HBohan的博客

漏洞描述在2.13.1版本之前的APache APISIX中，攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点，错误响应中包含原始密钥值。漏洞版本Apache Apisix < 2.13.1插件开启在这里给大家演示的是Dashboard页面开启jwt插件。1、当我们环境搭建完毕后、通过访问http://127

前言这个CMS非常适合入门代码审计的人去学习，因为代码简单且漏洞成因经典，对一些新手有学习价值，前台注入从入口开始:/semcms/Templete/default/Include/index.php[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xhTdHBVn-1651041211358)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/490ca1b2038f48148c14ac62455278ef~tplv-k

声明：本次实践是在合法授权情况下进行，数据已经全部加密，主要是提供思路交流学习，请勿用于任何非法活动，否则后果自负。本地代码走查本次白盒代码测试的cms是DuomiCms，这次使用Seay工具进行代码审查，下载DuomiCms源码，然后工具加载。先全局搜索危险函数，依次排查；extract();//把数组编程变量parser_str();//把字符串变成变量$$； //可变变量，将变量的值读出来然后再赋值为变量在函数定位后，在文件中依次寻找有通用性的文件后缀内容，如下所示；//此类后.

什么是SSRFSSRF(服务端请求伪造漏洞) 由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。一般情况下，SSRF针对的都是一些外网无法访问的内网，所以需要SSRF使目标后端去访问内网，进而达到我们攻击内网的目的。通过SSRF，我们可以访问目标内网的redis服务，mysql服务，smpt服务，fastcgi服务等造成漏洞的一些函数file_get_contents()：将整

一. 漏洞利用条件jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本二. 漏洞分析一开始复现这个漏洞的时候，听其他师傅说是一个老漏洞CVE-2010-1266的绕过，之前也没调试过这个漏洞，看了些分析文章后，大概明白是对Spring中的bean的漏洞利用，通过API Introspector. getBeanInfo 可以获取到PO

本文主要为大家介绍了Web网络安全漏洞分析SQL注入的原理详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪一、SQL注入的基础1.1 介绍SQL注入SQL注入就是指Web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。下面以PHP语句为例。$query = "SELECT * FROM users WHERE id = $_GET['id']";由于.

[VNCFT2021]gocalc0复现这道题当时出了非预期，session两次base64就能getflag，但是这道题本身的考点是Golang SSTI正好复盘学习一下打开题目能看到经典计算器点开flag在这里发现只有短短一行提示flag is in your session这里按照非预期接还是能够拿到flag但是我们要看一下具体按照预期方法怎么能拿到flaghttps://www.jianshu.com/p/e0ffb76ba7e9【查看相关资料】1、网络安全学习路

DolphinPHPDolphinPHP（海豚PHP）是一个基于ThinkPHP5.1.41LTS开发的一套开源PHP快速开发框架，DolphinPHP秉承极简、极速、极致的开发理念，为开发集成了基于数据-角色的权限管理机制，集成多种灵活快速构建工具，可方便快速扩展的模块、插件、钩子、数据包。统一了模块、插件、钩子、数据包之间的版本和依赖关系，进一步降低了代码和数据的冗余，以方便开发者快速构建自己的应用。漏洞分析看到application\common.php#action_log函数观察到有

漏洞报告Smarty 是 PHP 的模板引擎，有助于将表示 (HTML/CSS) 与应用程序逻辑分离。在 3.1.42 和 4.0.2 版本之前，模板作者可以通过制作恶意数学字符串来运行任意 PHP 代码。如果数学字符串作为用户提供的数据传递给数学函数，则外部用户可以通过制作恶意数学字符串来运行任意 PHP 代码。用户应升级到版本 3.1.42 或 4.0.2 以接收补丁。源码分析对比官方修复的代码，在/plugins/function.math.php添加了如下一段// Remove whites

一.前言1.漏洞信息该漏洞是在win32k中的bGetRealizedBrush产生的，是一个内核空指针解引用的漏洞，利用该漏洞可以完成提权操作。由于有公开的POC，所以对这个漏洞的分析和利用就变得简单，POC代码如下：/** * Author: bee13oy of CloverSec Labs * BSoD on Windows 7 SP1 x86 / Windows 10 x86 * EoP to SYSTEM on Windows 7 SP1 x86**/ #include &lt

