Ax 准备工作
使用的工具如下:
- Charles
- Android
- Burp Suite
- 太极阴
- JustTrustMe
Bx 简单使用
怎么抓住人生的“变量”?
1.在Charles下设置代理的端口
2.分别在PC端和手机端安装证书
电脑端
弹出证书,点击安装,将所有的证书都放入下列存储-> 受信任的根证书颁发机构
手机端
手机端接入电脑使用的网络中,使用手动设置IP地址和端口,均为电脑端的IP和设置的代理端口(如上第一步的操作端口为18888)。
电脑端,打开Charles如下操作。
手机端,访问如下地址下载证书
下载证书后安装到手机。各种手机的设置不同,自行查阅。
如无法下载,尝试换一个浏览器,我就是自带的可以,谷歌不行。
3.Burp联动
设置于Burp相同的端口
Burp导入Charles证书
保存为xx.p12。设置一个密码。
Burp导入Charles证书
选择证书,输入密码,导入即可。
这时,会发现HTTPS的都是UNKOWN
1、android7以上不相信证书的问题,很多博客都有写
2、开了映射,在映射过程中出现了一些问题
装太极和JustTrustMe绕过SSL。
安装好JustTrustMe后,导入到太极阴中。
2023年2月28日 更新解决ssl无法访问问题
最好是证书什么的重新来一遍,电脑端对手机端的端口换一换,解决问题
打开Proxy - External Proxy Setting
可以看到,带有证书的流量。
Cx 人生的变量
这几天看三体,其中汪淼做实验时考虑的变量使我有所领悟。
恒量是什么,是死亡,是静态,世间万物,时刻都在变化。
人的体重不变,你吃饭了,体重增加,你运动了,经过能量的消耗,体重消耗,变量无处不在。
漏洞中的变量不也是如此
你看,市面上多数漏洞扫描工具都是工具POC去扫描,不变的是HTTP标准的请求包格式,变量是漏洞的特有特征
而站在厂商的角度,一些WAF设备也是根据这些变量,也就是特征去识别漏洞。
生活中的变量,给我们的启示:
有时,达成一个目标需要多个条件,或者说多个变量值符合才行。变量是复数,而变量值是单数。
就比如,我们打开一个网址,我们却无法访问,这是我们需要考虑到所有的变量才行。有时我们会遗漏某个变量,但我们需要全局考虑,从最简单的去考虑,不能局限。
- 无法访问网站A,试试能不能访问网站B,以此证明是否接入互联网。
- 无法访问网站A,也无法访问网站B,用手机访问或其他人都可以访问,依次证明是自己的问题,而不是外界的问题。
- 无法访问网站A,试试浏览器B访问网站A,以此证明浏览器是开了某些代理插件还是浏览器太菜导致无法访问,我推荐使用Chrome
- 无法访问网站A,却能访问网站B,切换内网或外网或VPN来访问网站A,以此来证明本地网络是否被防火墙策略拦截限制。
- 无法访问网站A,其它网络也无法访问网站A,其它人(的终端)也无法访问网站A,考虑网站A是否被Ddos还是下线了。
- 访问网站A加载慢,考虑是否处于请求峰值阶段,如活动双十一节点,春节抢票等等。
- 访问网站A加载慢,考虑服务器是否位于国外。
- 访问网站A加载慢,考虑是否服务器太小,而服务器内容多。
- 访问网站A加载慢,考虑是否服务器带宽小,还是本地网络带宽小。
- 访问网站A加载慢,考虑是否服务器网络运营商线路出现故障。
- 访问网站A加载慢,考虑是否服务器云提供商出现故障。
- 访问网站A加载报错,考虑网站是否受到攻击。
- 访问网站A加载报错,考虑访问网站是否携带攻击载荷被拦截。
- 访问网站A加载报错,考虑是否运维正在维护。
- 等等
一旦出现与你预期不符的事实时,如果你只考虑简单的几个要素,那你就无法预料出这几个要素以外的情况,就比如我们想象中的很简单啊,一台电脑,连上网不就可以访问了,确实,但有些变量的概率性极低,所以一般我们不会遇到罢了。
我们再来谈谈外星文明,一旦我们接触了我们无法理解的科技,我们就如同蚂蚁一般,束手无策,感到恐惧。
降维打击就是将攻击目标本身所处的空间维度降低,致使目标无法在低维度的空间中生存从而毁灭目标。
这一切对照人生难道不是吗?
