首先，更新和升级拍摄功能，你知道，自从拍摄出现以来，很多人都爱上了这个功能，因为它真的很有趣，但也有一定的实用性，当然，还有很多人作为娱乐的一种形式，在更新之后，拍摄变得更有趣了。

　　

　　之一，集体聊天中的提醒文本更厚，注意力只集中在集体聊天中，它仍然不同于你拍拍他人和其他人，也就是说，如果你被自己或小组中的朋友拍拍，提醒文本就会变厚变黑，变得更吸引眼球，而其他人的相互拍拍仍将和以前一样，也就是说，如果你被自己或小组中的朋友拍，提醒文本就会变厚变黑，变得更吸引眼球。"这也是为了让用户更清楚地看到他们是否参与了互动的拍摄过程！

　　

　　另一个是拍摄可以设置后缀，这个功能很多人都应该非常期待它，因为在刚刚出现的拍摄中，很多人也想到了这个方面，为了更好的发挥，他们的组名被改成了其他名字，比如某人的头，但这会影响微信群聊的使用，现在这个功能的出现完美地解决了问题。点击我--个人信息--拍，你可以设置你拍的后缀，比如头部，然后当有人拍你的时候，会显示有人拍你的头。

　　

　　除了节拍和变得更有趣之外，其他一些更新也非常有趣。之一个方面是解决长安微信泡泡无法制造的问题，小程序闪回，其实主要出现在iOS 14的测试版本中，所以有些用户可能不太明白，这方面并不是很重要。第二个方面是微信打开的网页可以通过电子邮件发送。在正式帐户或其他地方，单击"共享"按钮，您可以看到有一个邮件选项，该选项自动生成标题为邮件的消息和添加相关链接的文本。

　　

　　最后两个改动是关于视频号码的。一是在微信的最新版本中，这些评论将被呈现为视频底部的运行灯，而不是固定的。微信称它为"浮动评论"。如果你想暂停这个弹幕的显示，你可以选择点击视频。二是视频号码共享卡的变更。当你把视频号码的视频分享给微信的朋友时，这张卡与前一张大不相同。外部覆盖边框消失，标题显示长度缩短，发行者信息移到标题顶部。看上去更舒服。

　　

　　这个更新基本上就是这些，虽然没有特别大的变化，但是从这些小的变化，我们可以更好地看到微信团队以用户为中心的服务理念，努力给用户带来更好的使用体验。

　　

　　

　　

　　作者丨Kevin

　　来源丨手机黑客

　　

　　如何快速暴力破解网站后台并获得 ID 和密码？

　　本文主要从管理后台这个方面来讲解其黑客攻击过程，并通过在虚拟环境中展开实例演示，各小主可以跟着本教程去做实验

　　声明：本人分享该教程是希望大家通过这个教程了解网站管理安全和局域网安全，希望大家在今后能对 *** 安全有个新的防范意识，而并非在教大家如何成为一名不厚道的黑客，如何去攻击别人，所以在此特特意声明，希望读者不要去做一些违法的事情。一旦您超越了这个底线，触犯法律，本人一概不负责，请知悉！

　　网站后台的破解原理

　　在了解了网站的管理后台管理接口之后，我们来讲解一下爆破的原理，其原理主要是通过截获管理机（目标主机）登录网站时的所有数据包，通过分析数据包中的信息直接获取密码或通过数据包暴力破解获得密码，从而获得网站的登录ID和密码。

　　

　　（图1：攻击原理示意图）

　　从上图可以看出，网站管理员在登录网站时，其所有网页的数据包通过网卡时都被 *** 了，而且与网站交互的所有信息都被攻击者给监听着，攻击者只需要拿到用户的数据包就可以实现后台的暴力破解了。

　　执行暴力破解

　　下面到了最有趣的环节了，开始我们的攻击过程....

