SmileAndFun-优快云博客

原创代码审计-各cms漏洞分析

通用漏洞，看看技术架构，pom文件是否有三方漏洞，比如发现应用freemarker组件，这个是个模板组件，常见漏洞有SSTL模板注入rce，我们尝试去审计和利用。访问404.html，触发恶意标签，后端访问组件freemarker.template.utility.Execute从而执行命令。filename=，此功能是需要在登录后，所以要用已登录的cookie进行验证，验证成功。发现status参数可控,且后端未进行预处理,这里大概率会有sql注入,用sqlmap本地验证,发现sql注入成功。

2025-07-29 22:03:17 498

原创代码审计-Struts2漏洞分析

Struts2 是一个基于 MVC（Model-View-Controller）设计模式的开源 Java Web 应用框架，由 Apache 软件基金会维护。它是 Struts1 和 WebWork 框架的整合产物，以 WebWork 为核心，通过拦截器机制实现业务逻辑与 Servlet API 的解耦，适用于构建企业级 Web 应用程序。两个漏洞原理一样，S2-016可构造redirect传入命令，S2构造redirect传入url通过OGNL表达式执行，下面为分析过程。message数据传递。

2025-07-12 16:26:42 385

原创代码审计-shiro漏洞分析

漏洞原理：shiro会对Remember Me功能带的cookie字段进行解密并进行反序列化，解密过程为base64解码------AES-CBC解密------反序列化，所以我们只需要逆向构造数据包就能触发漏洞，Apache Shiro ≤1.2.4版本的AES密钥是硬编码，尝试爆破常见的key就能触发。简单讲，shiro是apache旗下的一个Java安全框架，轻量级简单易上手，框架提供很多功能接口，常见的身份认证、权限认证、会话管理、Remember 记住功能、加密等等。一、关于shiro介绍。

2025-07-09 20:31:24 545

原创代码审计-springel表达式注入

Spring Framework为spring基础框架，Spring Boot基于Spring Framework默认集成了嵌入式 Tomcat，支持快速集成第三方开发组件（如MyBatis），Spring Security用于实现认证和授权，以及访问控制的安全框架（对标apache shiro框架，shiro轻量级），Spring Cloud微服务架构。#{} 和 ${} 可以混合使用，但是必须 #{} 在外面，${} 在里面，如 #{’${}’}，注意单引号是字符串类型才添加的。

2025-07-09 17:58:11 963

原创代码审计-log4j漏洞

数据传输logger.error-------追踪到自带库lookup-----跳出到jdk的jndi-url-ldap库lookup方法------调用jndi-ldap库服务----请求codebase远程下载class文件------底层loadclass方法加载触发。查看pom文件(非maven项目去找jar,往往放在一个lib,比如webapp/web-inf/lib)确认使用log4j组件------确认使用log4j组件版本-------寻找反序列化构造点------poc调用验证。

2025-06-20 11:16:44 349

原创代码审计-fastjson反序列化漏洞

通过Fastjson反序列化漏洞，攻击者可以传入一个恶意构造的JSON内容，程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数，进而导致代码执行。查看pom文件确认使用fastjson组件(非maven项目去找jar,往往放在一个lib,比如webapp/web-inf/lib)-------查找反序列化函数------构造利用点如构造函数、get/set方法（需要public权限）、static静态代码块------利用验证。由于是利用JNDI注入漏洞来触发的，因此主要的限制因素是JDK版本。

2025-06-20 09:57:45 655

原创学习记录-钓鱼网站总结

学习记录-钓鱼网站总结此文章仅用于学术交流1.钓鱼网站基本原理2.钓鱼网站演示3.钓鱼网站工具

2021-11-11 13:35:38 5171

原创学习记录-cdn绕过

学习记录-cdn绕过备注：文章仅用于学术交流一、什么是cdn简单得说，cdn就是一个缓存服务器，目的就是为了解决大量用户访问卡顿等问题，它被分布在多个地方，缓存一些资源包括静态资源，这样不同地方的用户访问目标就会被指派到离用户很近得cdn服务器上获取资源，从而解决卡顿等其它问题。在渗透过程中，就会遇到一个问题，访问目标被转发到cdn上，从而找不到目标的真实ip，ping目标返回的是cdn的ip，即时我们技术很强拿下了cdn服务器，现在主流做法是目标购买第三方cdn服务，或者自己购买云服务搭建，所以即使

