- 博客(126)
- 收藏
- 关注
RSS订阅原创 网络安全之RCE分析与利用详情
Gogs(Go Git Service)是一款用Go语言编写的轻量级、开源的Git仓库托管系统。它的设计目标是让搭建和维护Git服务变得简单、快速,同时提供类似GitHub的功能,但对资源消耗更少,适合个人或者小型团队使用,支持注册(所有注册功能开放,就可以在合法情况下,测试这个漏洞)。Gogs的核心是托管Git仓库,通过其 Web 界面和 API 为用户提供友好的操作体验。仓库管理:用户在Gogs中创建、克隆、推送或拉取Git仓库,仓库存储在服务器的文件系统或数据库中。
2025-07-09 16:57:54
984
原创 网络安全之漏洞学习
Partial PUT原始实现处理不完整PUT请求时替换文件路径分隔符,由于开启了session的持久化缓存机制,因此导致默认情况下PUT上传到的文件目录在同一个临时文件夹中,可通过session完成反序列化。:MacOS 和 Windows 平台因File.exists()检查及大小写忽略问题,可通过条件竞争加载xxx.Jsp文件写入DefaultServlet,此时如果恰好GET xxx.jsp碰到文件的落地,最终xxx.Jsp交给了JspServlet处理器处理。
2025-07-07 17:05:05
1127
1
原创 网络安全之内网渗透实操
成功获取 shell 后,执行相关命令进行信息搜集,发现目标存在双网卡,这意味着目标可能处于多个网络环境,增加了内网渗透的复杂性与可能性。尝试使用常见的弱口令登录 weblogic 失败后,借助 weblogic 漏洞利用工具进行深入检测,发现目标存在 CVE-2020-2551 漏洞。通过 net user /domain 命令确认当前机器处于域环境内,再使用 net group "domain controllers" /domain 命令定位到域控,通常情况下,DNS 服务器即为域控。
2025-07-07 16:33:25
1504
原创 网络安全漏洞测试之远控样本分析
Fake CAPTCHA攻击最近一段时间非常活跃,如果对该攻击技术感兴趣,可以参考开源项目,项目地址:该开源项目详细介绍了该攻击技术攻击原理,这里不对该攻击技术做过多的介绍,还是从实战应用角度出发,研究黑客组织如何利用该技术进行钓鱼链攻击,安装恶意软件,对攻击链样本进行详细分析。笔者最近发现一例最新的Fake CAPTCHA攻击活动,传播XWorm RAT远控样本V5.2版本,初始样本为一个BAT混淆脚本,发现有点意思,里面使用了一些小技巧,分享出来供大家参考学习。
2025-07-04 16:10:51
268
原创 【网络安全】Mysql注入应用
利用锁机制的优势就是不易被waf检测(在写文章的时候似乎写入其他延时payload会导致出错无法预览,而锁机制的延时payload则可以正常预览,这也算是不易被检测的一种),既然大名鼎鼎的雷池waf都能成功延时,那么市面上大多数的waf应该也一样。那么接下来的注入方法就由各位师父大显神通了,这里就不再做太多的赘述。
2025-07-04 15:20:16
841
原创 【网络安全】Webshell命令执行失败解决思路
这里的prevhost.exe是我的loader,Microsoft是我设置的一个抗沙箱的参数,我在命令行中敲个1,目标就会上线到我的cobaltstrike上。在这种情况下,我们可以通过免杀大马去代替webshell连接工具,一是消除掉webshell工具的特征,二是减短进程链,直接用大马执行命令会少一层cmd.exe。另外,如果你只是要做信息收集,你可以直接执行system32下的netstat.exe、whoami.exe、tasklist.exe,并不一定要执行cmd。也可以直接利用大马直接上线。
2025-07-03 17:04:34
1019
原创 系统安全之大模型案例分析
