余防-优快云博客

原创 java代码审计

重点关注传参传参是否落入危险函数中细致跟踪落入危险函数中的接口。红色 - 是删去的绿色+ 是加上的重点分析加上的代码加以利用。代码使用spring boot开发通过注释的方式配置程序的接口。假设正在使用的9.0.0 可以分析9.5.0更新的漏洞加以利用。查找网站中使用到的组件和类库版本针对组件和类库完成攻击。分析网站使用到的组件和类库看是否有使用存在漏洞的类库。需要寻找存在漏洞的组件并且这些组件在程序中被使用。通过排查接口的代码查看是否使用危险函数。通常是在源码能运行的情况下去进行的。

2025-11-04 09:52:04 323

原创 Python入门到第三方库的使用

arg(即argument,参数)有时你还能见到这种写法:parameter,二者都是参数的意思但是稍有不同，这里不展开说了。range():可以生成一个数据集合列表 range(起始:结束:步长) 步长不能为0。and,or 用于布尔值的之问的运算，具体规则如下:(优先级()>not>and>or)布尔类型的数据只有两种，True 和False(需要注意的是首字母大写)。●def(即define,定义)的含义是创建函数，也就是定义一个函数。以上分别输出 an ang a angsan zhang。

2025-10-13 11:24:52 791

原创 webshell查杀流量日志分析

awk -F":"'($2==""){print $1}'/etc/shadow 查看是否存在空口令账号。awk -F:'$3==0{print $1}'/etc/passwd 查看当前特权用户。这里使用的一个工具 shellpub（河马）可以下载也可以在线查杀直接将可疑文件放入。cat /etc/passwd |grep "/bin/bash"查看可登录账号。cat/proc/version 查看系统版本信息。cat/etc/passwd 查看系统用户信息。代理挂socks 需要更改代理端口。

2025-10-10 21:19:23 513

原创撰写渗透测试报告

1、一般来说我们编写的渗透测试报告最终会由客户或者其管理人员阅读，他们可能并不具备相关的专业知识，所以写报告前首先需要明确的一点就是危害部分尽量使得报告通俗易懂。2、渗透测试报告中的细节非常重要，专业上的步骤要详细，写文档时注意字体、大小、颜色等细节。3、一般来说大多数公司都会给你提供报告的模板，每个模板之间都可能不一样。2、渗透测试报告撰写的流程。1、渗透测试报告注意事项。

2025-10-06 21:23:32 253

原创应急响应

检测阶段：通过日常的监控，收集系统信息日志等手段对可疑的迹象进行分析、判定，如果判定他属于网络安全应急响应时间则对该事件进行上报（可以利用netstat -ano查看端口连接情况，也可以使用tasklist | findstr "PID"对具体pid进程定位。抑制阶段：分析影响范围，根据预案采取相应手段，限制攻击的范围，设置隔离区，把影响降低到最小（可以使用安全软件把危险文件进行隔离，如果整台电脑完全沦陷，也可以考虑首先断网）5.利用工具对目录进行扫描，查询到还有其他的webshell，全部进行删除，

2025-10-06 18:55:25 480

原创代码审计

代码审计就是看着代码找漏洞例如看过滤规则进行SQL注入看哪里能上传文件图片马等拿getshell 通过了解更多的函数的使用逻辑找到漏洞多看看代码审计的文章拓宽攻击面。魔术引号问题会在单引号双引号斜杠转义可以尝试宽字节注入或者找没有做过滤的请求头进行注入用sqlmap跑请求头的时候需要考虑闭合问题。1、eval() 函数 (那个eval必须读取某个配置文件的内容)1、通读全文法（1 CMS) 后端。2、危险函数定位法（SQL注入）静态代码审计：通过看代码的方法找到漏洞。

2025-10-06 17:02:59 343

原创 Cobalt Strike

2. 注册表 ===> 等待其他的钩子，重新将我们的后门给调用起来。http port(C2) 后门反向连接的端口 => msf中的lport。http host 后门反向连接时指向的IP => msf中的lhost。攻击 => 选择对应类型 => 选择对应监听器 => 生成后门。msf => 设置监听 => 生成后门，然后再目标服务器上运行。 msf => 必须得马上脸上我们msf监听器。1. 默认的设置 ===> 正常运行之后。

