ring4ring

红日代码审计（day15-day24）

day-15：Sleigh Ride


class Redirect {
  private $websiteHost = 'www.example.com';

  private function setHeaders($url) {
    $url = urldecode($url);
    header("Location: $url");//访问网址，这里应该有任意网址访问，任意钓鱼，等等
  }

  public function startRedirect($params) {//参数可控
    $parts = explode('/', $_SERVER['PHP_SELF']);//explode按照/把字符串打散成数组，
    $baseFile = end($parts);//将数组的最后一个元素赋值给basefile,正常情况下是改文件的名字，不过这个应该是可以被控制的 
    $url = sprintf(
      "%s?%s",
      $baseFile,
      http_build_query($params)//http_build_query实际上就是变量赋值，
    );//整个写下来应该是：1.php?xxx=xxx
    $this->setHeaders($url);
  }
}

if ($_GET['redirect']) {
  (new Redirect())->startRedirect($_GET['params']);
}
?>

初步判定是某种payload可修改 $_SERVER[‘PHP_SELF’]，导致任意网址访问的漏洞
官方说，这里是 $_SERVER[‘PHP_SELF’]失效
假如网址为：http://www.xxx.com/dir/index.php
那么 $_SERVER[‘PHP_SELF’]就是/dir/index.php
那么假如网址为：http://www.xxx.com/dir/index.php/admin
那么 $_SERVER[‘PHP_SELF’]就是：/dir/index.php/admin
这表示，有一部分是可以被我们控制的
代码里有一个很重要的点，也是突破点，在这儿：
$u r l = u r l d e c o d e ($ url);
原本url就会被服务器解码一次，又加上这个函数，它就会再解码一次，所以，我们可以用url编码两次来做到绕过某些关键词，例如：/—>%252f
所以payload：

http://www.test.com/index.php/http:%252f%252xxx.com?redirect=test¶ms=test123

这样取最后一个的时候就能重定向到其它的网址，造成任意网址跳转

day-16： Poem


class FTP {
  public $sock;//又是一个公有变量

  public function __construct($host, $port, $user, $pass) {
    $this->sock = fsockopen($host, $port);

    $this->login($user, $pass);
    $this->cleanInput();
    $this->mode($_REQUEST['mode']);
    $this->send($_FILES['file']);//这俩可控
  }//构造函数，赋值，

  private function cleanInput() {
    $_GET = array_map('intval', $_GET);
    $_POST = array_map('intval', $_POST);
    $_COOKIE = array_map('intval', $_COOKIE);
  }//取整之后赋值，

  public function login($username, $password) {
    fwrite($this->sock, "USER " . $username . "\n");
    fwrite($this->sock, "PASS " . $password . "\n");
  }//登录代码

  public function mode($mode) {
    if ($mode == 1 || $mode == 2 || $mode == 3) {
      fputs($this->sock, "MODE $mode\n");//文件写入，路径可控，内容可控
    }
  }

  public function send($data) {
    fputs($this->sock, $data);
  }
}

new FTP('localhost', 21, 'user', 'password');
?>

初步判定是个任意文件写入，并且对get，post，cookie方式传入数据都进行了过滤，偏偏没有过滤request的。
然而request是get，post，cookie的合集，request的数据丝毫不受过滤函数的影响，因此，我们可以利用request传入的数据进行
payload:

 ?mode=1%0a%0dDELETE%20test.file

day-17:Mistletoe


class RealSecureLoginManager {
  private $em;
  private $user;
  private $password;

  public function __construct($user, $password) {//这俩又可控
    $this->em = DoctrineManager::getEntityManager();
    $this->user = $user;
    $this->password = $password;
  }

  public function isValid() {
    $pass = md5($this->password, true);//以二进制格式输出，md5函数存在漏洞
    $user = $this->sanitizeInput($this->user);//对user进行过滤

    $queryBuilder = $this->em->createQueryBuilder()
      ->select("COUNT(p)")
      ->from("User", "u")
      ->where("password = '$pass' AND user = '$user'");
    $query = $queryBuilder->getQuery();//感觉是个sql注入，但是由于对user进行了处理，基本没法对user进行注入，只能从pass入手
    return boolval($query->getSingleScalarResult());
  }

  public function sanitizeInput($input) {
    return addslashes($input);//过滤' " / null
  }
}