最近大模型(LLMs)除了被单独用作聊天机器人之外,还因为其卓越的通用能力,被人们进一步集成到各种系统里。这些以 LLM 作为核心执行引擎的系统有更丰富的功能,也进一步推动了 LLM 系统的快速发展与部署,如配备各种工具、插件的 OpenAI GPT-4、豆包等等。而如果往前追溯的话,2023 年可被视为 LLM 系统的“元年”,因为当时OpenAI 发布了 GPTs ,允许用户自定义 LLM 系统的能力,并可通过 GPTs 商店进行发布。
2025-07-01 16:36:47
871
原创 【网络安全】Mysql注入中锁机制
利用锁机制的优势就是不易被waf检测(在写文章的时候似乎写入其他延时payload会导致出错无法预览,而锁机制的延时payload则可以正常预览,这也算是不易被检测的一种),既然大名鼎鼎的雷池waf都能成功延时,那么市面上大多数的waf应该也一样。那么接下来的注入方法就由各位师父大显神通了,这里就不再做太多的赘述。
2025-07-01 16:13:19
1031
原创 【网络安全】实战渗透中的信息收集
在这些关键人员的PC中,需要重点关注XShell、Secure CRT、Final She11 等SSH 登录软件、TeamViewer 和向日葵等远控软件、浏览器记录、RDP 登录记录、通讯软件、办公软件、内部相关文件、密码表等等。应尽量获取和靶标相关的文档和信息,以期望能对靶标系统有一定的了解。运维平台,包括 Zabbix、Grafana、ITSM、Kibana 等等,这些运维相关的系统,也能够看到重要系统的运行状态、日志信息、网络流量、访问情况等等,通过运维平台,也能够找到靶标系统的地址。
2025-06-30 17:10:46
157
原创 网络安全之漏洞代码审计分析
他这里首先是包含了/data/cache/route.php,然后if语句是查看route.php中是否存在pathinfo数组,查看了route.php,里面为空,所以直接跳到最后一行,包含了/core/dzzstart.php,跟进这个文件。其亮点包括强大的文件共享功能和先进的AI辅助管理工具,为用户提供了便捷、智能的文件管理体验。漏洞文件在dzz/textviewer/index.php下,所以路由的话就是index.php?首先是包含了/coreVBase.php,然后其他的代码是一种典型的。
2025-06-27 15:34:06
324
原创 网络安全之XSS深度渗透实战
在一次针对甲方ERP系统的渗透测试中,我发现了一个隐秘的DOM型XSS漏洞。这种表面无害的漏洞通过巧妙构造的Payload,能够绕过同源策略、突破CSP防御,最终实现敏感数据自动化收割并发送到攻击者服务器。致命漏洞链: 后端JSON接口 → 前端innerHTML渲染 → DOM解析执行 当接口返回appName: '<img onerror=恶意代码>'时,立即触发XSS。愿诸君以深度防御为盾,以持续审计为刃,在代码构建的数字迷宫中,搭建不可逾越的安全长城。1、JSONP协议(跨域数据劫持)
2025-06-27 15:26:54
307
原创 网络安全之SQL RCE漏洞
PostgreSQL( 读作 Post-Gres-Q-L)是一个功能非常强大的、源代码开放的客户/服务器关系型数据库管理系统(RDBMS)。采用类似MIT的许可协议,允许开发人员做任何事情,包括在开源或闭源产品中商用,其源代码是免费提供的。
2025-06-26 16:21:04
847
原创 web安全之h2注入系统学习
起初是在N1 Junior 2025 上面碰到一题,考点是h2的sql注入。由于之前没有见过,趁此机会系统学习一番。
2025-06-25 17:19:25
927
原创 网络安全之存储型XSS漏洞
!根本漏洞链无效过滤函数 → 事件处理器白名单缺失 → 属性逃逸构造 → DOM数据渗出完整漏洞链渗透测试链路过滤检测 → 属性逃逸 → 事件注入 → 数据提取 → 外传通道//坚持自己选择,不要遇到绕不过的就放弃了,毕竟有很多事情,不起尝试怎么知道自己不行咯!XSS漏洞挖掘的本质是语法与规则的对抗。对过滤机制的逆向解构业务场景数据节点的测绘渗出通道的隐蔽性保障 保持对空格/引号/括号等基础语法元素的敏感性,往往比追求复杂攻击技术更有成效!
