ALe0721的博客

原创 RDS云数据库安全

是 PostgreSQL 提供的一个扩展功能，允许从一个数据库连接另一个 PostgreSQL 数据库并执行 SQL。已获得一台 PostgreSQL 实例的账号密码（一般是云中的 RDS 实例），通过它去访问另一个。路径：RDS 控制台 → 实例 → “性能洞察（Performance Insights）”路径：RDS 实例控制台 → “监控” → “事件订阅” → 编辑通知设置。，即使本地不通，也能通过已有数据库“跳板”打过去。SSRF 利用 URI schema 探测。SQL语句、连接IP、用户名。

原创 EC2常见安全问题

用户数据（User Data）是指用户在创建云服务器（如 AWS EC2）时，传入给实例的一段脚本或配置内容，在实例启动时由系统执行。支持多种格式：Shell 脚本、cloud-config、MIME 多部分脚本默认以root 权限执行一般用于初始化配置、自动化部署。

原创 Cobalt Strike

Cobalt Strike是一款渗透测试神器，业界人称CS神器。早期版本的Cobalt Strike依赖Metasploit框架，如今已经不再使用MSF而是作为单独的平台使用。Cobalt Strike分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。这个工具的社区版是Armitage(一个MSF的图形化界面工具)，而Cobalt Strike大家可以理解其为Armitage的商业版。

原创 Metasploit

pwd、ls、cdgetsystem #获得系统管理员权限（要本地管理员权限运行）sysinfo #查看系统信息idletim #查看目标系统已运行时间route #查看目标机完整网络设置shell #进入目标机shell，exit退出shebackground #将meterpreter隐藏在后台upload ./1.txt c:\\1.txt #上传文件download c:\1.txt ./ #下载文件search -f *.txt -d c:// #搜索文件。

原创 渗透测试框架 思维导图

原创 命令行的艺术

名称bash是 GNU 项目的 Bourne Again Shell，是一种命令语言解释器。调用方式bash复制编辑。

原创 云函数攻防

简单来说，Serverless就是无需管理服务器的架构模式，我们只需要写业务代码，云平台会自动处理部署、弹性扩容、资源调度、运维运作等一切幕后工作在狭义上来讲Serverless可以分成以下两个方面│ ││ FaaS：函数即服务 │ │ BaaS：后端即服务 │无服务器（Serverless）不是表示没有服务器，而是表示当使用Serverless时，我们无需关心底层的资源，也无需登录服务器和优化服务器，只需关注最核心的代码片段，即可跳过复杂的、繁琐的基本工作。

原创 云服务安全

云服务，顾名思义就是云上的服务，按照部署方法分为公有云，私有云，混合云，社区云（较少见）

原创 S3对象存储安全

是的缩写，最早由 AWS 提出，是一种基于对象的云存储服务。现在各大云厂商（如阿里云 OSS、腾讯云 COS、华为云 OBS）都提供了的对象存储服务。

原创 APISIX

APISIX是一个高性能、动态、可扩展的开源 API 网关，由Apache 基金会孵化和维护，采用构建，适合处理高并发、低延迟的 API 请求。它的功能就像一个“门卫”：客户端访问后端服务前，所有请求都要先经过它检查、处理、转发。APISIX 就是一个现代化、动态、可扩展的“超级 API 门卫”，能安全、高效地管理所有你的服务调用请求。

原创 Kubernetes安全

Kubernetes 又称 k8s，是 Google 在 2014 年开源的一个用来管理容器的平台，以下是 k8s 架构图k8s 主要由以下核心组件组成：K8s集群中常见的风险主要有下面5类：其中第一项和前文docker安全基本一致，直接跳过Kubernetes 中的网络默认以「扁平化设计」为主，所有 Pod 默认彼此可通信，缺乏细粒度隔离：Kubernetes 的安全访问控制由三部分组成：常见风险：Kubernetes 自身也被爆出许多安全漏洞，这类自然也属于 Kubernetes 所面临的的风险以上纯粹

