浅谈一次edusrc | 文件上传成功getshell
💡
原文中文,约2600字,阅读约需7分钟。
📝
内容提要
本文介绍了微信小程序的漏洞挖掘,重点讨论存储型XSS和文件上传漏洞。作者分享了Proxifier工具的使用方法及注册码,并提供了基础的渗透测试思路,适合初学者。强调小程序的漏洞挖掘相较于web应用更为简单,同时提醒读者注意合法性和安全性。
🎯
关键要点
- 微信小程序的漏洞挖掘相较于web应用更为简单,适合初学者。
- 存储型XSS漏洞在微信小程序中较为常见,特别是在上传头像和身份证信息的地方。
- 使用Proxifier工具进行抓包,提供了注册码和配置方法。
- 通过上传.html文件可以触发存储型XSS漏洞。
- 文件上传漏洞可以利用上传jsp木马进行getshell。
- 文章内容偏向基础的漏洞挖掘,适合刚入门的学习者。
- 强调合法性和安全性,未授权的攻击属于非法行为。
➡️