2021-10-29 17:12:14 3254

原创学习记录-信息收集(第二次总结)

学习记录-信息收集(第二次总结)文字仅用学术交流，不做其他用途一、什么是信息收集信息收集分为被动信息收集和主动信息收集，为攻击提供全面的信息情报，非常重要。二、被动信息收集被动信息收集通俗讲就是通过三方平台比如谷歌、fofa等搜索到的信息，没有与目标进行直接交互，优点就是不会被发现且信息量和覆盖面比较大，缺点就是实时性不高，无法收集到敏感或者未公开的信息。利用方式：一般常见的是用搜索引擎如fofa搜索，开个会员直接搜，谷歌语法搜索等等；信息收集的重要方向：容易突破：新开的业务、边缘业务、外

2021-10-25 21:45:21 447

原创 app逆向渗透-Android

app逆向渗透渗透方向：1.查看逆向后的配置文件敏感信息；2.查看源码，代码审计。查看逆向配置文件敏感信息流程：1.下载Android官网逆向助手2.将apl文件放到lib/apktool 目录工具下命令：java -jar apktool.jar d -f xxx.apk生成一个对应文件，里面就是反编译的文件目录了可以看到反编译后的文件结构，里面包含很多xml、目录信息可以查看，特别注意两个文件，第一个AndroidManifest.xml和res目录查看源码流程：1.Andro

2021-08-09 15:44:50 1012

原创学习记录---burp之base64编码爆破

学习记录—burp之base64编码爆破爆破过程遇到编码的字段怎么破第一个直接设置base64编码跑字典第二种，直接上图

2021-07-27 15:58:04 4018

原创学习记录-hw应急处置

应急处置方法一、应急相应排查思路判断是否被攻击-----账号排查-----网络连接排查-----进程排查-----文件排查-----溯源可疑文件二、操作流程1）判断是否被攻击针对项目日志或数据报文：存在大量sql出现语句—sql注入尝试非正常文件上传操作—文件上传类似…/路径—文件包含或任意文件访问类似cmd=xxx或系统指令—命令执行类似127.0.0.1：xxx 端口访问—ssrf类似大量登录数据包—爆破2）账号排查windows系统：1.隐藏账号排查wmic userac

2021-04-14 15:25:50 761

原创记一次银行系统内网渗透

记一次银行系统内网渗透一、总体四种思路当对某目标进行渗透，发现存在高危漏洞，继续深入探测，个人应分为如下四个方向进行深入挖掘：1.下载源码2.数据库备份3.信息收集4.横向控制二、高危漏洞利用a、文件遍历及部分文件下载可利用次漏洞遍历服务器任意文件及目录结构，也可下载权限内所有文件。通过…/…/…/绕过路径查看服务器目录b、上传任意类型文件及特殊符号绕过上传路径（暂未利用）1）上传任意类型文件可通过修改数据包后缀名，上传任意文件2）第一个位置：特殊符号绕过上传路径在文...

2021-02-25 15:36:16 141

原创记录cors认证过程-关于渗透

一、CORS本质CORS (跨源资源共享) 是一种认证机制，是 W3C (万维网联盟) 推荐的一种用于跨域资源访问的安全策略。二、源与同源策略CORS 中的源指的是某个URL中的协议、域名和端口，由这三个元素标识一个唯一的源，如 http://localhost:8080 和 https://localhost:8000 是不同的源，因为它们的协议和端口都不同。源也可以宽泛地理解为一个 Web站点，通常我们访问一个网站的时候，加载的静态资源通常都是站内的。三、CORS分类1、简单请求HEAD、

2021-01-25 09:48:02 387 1

原创学习记录-MSF使用

学习记录-MSF使用注：文章仅用于学术交流，不用于其它用途一、MSFMetasploit是一个免费的的框架，本身附带数百个已知软件漏洞的专业级漏洞攻击工具，通过它可以很容易地对计算机软件漏洞实施攻击二、组成MSF4所用功能可分为这五个模块，每个模块都有各自的功能领域，形成了渗透测试的流程Auxiliary 辅助模块为渗透测试信息搜集提供了大量的辅助模块支持Exploits 攻击模块利用发现的安全漏洞或配置弱点对远程目标系统进行攻击，从而获得对远程目标系统访问权的代码组件。Pa