2025-10-05 22:28:39 332

原创内网渗透2

cookie => 1. 输入用户名密码 => 2. 服务器后台生成一对 session 和 cookie => 将cookie返回给浏览器 => 再次访问时，只需要提供cookie，就能完成鉴权操作。在获得目标系统的操作权限之后，利用登录信息制作一份证书，之后再想使用的时候，就只需要携带上证书的信息，就可以访问了。通过检查域控主机是否存在可利用的漏洞，如果存在可以利用的漏洞，直接对漏洞发动攻击，拿下目标服务器。 hash传递 => 需要使用域用户的hash进行传递。

2025-10-05 22:25:57 434

原创内网渗透

gognj2dm.aqlab.cn => 公网IP ( 只要能上网，就能访问到它) => 在路由器上有设置端口转发： xxxx => 10.0.1.4:3389。A运行一个应用 > 监听2个端口（c\d）， A:c => A:d => 128:80。在目标服务器上运行一个新的服务，这个服务会将用户的请求转发到内网，从而实现对内网中的其他服务进行访问。本机的流量转发工具，就能将本机的一些攻击流量，转发到目标内网服务中。

2025-10-05 22:18:15 965

原创 bypass--绕Waf

通过连接数据库网址换成你的主机打开maoshe数据库取info表里的一个数据实际攻击可以换成你的库名表名需要提前把你表明里的数据写成 eval($_REQUEST[a]> 没有拦截，加了$_REQUEST['a']就拦截。////获取Cookie传参数组 a=1 $key=a $value=1。测试拦截$_REQUEST['a']的哪个部分。测试发现拦截的是 [ ]

2025-10-04 22:51:08 611

原创 MSF制作恶意文件免杀基础

shellcode特征过滤将代码转换为的1.jpg加载放进buf 再将数据流转换为bytearry 在最后在打包成exe文件就实现免杀（exe文件和1.jpg要放在同一目录下） QQ => 安全应用 => 某个dll是能被解析并且提取的 => 将这个安全的呢dll替换成被改造过后的dll文件(shellcode)壳不安全,可能被脱壳 => 1. 自研一套壳(使用冷门的加壳手法) 2.软件开发中常用的壳. 遇到了未知加壳手法。有针对性的进行免杀。

2025-10-04 11:52:37 1547

原创 MSF后渗透（提权）

在线比对补丁查找 exp: http://blog.neargle.com/win-powerup-exp-index/有一些软件是需要高权限才能运行的，如果这个软件有漏洞，让这个高权限运行的软件来执行我们的后门文件。重新再kali中设置一个监听，通过提权之后去运行后门文件，这样就获得了一个高权限运行的后门。如果没打补丁通过搜索 ms16-075 漏洞的利用工具，来对这个漏洞进行利用。进程迁移：将当前的进程，迁移到其他进程里面。排除上面收集到的两个补丁编号，剩下的就是我可以进行利用的。

2025-10-03 19:34:23 706

原创 Metasploit基础（MSF）

1. 正向连接 => 我们 => 目标 (有一个固定、可被访问的IP) 服务器 http://192.168.0.31/1.php。 Payload options (windows/x64/meterpreter/reverse_tcp): 针对攻击载荷进行设置。exp模块进行攻击 nday 漏洞(有了补丁，有了相应的防御策略) 要看你的攻击场景的。meterpreter终端下面，功能命令，它的指令的实现，是有封装函数的。

2025-10-03 16:19:39 725

原创 JAVA反序列化漏洞

在shiro <= 1.2.4中，反序列化过程中所用到的AES加密的key是硬编码在源码中，当用户勾选RememberMe并登录成功，shiro会将用户的cookie值序列化，AES加密，接着base64编码后存储在cookie的rememberMe字段中，服务端收到登录调求后，会对rememberMe的cookie值进行base64解码，接着进行AES解密，然后反序列化。Java序列化结果是一个二进制流，不能直接修改，所以一般需要通过修改对象的内容，然后再序列化，得到攻击载体。