漏洞利用原理：通过pipe生成一个管道，然后使用write调用pip_write将管道填满flag为PIPE_BUF_FLAG_CAN_MERGE，然后用read将缓冲区全部释放，但是根据splice进行零拷贝时copy_page_to_iter_pipe没有将flag初始化，导致缓冲区仍然留存PIPE_BUF_FLAG_CAN_MERGE。进而在write上检测flag存在PIPE_BUF_FLAG_CAN_MERGE来达成越权写入操作。什么是零拷贝？零拷贝是作用于两个文件间移动，正常文件拷贝流程一

一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性，通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大，很容易被edr等安全产品检测到。为了弥补这个缺陷，stephen fewer提出了反射式dll注入技术并在github开源，反

漏洞描述内核模块win32kfull.sys的win32kfull!xxxClientAllocWindowClassExtraBytes函数中存在Type Confusion漏洞，利用此漏洞进行越界读写，最终可实现本地提权官方通报影响的windows版本:Windows 10 Version 1803/1809/1909/2004/20h2Windows Server, version 1909/20H2(Server Core installation)Windows 10 Version f

前言本次采用Tr0ll经典项目作为靶场，模拟互联网环境，演示从信息收集到最后提权的全过程。本次实验所涉及到的技术有端口扫描、流量分析、文件分析、hydra爆破、各种反弹shell、稳定shell、计划任务反弹shell(提权)，公私钥互碰等一系列基本操作，适合入门不久的初学者练习。攻击机：192.168.160.3受害机：192.168.160.7一、信息收集1、全端口扫描nmap -p- 192.168.160.7发现开放21、22、80端口2、nmap详细扫描nmap -sS -s

一.前言1.漏洞描述该漏洞发生的位置是在驱动文件Win32k.sys中的xxxHandleMenuMessage函数，产生的原因是没有对该函数中调用的xxxMNFindWindowFromPoint函数的返回值进行合法性验证，直接将其作为参数传递给后面的xxxSendMessage函数调用，从而造成了提权漏洞。2.实验环境操作系统： Win7 x86 sp1 专业版编译器： Visual Studio 2017调试器： IDA Pro，WinDbg二.漏洞分析1.静态分析通过IDA直接

本文主要分析了CVE-2021-40444的Cabless利用链中存在的路径问题以及对之前技术研判内容进行补充。通过分析CVE-2021-40444新利用链，可以看到该漏洞的根本原因是Office文档可以通过MHTML协议请求访问远程HTML页面从而执行JavaScript代码，并最终通过Url Scheme启动本地应用程序执行投递的恶意代码，而中间投递恶意代码的方式是可以替换的。

一、前言我们在打红队的时候，经常会碰到蜜罐，而更有一些“主动防御”的蜜罐中利用到了一些网站的跨域漏洞和xss，对此进行简单分析。二、蜜罐的概念蜜罐主要是通过布置诱饵，诱使攻击者实施攻击，然后通过流量捕获、行为分析等对攻击者画像及溯源。例如HFish蜜罐，属于高交互蜜罐，通过捕获攻击者行为，获取攻击者攻击数据、IP地址等，然而只是获取这些数据进行攻击者画像是远远不够的，而HFish也提供了自定义web蜜罐的部署，简单分析下碰到的两个蜜罐。以下是红队和漏洞挖掘中碰到的两个蜜罐截图。为什么说是“.

一、前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。本文章中的漏洞均为公开的漏洞收集，如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。二、漏洞原理本次复现漏洞为未公开漏洞 CNVD-2021-49104，该漏洞是由于 e-office 其上传模块中用户输入部分未能妥善处理，攻击者可以构造恶意的上传数据包，实现任意代码执行。下图为漏洞相关代码段图1 漏洞代码段存在漏洞的源代码位置，主要是源于 uplo.