原创 反弹 Shell 原理

之前经常用到反弹shell，但是从来没有仔细思考过这些反弹shell的语句是怎么组成的，只是一味复制payload，导致但凡有点小过滤就炸缸，所以来系统学习一下反弹shell的语句是怎么构成的。

原创 docker安全

不安全的配置相关程序漏洞内核漏洞在 Linux 中，/proc是一个伪文件系统（procfs）：内核符号表：当前进程的内存映射：允许触发内核热键（比如重启）如果一个 Docker 容器挂载了宿主机的/proc那么容器内的用户就可以通过/host_proc目录，访问到宿主机的内核状态和敏感接口，这可能会造成非常严重的逃逸漏洞，尤其是在该容器内默认启用root权限，且没有开启User Namespace时。

原创 云原生安全

云”，是相对于“本地”而言的。传统应用部署在本地数据中心或物理服务器上，而“云”指的是基于云计算平台（如公有云、私有云或混合云）运行的环境；“原生”，意味着“出生于…的环境”，在这里则表示这些应用从设计之初就为云环境而生，能充分利用云平台的弹性、分布式、自动化等特性。如果只是把传统应用从本地“搬迁”到云端运行，虽然名义上实现了“上云”，但它们的架构和运维方式依然保留着本地部署的思维，这类系统常被戏称为“上云的拆迁户”；而真正的“云原生”系统，是指那些从一开始就为了云环境设计、构建和优化。

原创 XXE漏洞

XXE 全称：XML 外部实体注入（XML External Entity Injection）是指攻击者向 XML 文档中注入恶意的“实体”，利用 XML 解析器的外部实体（External Entity）功能，达到读取敏感文件、发起网络请求甚至 DoS 攻击的目的。XML由3个部分构成，它们分别是：文档类型定义（Document Type Definition，DTD），即XML的布局语言；可扩展的样式语言（Extensible Style Language，XSL），即XML的样式表语言；

原创 应急响应思路

应急响应简单来说要干的其实就是看内外网日志，然后有异常就断网，封ip，清除权限，有的时候（其实是大部分时候）断网才是应急响应的最有效措施，尤其是半夜不影响业务的情况。

原创 php://filter的trick

php://filter是php独有的一种协议，它是一种过滤器，可以作为一个中间流来过滤其他数据流，通常使用该协议来读取或者写入部分数据，且在读取和写入之前对数据进行一些过滤，例如base64和rot13等处理filter协议的一般语法为php://filter/过滤器|过滤器/resource=待过滤的数据流过滤器可以通过管道符设置多个，按照链式的方式依次对数据进行过滤处理。

原创 第十六周蓝桥杯2025网络安全赛道

因为只会web，其他方向都没碰过，所以只出了4道。

原创 create_function()漏洞利用

');// 输出 3第一个参数是函数的参数列表（字符串形式），第二个参数是函数体（也是字符串）。它会把字符串当作代码执行！从 PHP 7.2 开始，这个函数已经被废弃，因为太容易被滥用了举个危险的例子");");然后服务器就会执行phpinfo()造成信息泄露。

原创 [BJDCTF2020]EzPHP

这一道题里面的知识点实在是太多了，即使这道题是我最喜欢的RCE也有点大脑停转了，所以还是做个笔记，以后方便回忆直接跳过打点，来到源码短短51行代码居然有六层过滤，也是阴的没边，这次的payload至今为止也是鼠鼠手打过最长的。

原创 MD5和sha1绕过方式总结

用docker起一个Linux服务器的测试环境。

原创 无回显RCE

在CTF和实战渗透中，不是每一个命令执行点都有回显，有时我们审了半天代码，却发现好不容易找到的命令执行没有回显，但是这并不代表这段代码不能被我们利用，在无回显的情况下也是可以利用的首先我们来写一个最简单的php命令执行的代码，因为是测试，就不加WAF了这里用docker拉了个apache下来这样测试，若5秒后响应说明可以命令执行。