2025-10-03 11:01:54 593

原创 unserialize反序列化漏洞

反序列化漏洞本质上serialize()和unserialize()在PHP内部实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。对象是人们要进行研究的任何事物，它不仅能表示具体的事物，还能表示抽象的规则、计划或事件。对象在程序运行时，是内存中的一项数据，当我们的程序运行结束之后，对象就会被回收，回收完毕，对象也就没有了。的具体化就是对象，也可以说类的实例是对象，类实际上就是一种数据类型。类具有操作，它是对象的行为的抽象，用操作名和。

2025-10-02 17:01:10 281

原创代码执行漏洞

一句话木马： array_map('assert',array($_POST['c']));2、assert($a)//只能单行执行 assert($_REQUEST['a']) //如何多行执行呢？//eval是代码执行用的最多的，他可以多行执行 eval($_REQUEST['a']);

2025-10-02 10:58:48 740

原创风险评估

1.风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。4.威胁动机:指引导、激发.为威胁进行某种活动，对组织业务、资产产生影响的内部动力和原因威胁动机可划分为恶意和非恶意,恶意包括攻击、破坏、窃取等，非恶意包,括误操作、好奇心等。自评估是指评估对象的拥有、运营或使用单位发起的对本单位进行的风险评估;依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾害、较为严重的自然灾害和严重的自然灾害。

2025-10-01 21:02:08 566

原创等级保护2.0

网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。信息系统受到破坏后，对公民、法人和其它组织的合法权益造成特别严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害(公安部门备案，要求每年测评一次)不能立即消除的，应限期整改。等级测评委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。

2025-10-01 21:01:49 523

原创支付漏洞

优惠劵其基本都是优惠，一般用优惠劵进行消费一般出现在第二个步骤当中：确认购买信息，在这个步骤页面当中，你可以选择相关优惠劵，然后直接修改金额大于或等于商品的价格就可以，或者直接修改其为负值进行尝试，最后进行支付，如果对这点没有加以验证，那么问题就会产生，直接支付成功。支付——订购、订单、付款三个步骤当中的随便一个步骤进行修改价格测试，如果前面两步有验证机制，那么你可在最后一步付款时进行抓包尝试修改金额，如果没有在最后一步做好检验，那么问题就会存在，其修改的金额值你可以尝试小数目或者尝试负数。

2025-10-01 18:32:04 432

原创越权漏洞（垂直水平交叉）

cookie-session 身份相关联的信息会保存在cookie => 找到相关的session => 通过session中的信息进行权限校验。在a中，将info_id = 14 =》操作完，b的数据发生了变化。1. burp抓包当权限鉴定信息出现在请求包中,我们可以尝试修改这个身份权限。2. 服务器根据数包校验完权限,确认数据包具有访问这个功能接口的权限时。2. 参数里面都包含一些关键的内容,用来指定强相关的这项数据。**水平越权**: 从普通用户变成其他普通用户。

2025-10-01 11:40:27 767

原创验证码绕过、密码找回漏洞

允许注册. 自己注册一个账号账号密码(已知)然后把账号密码放在密码本的三百行以后进行爆破（有的网站会验证码仅能重复用十几次) 即可验证危害拿账号密码提交。2. 验证码无次数限制可爆破(验证码可重复利用) 可以用5分钟，在一定的错误次数限制内有效 30分钟。显示验证码已使用不管直接重置密码发现成功（验证码已经在爆破中使用重置密码的端口已经开放）比如他的验证码包含在URL里面，是一个URL传参，我们可以把URL设置定，那么验证码可控制。2. 验证码绕过有的src不收需要验证危害。