前言-基础篇在了解Bypass Waf之前，我们应该首先了解一些前置知识：1.Waf是什么2.Waf的类型3.Waf的工作原理1. Waf是什么Waf全称为Web Application FireWall（Web应用防火墙）；顾名思义Waf原理与日常使用防火墙相似，但主要注重在Web页面中存在的对应安全问题。2.Waf的类型WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型是指硬WAF、云WAF、软WAF之类。嵌入型是指web容器模块类型WAF、代码层WAF。3.Waf的工作原理.

总结了一部分 Strtus2 漏洞，虽然现在这部分的漏洞很少了，但也是学习的一部分，收集的并不全面，后续会做补充。漏洞环境搭建可以使用在线的 Vulfocus ，或者使用docker部署。

攻击者越来越多的采用云来构建自己的基础设施，这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施，也能让追踪攻击行动变得更困难。

H2是一个非常流行的开源Java SQL数据库，提供一个轻量级的内存解决方案，使得用户无需将数据存储在磁盘上。这使得它成为各种项目的首选数据存储解决方案：从Spring Boot等网络平台到ThingWorks等物联网平台。而com.h2database:h2包则是最流行的50个Maven包之一，具有近7000个工件依赖项。

一、Spring全家桶简介Spring发展到现在，全家桶所包含的内容非常庞大，这里主要介绍其中关键的5个部分，分别是spring framework、 springboot、 spring cloud、spring security、spring mvc。其中的spring framework就是大家常常提到的spring， 这是所有spring内容最基本的底层架构，其包含spring mvc、springboot、spring core、IOC和AOP等等。Spring mvc就是spring中的一个.

elFinder 是一个开源的 web 文件管理器，使用 jQuery UI 用 Ja​​vaScript 编写。Creation 的灵感来自于 Mac OS X 操作系统中使用的 Finder 程序的简单性和便利性。

分析漏洞的本质是为了能让我们从中学习漏洞挖掘者的思路以及挖掘到新的漏洞，而CodeQL就是一款可以将我们对漏洞的理解快速转化为可实现的规则并挖掘漏洞的利器。根据网上的传言Log4j2的RCE漏洞就是作者通过CodeQL挖掘出的。虽然如何挖掘的我们不得而知，但我们现在站在事后的角度再去想想，可以推测一下作者如何通过CodeQL挖掘到漏洞的,并尝试基于作者的思路挖掘新漏洞。

网络安全技术学习，承认⾃⼰的弱点不是丑事。只有对原理了然于⼼，才能突破更多的限制。拥有快速学习能力的白帽子，是不能有短板的，有的只能是大量的标准板和几块长板。知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

对于SRC的挖掘思路，很多师傅已经给出了挖掘实用技巧。今天带来一篇本人的思路分享：不受限制的资源调用。

log4j漏洞的形成原因已经有很多分析文章了，这里说一说我是如何在了解到有漏洞后，跟进漏洞产生原理的，以及发现的一些绕WAF tips

最近回顾了下之前的关于Commons Collections这块的笔记，从CC1到CC10，从调用链来看，其实都是很相似的。为了巩固下复习的效果，尝试挖掘一条新的调用链，遂出现了本文，大佬轻喷。建议读者对Commons Collections链有一定了解后再阅读此文。

起因前两天在攻防世界做题的时候，看到了一个Wakeup绕过的典型案例。正好拿来写一篇随笔记录。案例进入后，我们得到题目代码，我们现在需要读一下这个代码。先对代码进行一个审计__wakeup()很容易绕过，只需要令序列化字符串中标识变量数量的值大于实 际变量即可绕过__wakeup()函数_wakeup()的绕过，大概应该是PHP5<5.6.25，PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时，wakeup就会被绕过。（

漏洞名称：Apache Log4j2远程代码执行漏洞组件名称：Apache Log4j2截止2021年12⽉10⽇，受影响的Apache log4j2版本：2.0≤Apache Log4j<=2.15.0-rc1漏洞类型：远程代码执行

FUSE是一款功能强大的渗透测试安全工具，可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。FUSE本质上是一个渗透测试系统，主要功能就是识别无限制可执行文件上传（UEFU）漏洞。