　　查找网站管理入口

　　这里可以使用‘御剑后台扫描’工具或其它的一些后台目录扫描工具来扫描网站后台的目录/文件信息，‘御剑后台扫描’工具将以列表的形式返回匹配到的目录/文件供我们参考，我们需要通过分析工具返回的信息从中找到网站的后台登录入口。

　　

　　2）爆破前准备

　　首先打开Kali系统桌面的 burpsuite 工具，先对其工具进行以下配置：

　　

　　（图3：添加监听地址）

　　

　　（图3：添加监听地址）

　　

　　（图5：配置截获服务器端请求）

　　接下来我们使用Kali系统的浏览器来模仿管理员登录网站后台的操作，并实施数据窃听。

　　首先，我们先配置一下浏览器的 *** 设置，如下：

　　

　　（图6：配置 *** 服务器1）

　　

　　（图7：配置 *** 服务器2）

　　

　　（图8：配置 *** 服务器3）

　　注意：这里设置的 *** IP地址和端口必须和上面设置burpsuite 工具时使用的地址一致！

　　3）正式开始攻击

　　终于到了攻击的时刻了，接下来我们以获取路由器的管理后台为例，实现攻击：

　　假设管理员打开了路由器管理后台界面，并执行了登录操作：

　　

　　（图9：管理员登录后台）

　　当用户执行了登录操作后（假设账户和密码都是正确的），这时我们回到burpsuite工具，并切换到HTTP history 选项中查看抓包信息，在抓包列表中我们可以看到burpsuite工具抓到所有流经9999端口的所有数据包信息，在此我们只需要在URL列中找到与管理员登录管理后台时使用一致的URL并点击查看即可查看到该数据包的所有内容，所以这里我们很轻松的就能找到正确的账户和密码了，效果如下：

　　

　　在测逻辑漏洞的时候，我们经常会测量找回密码处

　　这时，请容小弟给各位表哥谈及

　　四种绕过逻辑去修改其他人的密码。

　　3.然后我们看我我们发包后返回的一个显示情况

　　这时候我们能看到我们发送正确

　　可以看到返回包的status（状态）的参数，为1，

　　4.然后我们再修改验证码后再发送一次

　　这时我们可以看到我们的返回包的status（状态）的参数，为-1

　　所以我们考虑status是不是一个能不能过的标志位。

　　5.所以我们随便选择一个输入一个验证码，并点击下一步

　　然后拦截数据包

　　6.打开查看返回包的功能

　　然后放包

　　7.然后把返回包的 status 参数从 -1 改为 1

　　然后放包

　　8.这时候我们看到我们虽然没输入一个正确的验证码

　　但还是跳转到找回密码页面。

　　总结：

　　漏洞形成原因在于

　　跳转页面的标志位放在前端

　　使用户可以轻易的修改

　　复现这个漏洞需要两个手机号

　　一个用来注册用户

　　1.我们在获取短信

　　2.这时我们看到我们的短信号码为的后四位为2554，

　　3.这时候我们只需要将我们的短信号码修改为其他手机号

　　这时候我们就把验证码发送到其他手机上

　　从而达到修改任意手机号码的用户密码的效果了。

　　4.总结漏洞原因在于后台只验证了验证码

　　而未对手机号进行验证

　　从而导致了此漏洞。

　　2.然后一般网站的用户名都会有一个管理员用户

　　所以我们可以尝试 admin

　　3.结果显示不存在

　　4.这时候就要考验你们对管理员的了解怎么样了

　　一般这时候我会把网站的名字放进去试试看

　　5.没想到真的有，有趣

　　6.这时候我们可以随便输入一个值

　　然后打开拦截包功能，

　　然后点击下一步

　　7.然后我们肯定数据包中有我们输入的答案 love

　　8.这时候我们只需要把love这个参数删除掉就放包。

　　9.这时候，神奇的事情发生了

　　我们居然成功的找到了密码

　　总结：

　　漏洞形成的原因是他的数据传输

　　可能类似于 sql=$admin&$password .

　　然后当 passwrod为空而admin=用户名称时

　　他就不会验证passwrod

　　而是从数据库中直接把这个用户的账号密码给你找出来

　　这个爆破只存在于四位验证码爆破才有危害

　　1.之一步打开一个商场网站，并在上面注册一个用户 。

　　（然后在注册的时候我们知道验证码为四位）

　　2.点击找回密码的功能点输入我们的账号并获取验证码

　　3.然后我们点击一个验证码进行随机爆破。

　　发送到定时器进行爆破，

　　4.不一会，就能看到我们香飘飘的验证码了

　　具体爆破 *** 请百度，这里不演示

　　5.这时候我们找到一个返回的数据大小不同的包即可。

　　6.总结形成原因分别为对验证码的输入次数没有经过严格的样子。

　　不要让自己步入误区!

　　花最短的时间学做最有效的事！

　　作者：