Kawa103的博客

修改后的： 修改前的，进入需要等待 上图是根据全局搜索关键词“This is a 30 day trial version”找到，由这个方法showRegistrationStatus得知主要是注册了就不会显示免费三十天，可见kKPk.lcJx()是控制是否注册了的关键点 具体详情可以看这里(http://www.520monkey.com/archives/1295)，我都是参...

每次寻找漏洞的时候，我都喜欢从抓包开始 噢噢，这里有点尴尬~~请求和返回的数据都进行了加密处理，这波操作我挺喜欢的，证明人家公司的开发人员还是有点安全意识的，不过没有关系，他有张良计,我有过墙梯，先反编译一波看看，使用的工具是 jadx 很明显，app用了360加固了，哎，在以前，有加固的应用我基本会放弃的，不过现在没关系，脱壳呗 我用的脱壳源码在这里 https://githu...

前言：在对其他应用进行渗透测试时，有些字段不同的值可以代表不同的意思，比如说普通用户和VIP用户，userType等于0是普通用户，userType等于1是Vip用户，这种情况如果是普通用户的话，可以改变返回的响应请求参数就可以达到看到Vip用户的效果了。 由于我没有相应的接口进行测试，下面就随便用一个接口了，反正原理一样的 第一步：先抓取需要修改数据的接口，之后保存Response返回的数据，...