所周知.......最近安全圈使用AI测试是越来越普遍了。也是不少听说,什么!别人用AI挖了几万块钱了,什么!还有AI审计的各种RCE漏洞...我不行了,我也眼红了,我必须也得要用上了,然后找各种公众号文章、B站视频,感谢各位前辈的无私奉献,也是让我用上了哈哈哈。不过刚尝到了一点小甜头,还是高兴的太早了,那么我就分享一下我个人使用AI赋能挖到的第一个漏洞,顺带和各位大佬们交...……
xiaodi - 2026年6月5日 22:15
JS逆向签名链到任意登录
初探接口:被 Sign 挡住的重放之路 测试登录接口时,首先尝试对「获取验证码」接口进行重放测试。使用 BurpSuite 抓取请求包后,直接重放发现服务端返回错误,无法再次获取验证码。 仔细观察请求头,发现每个请求都携带了一个 sign 字段: 直接开始逆向,先看下长度,32位,首先想到MD5加密 尝试关键词搜索sign,sign:,sign= 结果关联文件太多,不适合使用这种方式找;...……
xiaodi - 2026年6月1日 16:58
短信验证码缺陷到弱口令
废话不多说,开始复现,找到某个小学的小程序 是一个第三方平台,需要输入手机号才能绑定 而且输入对应的手机号会直接返回对应的学校,这样子就免地去爆破了,用一些常用地手机号手测一次即可,比如 00000000000,13888888888,18888888888 这些手机号一般都是管理员或者开发为了测试才会设置的 获取验证码,4 位数的,这里有个小技巧就是你可以故意输错几次,尝试登录一下,如...……
xiaodi - 2026年6月1日 16:56
小程序让地址校验失效
1 “舔狗的自述” 事情是这样的。 最近在挖某家新开的 SRC,小程序刚上线没多久,我寻思: “新资产 + 新业务,一般都比较有节目效果。” 于是打开小程序开始随缘乱逛。 一、第一眼:非常普通的购物小程序 整个小程序长这样: 说实话,第一眼看过去: 很普通。 普通到甚至有点困。 就是标准的: 商品 下单 收货地址 支付 这种电商模板。 二、一开始其实没什么思路 我最开始...……
xiaodi - 2026年5月15日 21:41
EDU证书985泄露越权
本期给各位师傅分享一期某985大学的证书站实战案例,作者再次感受到挖洞姿势不难,难的是找资产。看完这个文章,相信各位师傅后续也能收获漏洞证书。 详细过程见实战部分。 实战 在开始挖这个证书高校前,其实前期也摸排了很多次,最终通过在某个学院的门户下,找到了漏洞资产,fofa、hunter在前期测绘时并未找到此资产。 所以说,找资产是比较重要的,找到其他人没找到的资产,出洞的概率就会大大提升。 ...……
xiaodi - 2026年5月13日 18:00