2020-09-21 19:46:27 689

原创学习记录-WAF绕过

学习记录-WAF绕过注：文章仅用于学术交流，不用于其它用途一、WAF基础知识概念：Web应用防护系统，执行一系列针对HTTP/HTTPS的安全策略为Web应用提供保护分类：WAF有硬件类型的也有软件类型的，我们一般渗透测试都会遇到软WAF，因为硬件WAF价格有点昂贵，正常企业不会购买，基本上是大型国企才会买，常见的软WAF：安全狗、云锁、悬镜、护卫神、云盾检测机制：其实很简单，核心就是正则匹配，虽然说还有字符串强行匹配，还有什么语义解析，但是实际上还是正则居多，安全和客户体验都是需要平衡的，特别是

2020-09-21 15:29:52 502

原创学习记录-内网渗透从网站渗透到控制域控

内网渗透-getshell、提权、内网穿透、远程登录、信息获取注：文章仅用于学术交流，不用于其它用途通过某网站为入口，一步步渗透进内网1.获取网站的webshell输入错误参数，暴露出当前绝对路径 C:\phpStudy\WWW\index.php写入木马文件，通过菜刀获取webshell<?php eval($_REQUEST[“a”]);?> 字符串在url会报错，应转换为十六进制，select xx yy into dumpfile 路径写入xxyy进文件的第一行

2020-09-18 19:54:17 125

原创学习记录-app渗透

学习记录-app渗透注：文章仅用于学术交流，不用于其它用途一、app渗透思路app其实和web基本相同，可以通过多种工具如夜神模拟器等在电脑上模拟安卓环境，进行操作。操作内容和web一样，可以xss、sql注入、文件上传漏洞等等二、实战案例1）下载夜神模拟器，首先设置代理，让工具burp能抓到数据包设置-wifi-手动添加代理burp工具设置ip及端口就可以抓app的包了我们找了一个开源的app测试，这里有外出出差提交单，可以上传文件，这里是上传了一个图片码，然后通过抓包找到了上传文件的

2020-09-18 11:17:42 3247

原创代码审计-文件包含漏洞

代码审计-文件包含漏洞注：文件仅用于学术交流，不用于其它用途1）本质文件包含并不属于漏洞，简单的理解为公共文件，大家都可以去调用它，由于对包含进来的文件不可控，造成攻击者进行任意文件包含（自定义构造恶意文件），导致文件包含漏洞的产生（注：包含的文件会被当成脚本文件来解析）,文件包含分为本地文件包含(LFI)和远程文件包含(RFI)（需要设置allow_url_include = On，默认不开启）2）php四个函数include：使用include引用外部文件时，只有代码执行到include代码段

2020-09-10 20:44:56 358

原创代码审计-反序列化漏洞

代码审计-反序列化漏洞注：文章仅限于学术交流，不做其他用途一、基础知识1）序列化(serialize)将状态信息保存为字符串，将PHP中对象、类、数组、变量、匿名函数等当前状态转化为字符串，可简单认为是存档2）反序列化(unserialize)将这个序列化状态信息拿出来使用，重新再转化为对象或者其他的，将字符串转化为状态信息，可简单认为是读档3）常见格式O:4:“test”:1:{s:4:“test”;s:3:“123”;} O标识变量类型，objeck对象；4标识类名长度；"test"

2020-09-09 18:26:30 524

原创学习记录-xxe实体注入

学习记录-xxe漏洞注：本文仅用于学术交流，不用于其他用途一、基础知识1）xxe实质也称外部实体注入，简单的讲就是将攻击者输入的代码作为xml语言注入，利用xml可以通过协议加载访问服务，通常情况下是需要将注入的数据外带出来，可以使用炮台，也可以自己搭建需要公网ip2）炮台实质对于xxe来讲就是讲数据外带出来，如php作为炮台一般是三个文件1.xml文件，这个用于注入的时候写入去加载这个xml，里面预定义file实体然后讲file作为get传参带上去访问php，这里file实体实际是我们去访问