2025-09-30 12:03:43 702

原创 XXE - 实体注入（xml外部实体注入）

变量test里面是XML 然后试用simplexml_load_string将其转化为对象，第一个参数是xml语句，SimpleXMLElement是调用了SimpleXMLElement这个类，然后LIBXML_NOENT是替代实体，然后他去执行了file协议去读取我的文件。simplexml_load_string() // 读取字符串当作xml执行。1、XXE => XML外部实体注入（目标执行了我们提交的XML代码）simplexml_load_file() // 读取文件当作 xml执行。

2025-09-28 21:52:40 1959

原创 SSRF - 服务器端请求伪造

1、你访问了目标站点，然后翻译网页的网站通过js获取你页面显示的信息，然后传递给翻译网页去查。2、翻译网站直接替代我们去访问那个目标站点，然后获得内容后查询英文对应，然后处理完返回给我们。DNSlog : 要有外网 (无外网的内网机器怎办) 上所有的内网地址强行扫描。3、攻击目标本机（dict:// file:// 读取文件）://mp.zgkyb.com/m/news/41570.html (伪静态)1、访问内网(外紧内松) （要能访问内网能访问本机）（有些网站对127.0.0.1的访问是不设防的）

2025-09-28 19:13:52 512

原创 awvs、xary

alert(1)</script> 内容，原原本本的出现在响应页面中，则存在xss漏洞，否则不存在。<code> <script>alert(1)

2025-09-28 14:51:39 671

原创文件上传漏洞（二）iis6.0 CGI漏洞

别名(phtml)、点、空格、NTFS文件流(::$DATA)、.htaccess(化学反应)、构造绕过(白盒)、双写绕过(强行替换删除)、大小写绕过。检测需要时间，如果你上传的够快的，可以卡时间差，在删除之前访问到。if(in array($file ext,$ext arr) 如果文件后缀名是组里的一个。检测的是上传的问题，但是如果你上传的文件，他写了一个木马，他是不会被检测的。$ FILES['upload file']['name'] 你上传的文件名。

2025-09-27 16:55:58 622

原创文件上传漏洞

末尾加空格，空格在后端代码中是正常存在的，并且有含义，但是保存文件时，末尾的空格会被操作系统删除。菜刀和蚁剑连接不需要后面的传参密码就是传参的名字（只能用Request传参）当php会栏可尝试以下后缀名php3，php4，php5，phtml。application/x-httpd-php php代码的处理格式。允许用户上传任意文件时，此时认为是一个漏洞(任意文件上传漏洞)任意文件 : 一般特指网站后端代码，后端代码可以被解析。::$DATA 针对 ntfs 文件流的特性。

2025-09-25 19:12:18 980

原创 CSRF跨站请求伪造

1. 漏洞网站 => a 站点存在csrf漏洞的（http://192.168.0.31/bluecms/user.php?如果无法诱导用户访问b站点可以再用户常访问的c站通过xss漏洞插入csrf恶意代码就是在用户访问c站时盗用a站的cookie。简单来说就是借助用户a站的cookie 在用户访问b站后修改a站内容。点击链接会完成自动提交。3. 浏览器会把a站的cookie填充到请求包中，让这次接口请求可以完成。copy html 后把这段代码插入到要让用户访问的b站就可修改数据。

2025-09-24 19:00:43 1856

原创 xss钓鱼目标（beef setoolkit）

将目标网站与beef结合打开这个vim ~/.set/web_clone/index.html 加上弹窗代码注意不要改变源代码结构。基于一款浏览器攻击框架，用Ruby语言开发的，Kali中默认安装的一个模块，用于实现对XSS漏洞的攻击和利用。确认目标框之后将beef里的恶意语句插入要将127 换为主机ip。在网站有多个框时十七线是不同的弹窗信息进而确定哪个框有xss、进入 vi /etc/apt/sources.list。默认账号密码 beef/beef。第一次进入需要设置账号密码。

2025-09-24 11:47:41 423

原创 Dom Based XSS

3、http-only [禁止JS去读取Cookie]最核心的Cookie加http-only 有办法绕过，但是条件有点苛刻)document.write 向文档中写HTML代码 [Dom xss常见的存在方式]document.cookie 读取当前网页的Cookie [xss必备]document.cookie （获取了Cookie 从浏览器里面）JS去操作去浏览器。XSS => 前端注入 => 用户输入的数据被当做前端代码执行(JS)

