# 前言

这周挖了一星期的金融众测,挖的脑壳痛,因为我是挖的最后一轮众测,漏洞差不多都被提交完了,只能咬着头皮一个一个网站的看,而且关了很多站了,资产少得可怜。

# 实战

第一天直接从比较薄弱的小程序入手,纯纯没啥收获,记得看了很多,做了很多工作,结果空空如也。红队大哥也没挖出啥好东西,只能甩 0day 搞点漏洞。

第二三天直接从网站入手,解析了很多网站,硬是一个一个点开看的,而且一些站点已经关闭了,不论是扫描还是到处点击功能点,查看接口,js 等等,都没有发现啥东西。

第四天开始从 app 入手了,直接反编译之后发现了一些接口,发现一些密码写死,不过好像是测试账户,又发现了一些 cer 泄露,最重要的是 app 可重打包,但是可能是写入版本为 31,要加 v2 签名,没搞好。安装失败。还进行了一些源码审计,发现大部分是 private,没法利用。继续审计,终于发现了一处接口,任意用户查询,只要知道用户名就能输出该用户敏感信息,构造这数据包挺复杂的,花了我老一会时间分析。我都不敢叫它 0day。

第五天继续代码审计,实在没有啥利用点了,还有其它大佬一起审计,也是审出了其他的东西。快点的结束吧,挖不动了。

# 总结

这一周的高强度的众测,对我的漏洞挖掘 (web、小程序、app)、代码审计等方面都有很大的提升。虽然难度挺大的,但是在挖掘过程中通过不断思考,一个个数据包的分析,总归是收获满满。最后我提交的洞因为对应 web 站点要关闭了,反而不收相关漏洞了,服了。挖了几天的心血就没啦。只能当一个小小小 0day。