2020-09-06 13:48:41 408

原创学习记录-文件上传解析漏洞

学习记录-文件上传解析漏洞注：本文章仅用于学术交流，不用于其它用途，不足之处，大佬多多指出一、实质通过绕过前后端的限制，上传文件，文件含有木马威胁，可配合解析等其它漏洞绕过，一般可以写一句话木马拿到webshell，通过工具操作如菜刀等二、基础知识1）简单概念weshell：web权限getshell：获取权限被动shell：注入木马后，木马主动连接攻击者正常shell：注入木马后，攻击者主动连接木马小马：注入木马后，攻击者用工具连接，攻击者没写攻击代码大马：注入木马后，木马文件含有大

2020-08-31 16:45:28 263

原创学习记录-CSRF跨站伪造请求

学习记录-CSRF跨站伪造请求注：本文仅学术交流，不做其它用途1.实质：就是浏览器在未关闭的情况下是一直存在cookie的，通过伪造请求诱导触发，浏览器会自动填充cookie然后去只想恶意请求2.测试流程：用账号甲登录网址—通过burp伪造请求诱导点击—用账号乙登录网址—点击伪造链接遇到问题：浏览器莫名奇妙不填充cookie，检测发现浏览器设置了拦截不填充3.Token防御机制：实质：简单的说就是新增一个字段token，用来验证访问者身份，csrf是利用浏览器自动填充没有办法提前确定token的

2020-08-24 19:38:05 190

原创工作记录-跨站脚本xss攻击

工作记录-跨站脚本xss攻击一、什么是xss攻击xss通常叫跨站脚本攻击，攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入攻击类型。攻击者是能访问网站的用户，被攻击者对象是网站服务器或者能访问网站的其它用户。二、xss攻击的种类第一种：持续型xss攻击1）概念及原理持续性xss攻击会把恶意代码提交到网站数据库中进行存储，有攻击范围广的特点，任何能访问页面的普通用户都会中招。攻击者通常是伪装成普通网站访问者的用户终端，找到存在的xss漏洞表单，向网站提交含有恶意代码的信息存入数据库。2）

2020-08-21 17:32:16 358

原创学习记录-跨站脚本xss（第二次总结）

学习记录—跨站脚本xss（第二次总结）注：文章仅用于学术交流，不用于其它途径，不足之处，评论指出跨站脚本xss分三类：反射型xss、存储型xss、dom型xss，通俗的认为前端注入一、反射型xss1）实质：通过查看前端代码，大多数对象是输入框，构造xss恶意代码，将链接发送给被攻击者，诱导被攻击者触发2）流程：判断网站是否存在xss反射型攻击（可以通过弹窗验证）------通过xss平台获取恶意代码注入网站-------复制url（传参点在url含有恶意代码）也可变为短网址，通过社工（邮箱、qq、

2020-08-21 17:27:12 323 1

原创学习记录-Oracle显错注入和报错注入(手工注入)

学习记录-Oracle显错注入和报错注入(手工注入)注：文章仅用于学术交流，不用于其他用途，不足之处，大佬评论指出一、基础知识（学习Oracle报错注入和显错注入前需要掌握）1）Oracle数据库dual表是一个虚表，为了符合Oracle的语法标准，与access数据库有少许相似，如select null，null from dual2）Oracle有自带库可以查询到对应的表名及字段，all_tables 查询所有表，user_tables查看当前用户所有表，all_tab_columns查看所有字

2020-08-17 22:11:40 752

原创学习记录-MSSQL显错注入和反弹注入(手工注入)

学习记录-MSSQL显错注入和反弹注入(手工注入)注：文章仅用于学术交流，不用其他用途，不足之处，大佬多多指出一、MSSQL显错注入1、实质：MSSQL也称sql server，简单来讲和其它数据库的显错注入基本相同，都是通过回显获取信息，有少许不同的地方在于MSSQL数据库不同的语法格式2、具体步骤：1）查找输出点MSSQL数据库，联合查询输出点时候，需要前后字段属性一样,如：查看当前字段数： order by 1.2.3…查看输出点：union all select null,null

