黑客教你查询某人信息(微信号查手机号黑科技)

访客7个月前微信接单黑客99
1. QQ空间某处正则混乱,导致恶意构造。2. QQ空间某文件存在潜在风险3. 1+2 = 此漏洞详细说明:1. 一开始的目标是这个http://b.qzone.qq.com/cgi-bin/custom/modify_custom_window.cgi,这个页面是用来修改QQ空间模块内容的。这里我选择提交的是FLASH模块。 由于此请求,每请求一次都需要输入一个验证码,所以没办法直接在抓包工具里修改并发送。所以最初是用调试工具去修改DOM属性,然后写自定义值来一次一次的试,后来实在觉得太麻烦了,就自己临时写了个小工具。以下测试均用此工具进行,如下,2. 开始试了此请求的几个参数(这里的参数是指qzml所发送的xml里的若干属性,例如width, height ,wmode etc ..),都被过滤了, 后来懒么,就把能写入内容的都改成了'\/..,结果侧漏了。。测试的qzml请求参数大概是这样:encodeURIComponent('xxx" height="\'\/" loop="\'\/" waitforclick="\'\/" wmode="\'\/"/>'.replace(/\s/g,"+")).replace(/%2B/g,"+");侧漏效果大概如下:(反正是类似这个效果,懒的回去抓图了。)3. 开始分析侧漏原因。 发现height属性把其它属性都吞掉了。 于是其它参数复原,单个测试height,在height里加入单引号时, 服务器端的正则貌似就凌乱了。 同样有此现象的还有swfsrc 。因为服务器那边是怎么匹配的,不清楚, 于是就开始各种构造测试,看服务器端输出。反正测试了挺久。 具体就不详述。 因为服务器端输出的embed标签里,总是带着allowscriptaccess="never",导致我们调用的FLASH来执行脚本,所以最终目的,就是想用height来屏蔽掉allowscriptaccess="never" 。

相关文章

怎样同步老公的微信记录到自己手机(如何与老公微信同步)

我们知道在asp中出现得最多的还是sql注入,不过在php中由于magic_quotes_gpc为on的情况下特殊字符会被转义,所以即使有很多时候存在sql注入也无法利用。但是php强大的文件操作功能...

查老婆是否开过房(查到和谁开过房)

net use $">\\ip\ipc$Content$nbsp;" " /user:" " 建立IPC空链接net use $">\\ip\ipc$Content$nbsp;"密码" /...

两台手机共用一个微信的方法

很多人在现在这个社会上都有一些不安全感,毕竟现在的社交成本非常的低,只需要在网络上进行陌生人的添加,然后只要你的聊天方式足够有趣,就很容易吸引到女性的关注,并且发展成一种暧昧的关系。于是很多人为了防止...

一个手机可以登两个微信吗

很多人都幻想着一个微信能在几个地方同时登陆,尤其是一些想要工作或者想要调查别人微信的人。但是一个微信想要在多个地方登录,这种是不现实的,由于这种情况是不被腾讯允许的,所以腾讯做了一些限制一个微信只能在...

如何调取老公微信聊天记录

当人们的生活水平不断地变高以后,人们的出轨的欲望就变得越来越强烈,尤其是现在的生活水平如此的好,交通交流也比较的方便。来了很多女性朋友,一个错误的信号,觉得外面世界的女人总比自己家里的老婆好。因此很多...

二十四小时接单子的网络黑客在哪里?找黑客一般花费多少钱

不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。