原创 SQL预编译——预编译真的能完美防御SQL注入吗

预编译就是在执行 SQL 前，把 SQL 语句先告诉数据库服务器，编译好结构，然后再单独传参数进去执行！Prepared Statement（预处理语句 / 预编译语句）正常写 SQL 是怎样的？username = input("请输入用户名：")这就好像直接把“用户输入”和“SQL语句”拼成一整句话。用户只要输入了奇怪的东西，就能控制整个 SQL 的逻辑！Σ(っ °Д °;)っusername = input("请输入用户名：")重点就是！SQL 写的时候，用 占位符（?

原创 LFI to RCE

LFI不止可以来读取文件，还能用来RCE在多道CTF题目中都有LFItoRCE的非预期解，下面总结一下LFI的利用姿势。

原创 数据库脱裤

假设你已经getshell网站要连接mysql，就需要把mysql的账号密码保存在一个php文件中，类似config.php、common.inc.php等，在shell中，读取这些文件，找到其中信息即可ps：有时候数据库这样写：xxxx@localhost，有时候这样写:xxxx@%，当是“%”的时候，说明任意地址都能对数据库操作，于是我们在外部就能连接别人的数据库，这时候使用外部工具比较方便补充：mysql端口默认：3306，mssql默认端口：1433 ， oracle默认端口：1521。

原创 js原型链污染

在 JavaScript 里，对象是可以继承其他对象的属性和方法的，这种继承就是通过“原型（prototype）”实现的每个对象都有一个隐藏属性（可以通过__proto__访问），它指向另一个对象，这个被指向的对象就是“原型对象——prototype“。这些原型对象也可以有自己的原型——__proto__，层层向上直到一个对象的原型对象为null，于是就形成了一个“链条”结构~这条链子就叫做原型链（Prototype Chain）// 虽然没写这个方法，但可以调用！

原创 parse_url 解析漏洞

parse_url。

原创 Perl 与 PHP 结合的常见漏洞

当open函数要打开的文件名中存在管道符（并且系统中存在该文件名），就会中断原有打开文件操作，并且把这个文件名当作一个命令来执行。题解就是先通过路径遍历漏洞找到flag和readflag脚本，然后通过这个漏洞运行readflag脚本，虽说我并没有复现出来，但是我看懂了喵。在 1987 年发布，最初的目标是用来处理文本文件、进行系统管理，还有一些报表处理的工作喵~因为我并没有了解过perl语言，所以只能简单的看懂一点皮毛，更详细的内容建议看这篇文章。” 的缩写，是一种功能强大、灵活、富有表现力的脚本语言。

原创 PHP反序列化

在 PHP 里，序列化是把一个对象或数组转换成字符串的过程（比如保存到文件或传输到网络），而反序列化就是把这个字符串还原成原来的变量（对象/数组）。// 序列化// 反序列化Phar（PHP Archive）是一种压缩包格式，允许 PHP 把一堆文件打包成一个.phar文件，像.zip一样可以解压，也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据（metadata），这个 metadata 是以 PHP 序列化格式保存。

原创 无数字字母RCE

无数字字母RCE，这是一个老生常谈的问题，就是不利用数字和字母构造出webshell，从而能够执行我们的命令。例如这样的过滤，就要利用各种非字母数字的字符，通过各种变换如异或、取反、自增等方法构造出单个的字母字符，然后将这些构造出的字符拼接成一个函数名，然后就可以达成RCE。

原创 python格式化字符串漏洞

python中，存在几种格式化字符串的方式，然而当我们使用的方式不正确的时候，即格式化的字符串能够被我们控制时，就会导致一些严重的问题，比如获取敏感信息。

原创 pickle反序列化

与PHP类似，python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal，现在开发时一般使用pickle。与json相比，pickle以二进制储存，不易人工阅读；json可以跨语言，而pickle是Python专用的；pickle能表示python几乎所有的类型（包括自定义类型），json只能表示一部分内置类型且不能表示自定义类型。pickle实际上可以看作一种独立的语言。

