挖洞日常 | 记一次某yp网站浅挖

文章预览

0x01 前言         起因是在微信群看到有师傅问个代理无法抓包的问题。 0x02 漏洞发现 用师傅给的链接代理抓包试了下，发现是：connection reset 遇到connection reset可以考虑被防火墙拦截或其他什么拦截了，我这里情况是因为本地内网代理问题，不知道那个师傅是不是这个情况。 解决问题，用google正常（不走代理）访问，F2 Network查看Remote Address确认是不是存在上层代理地址，我这里不是本地地址127.0.0.1，而是内网代理地址，记录该ip地址及端口 将记录的ip在user options添加一条记录，如果你这个上层代理有登录认证的话需要填username等，没有的话直接添加ip及端口。 添加完后就可以挂bp代理抓包了，解决connection reset。 对师傅搞的yellow诈骗站也挖了下，发现一些东西，实在涩涩死我了 在前端代码的发现文件服务路径/plate/ 访问路径发现有些东西，其中有log ………………………………