源码下载https://www.sem-cms.cn/wenda/view-52.html看一下代码逻辑结构include_once 'db_con.php'; 数据库配置include_once 'Ant_Check.php'; sql注入检测 include_once 'Ant_Class.php'; 数据操作include_once 'Ant_Contrl.php'; 一些函数封装include_once 'class.phpmailer.php'; 邮件操作include_once

这是A guided tour through Chrome’s javascript compiler上的第二个漏洞，下面是对应的commit环境搭建用v8-actionenv: PATCH_FLAG: true COMMIT: d2da19c78005c75e0f658be23c28b473dd76b93b #这里 DEPOT_UPLOAD: false SRC_UPLOAD: true BINARY_UPLOAD: false编译cd v8tools/dev/v8

源码：https://cdn.jsdelivr.net/gh/seacms-net/CMS@master/SeaCMS.zip→点击查看网络安全学习资料·攻略←1.2000多本网络安全系列电子书2.网络安全标准题库资料3.项目源码4.网络安全基础入门、Linux、web安全、攻防方面的视频5.网络安全学习路线图漏洞分析：打开我们下载的源码漏洞源头为“图片水印设置”功能，对应的源码文件为admin_config_mark.php当我们后台使用图片设置功能时点击提交之后，这里首先

介绍今天研究内存马相关的东西，偶然间发现一处解析BUG一句话来说就是：Tomcat启动时会加载lib下的依赖jar，如果黑客通过上传漏洞或者反序列化漏洞在这个目录添加一个jar，重启后，某些情况下这个jar会被当成正常库来加载，在一定条件下造成RCE不一定算得上是漏洞，不过我还是向Tomcat发了邮件尝试Tomcat果然拒绝了，原因是需要在其他漏洞的基础上触发这个漏洞其实在一些情况下会有巧妙的利用，本文就围绕这个利用点来谈→点击查看技术资料←1.2000多本网络安全系列电子书2.网络安

某站点JS文件泄露后台接口导致Get Shell1、首页是这样子滴，爆破弱口令无果后。技术资料2、开始审计js代码；这一步我不知道新手会不会。一般右击网页->点击检查就会出现下面这种界面。一般都用的是火狐或者谷歌浏览器。3、拼接url，发现上传点；这一步是根据上一步前端JavaScrip代码泄露找到的路径信息。4、填写相关信息点击下一步，上传。这一步文件上传漏洞，如果不会的建议看看我B站发的教程，里面有的有讲解。网上也有个比较不错的文件上传漏洞靶场叫 upload-lab，你们可以

偶尔看到一个设备的漏洞挖掘。尝试也看了一下代码。如下：参考：https://blog.youkuaiyun.com/HBohan/article/details/121492754漏洞一、任意文件上传<?php$error = false;$tmpFilePath = $_FILES['upload']['tmp_name'];$tmpFilePath = mb_convert_encoding($tmpFilePath, "GBK", "UTF-8");if ($tmpFilePath !=

前言某次渗透过程中碰到了个设备产品，通过一些黑盒测试小技巧获取目标权限信息收集【点击获取网络安全学习资料·攻略】2000多本网络安全系列电子书网络安全标准题库资料项目源码网络安全基础入门、Linux、web安全、攻防方面的视频网络安全学习路线图首先拿到了目标，同样也需要对设备进行信息收集，登录页面有滑块验证和账号密码请求包加密暂时先放弃从JS里获取密码加密方法，先尝试找一些接口来获取信息，查看源代码访问一下JS目录，这里有一个小技巧，当目录存在时会自动在后面加上 /, 例

漏洞类型SSTI RCE利用条件影响范围应用漏洞概述2021年9月30日，国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞，由于SQL注入漏洞利用条件极为苛刻，故这里只对该SSTI注入漏洞进行简要分析复现漏环境搭建【技术学习资料】漏洞复现这里使用phpstudy来搭建环境网站前台：http://192.168.59.1/index.php?upcache=1网站后台： http://192.