2025-06-25 16:37:22
892
原创 网络安全之某cms的漏洞分析
该漏洞源于Appcenter.php存在限制,但攻击者仍然可以通过绕过这些限制并以某种方式编写代码,使得经过身份验证的攻击者可以利用该漏洞执行任意命令。发现只要我们修改了模板文件,就会重新缓存,触发file_get_contents函数,所以我们现在只要将模板文件内容修改为php代码,就可以实现RCE。重点是最后的fetch函数,打个断点,调试一下发现,如果点进一个具体的商品界面渲染的是show_product.html。这里可以修改模板文件,但是不能修改为php文件,可以修改html文件。
2025-06-23 16:17:39
460
原创 【网络安全】DNS 域原理、危害及防御
关于 DNS 的原理,这里不在做说明,你只需要知道他是 53 UDP 端口即可,以及 Wireshark 走的协议是什么样的。
2025-06-23 15:33:08
1046
原创 【网络安全】ios逆向一般整理
可能会让传入的 v15 的一部分(在内存中紧邻的数据)写入了 v16 的值,而v15等于1,也就是每个字符的ascii值都减一。self->password是输入,长度为32,与self->plain相比,相等且self->fg为0则missed。表示获取字符的 ascii 值。取子串,第一个变量是源字符串,第二个变量无法查找,第三个变量猜测是下标,第四个变量是长度。后面有uuid的字符串,直接交不对,且上面有a-f,猜测是某种映射。self相当于从内存加载,而输入的直接是最后的flag。
2025-06-20 17:28:14
1307
原创 【网络安全】文件上传型XSS攻击解析
文件上传XSS攻击已从传统Web应用延伸至云原生架构,防御策略需要结合内容检测、响应头控制、运行时监控等多维手段。2025年OWASP报告显示,采用本文提出的防御方案可使攻击成功率从行业平均的18.7%降至2.3%。硬件级隔离:基于Intel SGX构建可信执行环境AI内容识别:训练CNN模型检测图像隐写攻击区块链存证:对上传文件进行哈希存证,实现溯源审计通过技术创新与基础安全实践的深度结合,可构建抵御新型攻击的纵深防御体系。
2025-06-20 17:25:10
1170
1
原创 网络安全之Linux提权由浅入深
sh 拿到 root shell/usr/bin/python 或 python3:使用 os.system("/bin/sh") 或 subprocess 模块执行命令/usr/bin/perl:使用 system("/bin/sh") 拿 shell/usr/bin/env:可用 env /bin/sh 方式执行 shell/usr/bin/bash:如果带有 SUID,可直接提权执行 /bin/bash -p。在 Linux 系统中,一切皆文件,包括普通文件、目录、设备文件、套接字等。
2025-06-20 09:17:49
814
原创 网络安全之远程代码执行漏洞分析
漏洞信息详情漏洞编号漏洞名称Ollama 远程代码执行漏洞漏洞类型远程代码执行(RCE)发现时间2024年5月5日公开时间2024年6月24日漏洞评级高危CVSS 3.1分数9.1(严重)影响范围修复版本Ollama 0.1.34及更高版本Ollama是一个专为在本地环境中运行和定制大型语言模型(LLM)而设计的开源工具。它提供了一个简单高效的接口,用于创建、运行和管理AI模型,同时还提供了一个丰富的预构建模型库,可以轻松集成到各种应用程序中。
2025-06-19 16:09:07
906
原创 网络安全之任意文件读取利用
刚好最近一大批漏洞都爆出来了,比如Kubernetes Ingress-Nginx Admission Controller RCE Escalation,是危害性极大的高危漏洞,在内网渗透中能直接击穿K8S集群。这些高危漏洞其实分析文章很多,看国内外众多大佬的分析都非常精彩,这里我也不献丑了。但引起我关注的漏洞是Vite Development Server Arbitrary File Read 这个任意文件读取漏洞。
2025-06-17 17:30:08
760
原创 网络安全之CTF专题赛RE题解
这里我还是用上面那个网站反编译的代码,虽然有部分代码反编译不完全,但不影响分析。这题还是蛮新颖的,解手势锁,然后解魔改sm4,上传解出来的图片得到flag。自解密部分,这块实际上就是首先+上自己的长度,然后反转,逐字符-i在反转。这里用jadx-dev-all去反编译,因为上面的那个网站反编译不完全。要我上传一个图片,我在资源文件里看到了个enc文件,应该是要解这个。有个默认密码,但是那个没有用,因为后面验证的密文不是这个。我没有写文件io去解这个文件,而是手动填密文进去。
2025-06-12 17:11:44
1356
原创 网络安全之框架安全漏洞分析
Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,本质上可以看作是对 Servlet 的高级封装。在 MVC 架构中,Struts2 作为控制器(Controller)负责接收用户请求,并协调模型(Model)与视图(View)之间的数据交互。Struts2 是 Struts 的下一代产品,它融合了 Struts 1 和 WebWork 的技术优势,重构并推出了全新的框架架构。
2025-06-11 16:00:43
1010
1
原创 网络安全之防病毒系统
只要是继承了MyController都需要session但是后面有几个不需要鉴权的Controller除了MyController还有一个ApiController,此控制器下都是不需要鉴权的问题点用户注册来看用户相关的控制器UserController,前面的几个方法开头都需要获取session中的username或者eid,这些都不是我们可以利用的点往后看找到regUserAction方法,直接从request中获取了我们传入的参数进行解密。
2025-06-11 15:14:44
553
原创 网络安全之CTF-Misc&取证&OSINT全解
我们编写代码,读取csv表的最后一列(除了第一行),读取第9位到第12位帮我把带有小写字母或者下划线_数据提取出来,最后全部拼起来。因为我是先写第3题,后写第二题的,发现时间差不多,而且是一个灯塔,那就试试去搜索东庠岛灯塔,还真找到一模一样的。然后发现岚庠渡只有1,2,3号,去试试H&NCTF{0504-东庠码头-岚庠渡1号},全都试过了,发现不对,发现为iV开头的base64,即png图片的base64的形式。解压之前得到的zip,得到flag.drawio文件。藏了一个电脑,我索引到一个hhh文件。
2025-06-10 17:22:48
583
原创 网络安全之内核初级对抗技术分析
Windows 内核提供了多个强大的回调接口,可以用于监控或控制系统行为,其中 ObRegisterCallbacks 和 CmRegisterCallback 是两种最常用于进程保护和注册表监控的机制。本文会通过多个完整的驱动示例,演示如何利用这两种回调进行内核级防护,并分析它们在初级对抗中的实际应用效果与局限性。测试环境:win10内核回调机制是内核安全防护的重要组成部分,但在面对有一定逆向能力和 Ring0 编写能力的攻击者时,其对抗能力仍存在上限。
2025-06-10 17:17:05
1118
原创 【网络安全】开源系统getshell漏洞挖掘
当module方法不传递任何参数时,会使用默认的参数值,也就是$path = '',所以这里也就会将$path 的值设置为PATH_OWN_FILE,也就是路径:/app/system/include/module。当M_TYPE == 'system'并且M_MODULE == 'include'时,会设置常量PATH_OWN_FILE为PATH_APP.M_TYPE.'/'.M_MODULE.'/module/'这里M_NAME的值是由我们输入的,只要不赋值即可让M_TYPE的值为system。
2025-06-09 17:23:06
447
原创 网络安全之php代码审计注入分析
信呼,免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等,让每个企业单位都有自己的办公系统。路由分析抓一个登录请求包分析其中a是方法 m是目录 如果有多层目录则 d是最外层目录 m由 文件名|目录 组成。
2025-06-09 16:39:06
482
原创 【网络安全】Qt免杀样本分析
主程序(Qt)利用poolparty timer创建并调用shellcode,shellcode调用dll run函数,run函数给dll提权重新加载,提权后把shellcode注入winlogon.exe,在winlogon.exe中生成白加黑文件并为其创建计划任务(每两小时执行一次),白加黑文件重复前面所有,不过在run时就不需要提权了,因为计划任务是以SYSTEM身份运行的。
2025-06-06 17:36:30
1123
原创 网络安全逆向分析之rust逆向技巧
分析汇编观察寄存器的变化,不难发现他将base_flag两个一组取出,随后移位、相加、与,最后将取出的base_flag数据 与 程序本身的常数 0x0B1000018结合在一起,传入了。给转移的base_flag数据在内存上下断点,继续F9,再次断在加法操作位置,这里内存和寄存器上的值都不是base_flag数据,所以直接跳过。对改内存区域进行了比较。F9,再次断在了异或操作上,继续用上次的方法来判定该次异或是否为比较操作,这次异或 ==> 取出了原先放入的base_flag数据,并与。
2025-06-06 17:29:01
1947