2020-08-16 21:57:46 447

原创学习记录-DNS_log注入(手工注入）

学习记录-DNS_log注入(手工注入）注：文章仅用于学术交流，不用于其它用途，不足之处，评论指出，谢谢大佬们一、dns_log注入的实用场景满足条件1.无回显2.不能用盲注，即使能使用盲注，存在被ban的风险高且效率低3.数据库配置能使用load_file函数可以发送请求4.拥有一个dns服务器接受发送过来的数据二、dns_log注入的实质就是拼接语句，借助开发数据库可能配置了函数load_file，通过函数发送请求，将sql语句查询的结果带出来给我们自己设置的dns服务器解析，通过日志记

2020-08-13 19:25:45 885

原创学习记录-cookie注入+偏移注入组合(手工注入）

学习记录-cookie注入+偏移注入组合(手工注入）注明：此文章仅用于学术交流，记录和总结本人学习过程，不用于其它用途一、http基础知识1）无连接1、每一次访问都是无连接，服务器挨个处理访问队列里的访问，处理完一个就关闭连接，这事儿就完了，然后处理下一个新的2、无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接2）无状态1、协议对于事务处理没有记忆能力2、对同一个url请求没有上下文关系3、每次的请求都是独立的，它的执行情况和结果与前面的请求

2020-08-07 10:40:41 500

原创学习记录-宽字节注入(手工注入)

学习记录—宽字节注入(手工注入)注：文章仅用于学术交流，不用于其它用途，不足之处，评论指出，谢谢大佬们一、概念及原理宽字节注入其实质就是抓住数据库为非英文编码如gbk，通过传入含特殊字符的sql语句，配合魔法引号被数据库gbk编译为汉字，从而达到溶解魔法引号的目的。二、注入步骤大概步骤分为，判断是否存在宽字节注入----尝试宽字节注入get传参：1）判断是否存在宽字节注入，直接在参数后面输入，注意的是要经过url编译，%df 与魔法引号 ‘/’ 组合在gbk编码下为一个汉字，‘号这个模拟闭合参

2020-07-31 15:21:00 1065 2

原创学习记录-编码格式

总结学习–编码格式编码简要知识ascII1.标准ascii 0-127(十进制)和十六进制，可表示字母及特殊符号 2.扩展ascii 后128位数，表示特殊外语字符符号gbk1.国人专属，记录中文 2.用双字节的方式记录汉字unicode1.解决所有国家编码通信 2.一套字符集，世界编码字典utf-81.记录使用1-4个字节，汉字占三个字节 2.万国码，都可以表示url1.接受ASCII编码规定中的一部分字符，对中文字符进行编码（utf-8,gbk

2020-07-30 11:40:10 222

原创学习记录-注入之延时注入(手工注入)

学学习记录-注入之延时注入(手工注入)

2020-07-28 15:53:10 4666

原创学习记录-注入之布尔盲注（手工注入）

学习记录-布尔盲注（手工注入）注：文章仅用于学术交流，不用于其它用户，不足之处，评论指出，谢谢大佬们一、概念及原理布尔盲注，个人理解就是网站屏蔽了显错，但是可以返回true or false的页面，虽然可以注入，但是联合查询找不到输出点，只能判断对与错误，这时我们就可以尝试布尔盲注，利用true、false判断注入正确与否。二、注入步骤总体步骤：判断是否存在布尔盲注----布尔注入（可手工也可利用工具辅助，获取表名–字段名—数据）三、个人总结1）布尔盲注方法很多，首先需要闭合参数拼接sql语句

2020-07-21 11:08:08 1579

原创学习记录-header注入(手工注入）

学习记录-header注入(手工注入）-利用致命报错进行注入注：本文只用于学术交流，不用于其它用途，不足之处，评论之处，谢谢大佬们一、header注入概念php中存在许多预定义变量， $_get、$_post、$_cookie 、$_SERVER等，包含多种信息，$SERVER包含了头部信息等，很多网站需要记录头部信息，存入数据库，通过对头部信息字段的修改注入，完成对数据库的渗透，这个就可以称为header注入。需要注意的是很多网站记录的是用户ip，这个中间存在代理，所以需要多次尝试新增字段信息同时

2020-07-15 11:09:42 612 1

空空如也

空空如也