- 博客(3)
- 收藏
- 关注
RSS订阅原创 记一次CNVD证书挖掘
了解了JWT token是如何构成的之后,我就想着,我是否可以自行构建一个token,从而绕过登录,直接进入后台呢,但是想要生成一个JWT token,密钥部分是必不可少的。这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串(头部在前),然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。随后我编写了一个nuclei脚本(脚本在文章末尾),尝试用这个token去访问所有我能获取到的nacos站点后台,均能成功。
2023-06-30 03:21:36
1039
2
原创 分享一个python提取二级域名的小脚本
最近挖洞喜欢广撒网,但每次用鹰图导出的数据,域名都是n级域名,查权重一般都是根据二级域名进行查询,之前只能自己手动一个一个删除,看着上千条数据,内心一阵mmp。为此特地苦学三天python基础语法,终于写出一个可以提取二级域名的小脚本。(完整代码在文章结尾)
2023-03-08 19:45:40
773
原创 记一次心情跌宕起伏的挖洞
这里解释一下为什么要打包上传:因为war包部署后会在Tomcat的WEB根目录创建解压生成一个名称a目录,war包中的恶意木马a.jsp在a目录下。
2023-02-15 02:13:18
191
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人