2025-09-23 18:03:08 397

原创存储型XSS，反射型xss

服务器 -> 生成一对session和cookie (一串随机值) => 将cookie下发给浏览器 => 浏览器在次访问时，需要携带 cookie。确定xss漏洞时在目标网站执行在xss平台的恶意代码其他用户访问的时候平台就会显示其他用户的cookie。https://www.cnblogs.com/Cl0ud/p/12176961.html # 搭建教程。对一些比较敏感的业务，xss平台可能会导致信息泄露，同时无法解释是谁干的。1. 根据功能，分析可能存在的漏洞，然后进行一一验证。

2025-09-23 16:22:50 1013

原创 xss原理分析

（1）过滤输入的数据，对例如：“ ‘ ”，“ “ ”，” < “，” > “，” on* “，script、iframe等危险字符进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行检查。必须攻击特定的用户：网站的管理员，cookie，有了管理员的cookie，可以不用账号密码登录网站。

2025-09-22 17:01:53 1033

原创 sqlmap绕waf脚本编写（temper）

可以通过返回图片找waf是哪一家：https://blog.youkuaiyun.com/weixin_46676743/article/details/112245605。re.sub(替换前内容，替换后，要替换值) r”” 是告诉别人这个是正则语句类似//过滤规则:检测到就删除： union => 空 uniounionn。uinon => 会把关键词替换为空 uniounionn => union。waf会拦截恶意传参你们。例 sleep() => sleep/**/()

2025-09-21 18:49:51 701

原创 Oracle注入 — 报错注入

去查询主题的对应关键词然后因为查询失败（应该是这个用户没有创建和查询的权限默认情况没有创建爆出来未查询到的错误从而爆出未查询的内容）to_nchar 将varchar2转为nvarchar2。Limit 是mysql数据库的特有的东西。如果取两条数据不是rownum=2。1970-01-01 08:00:00 => 时间戳。Oracle => 库被弱化用户被强化。有两条数据要去第二条时在后面拼接上库名不等于第一条。4、通过函数对字符串的处理让他变成数字。MSSQL TOP 分页。

2025-09-21 10:25:31 472

原创堆叠注入-反弹注入

union select 1,db_name(),'b'-- 1 # db_name() 专属于mssql数据库的查库名方式。opendatasource() 在当前数据库中创建新的数据库连接，然后返回一个数据库连接句柄。攻击手法是通用的，只是在不同的数据库中使用到的函数不同。mssql 不需要暴库 = 特意忽略数据库的概念的。数据库结构：基于用户来操作数据库，所有的表再一个数据库中。将前一个SQL语句结束，然后执行新的SQL语句。NULL => 可以适配任意的数据的类型。

2025-09-20 17:31:47 531

原创 access注入--偏移注入

select * from news where id = 1 union select 1,2,3,admin.*,7,8,9,10 (假设news表中有10个字段，并且6这个位置是显错位，admin表假设拥有3个字段分别是id,username,password)如何找隐藏显错位在查询语句中输入特殊数字通过查找网页源码中的特殊数字找到显错位。由于显错位是3 5 7 所以此时显示的是第3 5 7字段的值。显错位为3 5 7 通过偏移注入原理即可不知道字段出数据。有些显错位不在页面上在页面源码里。

2025-09-20 11:27:20 327

原创 cookie注入

账号密码一般在盛行Access数据库的年代，都在admin表的username和password字段中。判断他的显错位union select 1,2,3,4,5,6,7,8,9,10 from admin。php中的$_REQUEST[ ]可以获取POST|GET|COOKIE传参。很多时候开发在开发的时候为了考虑到多种接受参数，在接受参数的时候都是用多种解释传参的方法。Cookie：允许服务器在用户的浏览器中存储信息，以便在后续请求中使用。get和cookie同时传参服务器优先接受get传参。

2025-09-19 17:41:56 545

空空如也

空空如也