[TOC]#CTL{\n}#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞，这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点，蛮多师傅对于这个漏洞还是比较陌生的，AppSecret是小程序的密钥，然后我们可以通过AppSecret获取access_token值，然后执行一些危害操作，如接口调用凭证、用户

[TOC]#CTL{\n}#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}哈喽，师傅们！#CTL{\n}#CTL{\n}这次给师傅们分享的是前段时间给某单位的一个众测项目，跟着几个大牛师傅一起做的项目，这次就给师傅们分享两个我自己挖的几个不敏感的漏洞，放上去给师傅们演示下，然后给师傅们分享下，让师傅们能够对短信轰炸/验证码可爆破/任意用户注册/spf邮件伪造漏洞有一个更加深刻的感

0x1 前言哈喽，师傅们！这次给师傅们分享的是EDU某人社局的漏洞挖掘复盘，给师傅们看看edusrc的人力资源人力资源和社会保障部信息中心的人社局相关的政府站点的漏洞进行一次漏洞挖掘的分享。这个漏洞挖掘的知识点不难，仅作为技术分享。0x2漏洞复盘一、某市场交易仿真培训系统源代码泄露这个文件泄露是通过灯塔进行域名相关资产扫描出来的，是一个仿真实验平台系统的源代码泄露，访问url可以直接下载下来，

0x1 前言今天也就是15号，出了某电力大学的漏洞证书（一大群人都在疯狂挖掘漏洞中，我也不例外），这不得去挖一波漏洞（早起的鸟儿有虫吃）。0x2 漏洞挖掘这里这个系统需要我们登录验证，所以需要使用身份证、学号、手机号进行校验。所以我们下面就是需要去找信息。身份证信息是先通过网上奖学金获得，然后获取到的姓名、学号最后通过抖音和小红书还有QQ，进行查找，最后得到的身份证、手机号信息这里使

[TOC]#CTL{\n}#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}哈喽，师傅们！#CTL{\n}#CTL{\n}这次又来给师傅们分享我的文章心得了呦，这次是给师傅们分享下js未授权漏洞挖掘的一个小技巧的汇总，然后也是会给师傅们分享几个案例，带师傅们更加深刻的理解和看的懂这个js未授权，然后再带师傅们去挖这个漏洞，从怎么挖去带师傅们掌握这个js未授权。#CTL{\n}#CT

[TOC]#CTL{\n}#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}哈喽，师傅们！#CTL{\n}#CTL{\n}这次给师傅们分享的是一个商城的0元购和SQL注入漏洞，写的还是蛮详细的，让师傅们都能够看的懂。这个零元购很多师傅都没有亲自去挖过，下面我给师傅们分享的案例，师傅们可以仔细看看，然后看完师傅们就可以多去那种商城测试下，然后打一波零元购，还有就是付款页面的前端校验，

[TOC]#CTL{\n}#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}哈喽，师傅们！#CTL{\n}#CTL{\n}这次给师傅们分享的是上上个星期的地级市护网的攻防演练的两个案例，涉及到的知识点可能比较偏，下面我也会提前给师傅们拓展下改漏洞相关的知识点内容。护网攻防演练中，涉及到的很多敏感内容这里会进行打码操作，然后这里简单给师傅们分享下两个攻防演练中的真实案例，也让没有打过

[TOC]#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}### 浅谈#CTL{\n}#CTL{\n}哈喽，师傅们好！#CTL{\n}#CTL{\n}这篇文章呢，主要是我在微信公众号通过关注的一些大牛子师傅发的公众号，文章写的关于spring-blade后台框架系统的menu接口存在的1day漏洞，一些sql注入和未授权漏洞等，然后写了相关魔改后的blade的漏洞的打法，对bla

[TOC]#CTL{\n}## 0x1 前言#CTL{\n}#CTL{\n}哈喽哇，师傅们！#CTL{\n}#CTL{\n}又又到更新技术小文章的时间了，哈哈哈。#CTL{\n}这篇文章呢，主要是讲如何通过信息收集进入门户网站的骚打法，然后文章里面写了很多的各种如何通过信息收集进行门户网站的姿势，写的很详细，因为渗透测试的最重要的一个环节就是信息收集，对目标资产的一个信息收集和资产的收集。#CTL

0x1 前言0x2 小程序反编译简介什么是小程序？app和小程序的区别有什么？小程序目录结构0x3 反编译工具篇1、wxapkg解包/解密工具简单使用2、PC微信小程序一键解密软件软件介绍3、wxappUnpacker反编译简单介绍0x4 实操演示1、浅谈xxxxx.wxapkg2、小程序反编译0x5 总结0x1 前言这几天在跟着师傅一起学习微信小程序的相关知识点，前面的微信小程序的漏洞挖掘蛮简单