原创 docker使用

最近为了打vulhub也是搞了好久的docker，搞了半天搞得我头大，结果还是没能成功，不知道为什么起shiro550靶场总是报139的错误，在网上搜了半天也没有解决，有没有师傅救一下喵QaQ。重启docker服务 sudo service docker restart。重启docker服务 systemctl restart docker。查看日志：docker logs -tf --tail 容器id。关闭docker systemctl stop docker。启动和停止容器的操作。

原创 Java中间件经典漏洞

Java描述的是一个‘世界’，程序运行开始时，这个‘世界’也开始运作，但‘世界’中的对象不是一成不变的，它的属性会随着程序的运行而改变。但很多情况下，我们需要保存某一刻某个对象的信息，来进行一些操作。比如利用反序列化将程序运行的对象状态以二进制形式储存与文件系统中，然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。可以有效地实现多平台之间的通信、对象持久化存储。一个类的对象要想序列化成功，必须满足两个条件：该类必须实现 java.io.Serializable 接口。

原创 SQL注入 无列名注入

顾名思义，就是在不知道列名的情况下进行 sql 注入。在 MySQL 5以上的版本中存在一个名为 information_schema 的库，里面记录着 mysql 中所有表的结构。通常，在sql注入中，我们会通过此库中的表去获取其他表的结构，也就是表名、列名等。但是这个库经常被 WAF 过滤。MySQL 5.5.8之后开始使用InnoDb作为默认引擎，的InnoDb增加了和两张表这两张表记录了数据库和表的信息，但是没有列名MySQL 5.7开始增加了sys库，这个库可以用于快速了解系统元数据信息。

原创 SESSION_UPLOAD_PROGRESS 的利用

刚刚做了一道题里面用到了文件包含的SESSION_UPLOAD_PROGRESS 的利用是这道题捏。

原创 用Python实现TCP代理

本来原书用的是ftp，但是我怎么也复现不出来，只能简单用这个代替一下的，但是原理也差不了太多。windows物理机和kali我都试了，不知道为什么只有kali能用。这时候我们的脚本就会接收到数据，并以hex的形式输出。但是我发现这个似乎不太稳定，我也是试了两次才成功的。先附上代码，我在原书代码上加了注释，更好理解。依旧是Python黑帽子这本书。

原创 MSF木马的生成及免杀

先简单生成一个木马这个我都不用试了，都不说360，windows自带的杀软都绕不过去，让我们扔进微步看看怎么个事最意料之中的一集这次我们多编码几次看看虽然不会落地就杀，但是还是不能运行，一运行就会报病毒那就让我们试一试UPX加壳。

原创 php webshell免杀

终于也是来到了激动人心的时刻——免杀，这集先是简单的一句话木马的免杀然而这样朴实无华的直接上传肯定是会被杀软拦截，所以就用到了免杀的技巧本次用来测试的环境有D盾，安全狗，河马webshell在线查杀（首先用我自己的几个普通的一句话木马进行环境测试发现直接就能测出来，那么接下来就是免杀的测试。

原创 PHP大马的使用

虽然没有免杀，但是也很好用了（本来想说为什么我的杀软没拦截，后来想起来我给phpstudy的路径加入白名单了。上传成功后我们访问他的目录：your_url/vul/unsafeupload/uploads/bigma.php。这里用到的是这位师傅的大马（主要是从头开始写一个大马实在太麻烦了）注：一定要用强密码，不然你传上去的木马反而会有可能被别人利用。在这里传马，这个是简单的前端校验，bp抓包改后缀就好了。还能将其他网站的文件下载到网站中。密码在木马文件中，可以自己修改。除此之外还有连接数据库等操作。