原创 网络安全之攻防项目中的代码审计
这个上传漏洞的流程同样也很简单,代码一看就懂,其实使用第三方组件对上传请求进行的处理就没必要分析了,像第一个案例分析的上传中对请求体进行处理的流程,就是第三方开源的组件,也只是普通获取上传包里的文件名之类的,不会有什么自定义的流程需要关注,而只有系统自己的代码逻辑才会影响最后的上传结果。这个上传漏洞需要足够细心,主要是代码中的一些函数名都被设置成了a、b、c等字母,很容易忽略一些关键函数而浪费很多时间,但其实只要跟着代码流程挨个分析还是没什么问题的。
2025-06-05 16:22:51
698
原创 网络安全之手把手带你搞懂堆利用套路
堆利用一直是 CTF 和安全研究中最具挑战性、同时也最具魅力的方向之一。相较于传统的栈溢出,堆的利用手法更加多样,依赖内存分配器的内部机制,攻击思路往往更具“艺术性”。我在学习堆利用的过程中,发现很多攻击技术彼此之间既独立又紧密相关,理解一个点常常需要对 glibc 的堆实现有一定的了解。
2025-06-05 15:39:29
732
原创 【网络安全】fastjson原生链分析
说起 fastjson 反序列化,大部分的利用都是从 @type 把 json 串解析为 java 对象,在构造方法和 setter、getter 方法中,做一些文件或者命令执行的操作。当然,在 fastjson 的依赖包中,也存在着像 CC 链 一样的利用的方式,从 readOject 出发,达到命令执行的效果在 fasjton 中 可以序列化的类有。
2025-06-04 15:11:34
809
原创 【网络安全】漏洞分析:阿帕奇漏洞学习
Partial PUT原始实现处理不完整PUT请求时替换文件路径分隔符,由于开启了session的持久化缓存机制,因此导致默认情况下PUT上传到的文件目录在同一个临时文件夹中,可通过session完成反序列化。:MacOS 和 Windows 平台因File.exists()检查及大小写忽略问题,可通过条件竞争加载xxx.Jsp文件写入DefaultServlet,此时如果恰好GET xxx.jsp碰到文件的落地,最终xxx.Jsp交给了JspServlet处理器处理。
2025-06-04 14:31:01
974
原创 内网横向之RDP缓存利用
RDP(远程桌面协议)在连接过程中会缓存凭据,尤其是在启用了 "保存密码" 或 "凭据管理器" 功能时。这个缓存的凭据通常是用于自动填充和简化后续连接的过程。凭据一般包含了用户的用户名和密码信息,或者是经过加密的身份验证令牌所以我们想登录这个rdp缓存,就是先找到凭证,再通过mimikatz来解密凭证,获取明文。
2025-06-03 17:35:03
679
原创 2025LitCTF re wp复现
魔改RC4,直接在异或处下条件断点,动调获取密钥流定位到main前面都是一些初始化函数以及把输入的char型字符串转成int型数据关键加密在sub_401722(Block, des)加密逻辑就是类似于卷积操作用numpy解eazy_tea有些花指令,清理后反编译代码如下:加密逻辑:经典TEA,脚本一把梭补:去花指令典型的jz和jnz条件跳转,双击loc_C95069mov eax,ebp处按'd'查看十六进制显然程序无论如何都不会执行89h,所以nop掉,另外其实程序就是先执行add
2025-06-03 17:26:13
932
原创 网络安全之Web渗透加解密
第六步保留该断点网页(注意该技术使用的是在该断点帧执行表达式,断点是不能动的),打开新的测试的网页,使用burp将l(n)替换为n,即前端替换成明文数据。完成所有代码加解密流程,整体干净整洁清爽,原汁原味,还可以将一部分JS函数做成接口,避免手动重复实现。#当然我这里使用的是条件断点调试展示,对条件断点感兴趣的可以去了解一下。第五步构造原汁原味的mitmproxy接口与本地加解密接口通信。第三步找到加密点,这一章节去看别的文章即可,积累经验。,连接cdp,此时会有两个本地接口发送至burp。
2025-05-29 16:01:23
664
原创 网络安全之文件上传漏洞挖掘思路
读取文件功能点接口,按照读取的文件id返回对应的文件,字段file=xxxx,同上文不同的是虽然功能也是为文件相关,但相关字段并不是idfileidinode这种明确表示依靠文件id输出文件的,而是file表示文件相关字段,此类场景不仅仅可以测试注入、越权、遍历、还可以测试任意文件读取,类似的参数还有filesname file files, 不外乎功能点,只能接口字段出现此类就可以测试,只是这种漏洞出现在操作文件读取下载场景较多,下面会介绍到利用伪协议读取场景。理解http://xxxx/saber?
2025-05-29 15:46:54
946
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人