加速时代每天匆匆忙忙工作,吃快餐、乘快车、赚钱要快、出名要快、甚至升职加薪也要快,这种快状态的心态深层原因是什么呢?
其实与转型期和未来前景的不确定性,让很多人“心中长草”。
特别在现在每天遇到海量信息,面对各种诱惑,很多人担心顾此失彼;害怕被时代拉下,被别人超越,让你也就拥有“别人往前跑,自己也不敢停下来”的状态。
要知道,快变量本身并不是问题,个人角度加速成长,企业角度快速发展;可并不意味着你的压力就该这么大,有时慢下来暂停脚步思考未来的方向或比“快”更重要。
进一步说,有的人碌碌无为一生并非不努力,而非没有找到“自我成就”,活在各种规定的规则中并未放大价值;我常说你的付出看不到希望的原因在于两方面:
1. 对内生长,2. 没有对外放大。
前者,我们所有的学习都在围绕自身向内展开,如跑步,早起,阅读;订阅付费专栏,学习英语,报网络课程等,这属于人生变量中的“有序变量”。
后者,要求你围绕外部环境展开,把自己所学知识,掌握的技能总结输出,如写作,画画,编程;为更好的理解,你不妨把前者看做培养习惯,把后者看做打造技能。
因此你就会明白,我们一生过度培养快变量的对内生长,而忘记慢变量的对外“实力展现”让自身进入新的轨迹中,正是这种观念让自己停滞不前。
那如何改变呢?
简单的方法就是将自身拥有的技能实力通过自媒体平台对外放大,这也是普通人第一选择,很多人付出很久却没有质的飞跃,原因在于没有作品思维,没有抓住成事的算法。
他们总希望干什么都求快,录个视频10分钟搞定就想10万+阅读,最后什么都无法得到;认真思考,慢下来精细化打磨每个环节难道不就是“无序分类变量”中对事情的颗粒化么。
因此慢很重要,但并不意味着你在行业中就能展露而出,这里还有9个阶段的算法能够助力你大概率成事:
- 闭环,2. 迭代,3. 进化,4. 重启,5. 内核,6. 复利,7. 使命,8. 模式,9. 涌现。
前半部分,完美比完成更重要,试着将好几年的工作经验像专家一样量化成产品,每次行动都要进行迭代,并短时间完成快速进化;不断重启自己要有“作品思维”,不去快追变量。
就如对待漏洞的产生,是否足够了解其原理和危害,而不是去想着快速寻找更多的漏洞。
中间部分,对外放大内核足够稳定时,要思考自己的产品(雪球)够不够夯实,能否产生复利。当基础牢固后要为所做事情寻找使命。
如我学习Rust的意义就是想在25岁前保持每年都有一个高质量的安全工具来作为人生的记录。
最后部分,试着寻找自己的商业模式,思考它能否在时间的洪流中经得起时间的考验,对照下,难道古代老子,孟子,鬼谷子的成事心法不就是这样?
就如Nmap、Sqlmap无法被撼动的地位一样。
总结一下。
变量有三个兄弟依次为:数值变量、有序无序的分类变量,快变量和慢变量;它们时刻都在掌握人生的一艘大船。
无序代表你做事颗粒化的精准度,有序在研究发展的规律。
快变量要求你紧抓趋势,慢变量要求你静下心拥有作品思维,一套下来就是小趋势下成事的算法。
对于普通人而言,终其一生所有的职业生涯难道不是在为“自我成就”而服务吗?
职业规划的过程,不正是发现自我人格、自我人生理想的实现和自我潜力的挖掘。
变量,之所以称之为变量,因为有时你需要慢,而有时,你需要快。