$auth = new RealSecureLoginManager(
  $_POST['user'],
  $_POST['passwd']
);
if (!$auth->isValid()) {
  exit;
}
?>

初步判定是sql注入，并且是对password进行注入，猜测应该是一个md5函数绕过的漏洞
一般写md5加密不会写第二个参数，那么这个参数肯定有什么猫腻，

md5第二个参数设置为 TRUE，那么 MD5 报文摘要将以16字节长度的原始二进制格式返回。

本地测试如下：

$str="123";
echo md5($str);
echo "
";
echo md5($str,true);

结果：

这里跟前面有一道题有点像，思路是一样的，想要写入一个\来转义’，使得sql语句出现错误
然后就有了以下测试

$str="123";
$str1="126";
$str2="127";
$str3="128";
echo "
";
echo md5($str,true);
echo "
";
echo md5($str1,true);
echo "
";
echo md5($str2,true);
echo "
";
echo md5($str3,true);
echo "
";

可以看到，128经过md5加密之后最后一位是\，达到目的
payload：

user= OR 1=1#&passwd=128

放到语句里面就是

select count(p) from user where password='v躠n函苐绹渜帝\' and user ='or 1=1'

此时，password的值为：v躠n函苐绹渜帝’ and user =，成功达到注入的目的

*day_18:Sign



class JWT {
  public function verifyToken($data, $signature) {//这俩又可控
    $pub = openssl_pkey_get_public("file://pub_key.pem");
    $signature = base64_decode($signature);
    if (openssl_verify($data, $signature, $pub)) {//判断证书有效性，估摸着这儿可能有问题
      $object = json_decode(base64_decode($data));//对data先进行js解密，再进行base64解密
      $this->loginAsUser($object);
    }
  }
}

(new JWT())->verifyToken($_GET['d'], $_GET['s']);
?>

但是官方语言没看懂，先留着

day-19：Birch



class ImageViewer {
  private $file;

  function __construct($file) {
    $this->file = "images/$file";
    $this->createThumbnail();
  }

  function createThumbnail() {
    $e = stripcslashes(//stripcslashes() 函数删除由 addcslashes() 函数添加的反斜杠。
      preg_replace(
        '/[^0-9\\\]/',//将除数字以外的字符换成空
        '',
        isset($_GET['size']) ? $_GET['size'] : '25'//get传入值，没有则为25，
      )
    );
    system("/usr/bin/convert $this->file --resize $e
      ./thumbs/$this->file");//file不可控，但是$e是通过size处理而来的，可控，可以进行任意代码执行
  }

  function __toString() {
    return "$this->file>
      $this->file>";
  }
}

echo (new ImageViewer("image.png"));
?>

没想到，size竟然可以执行远程命令
漏洞出现在stripcslashes函数上，此函数不仅可以删除来自addcslashes添加的斜杠，还可以将这种八进制转化为字符，不过需要php高版本，7.*

\151\160\143\157\156\146\151\147  ----》 ipconfig  这里的八进制是通过字符串转为16进制，再通过十六进制转成8进制

例如：

$e = stripcslashes(preg_replace('/[^0-9\\\]/','',isset($_GET['size']) ? $_GET['size'] : '25'));
echo $e;
system($e);

传入\151\160\143\157\156\146\151\147 后，得到：
然后再回来看源码，为了使得命令顺利执行，需要将前后命令分开，所以payload

0; sleep 5;   -->0\073\163\154\145\145\160\0405\073

day-20:Stocking



set_error_handler(function ($no, $str, $file, $line) {
  throw new ErrorException($str, 0, $no, $file, $line);
}, E_ALL);

class ImageLoader
{
  public function getResult($uri)//uri可控
  {
    if (!filter_var($uri, FILTER_VALIDATE_URL)) {//这个判断url可绕过
      return 'Please enter valid uri
';
    }

    try {
      $image = file_get_contents($uri);//可以通过uri进行任意文件包含，但是无法输出
      $path = "./images/" . uniqid() . '.jpg';//uniqid() 函数基于以微秒计的当前时间，生成一个唯一的 ID。
      file_put_contents($path, $image);//写入内容
      if (mime_content_type($path) !== 'image/jpeg') {
      unlink($path);//上传类型不是图片，就删除路径，对文件头进行检验，可以构造图片马进行上传
      return 'Only .jpg files allowed
';
    }
    } catch (Exception $e) {//抛出异常
      return 'There was an error: ' .
      $e->getMessage() . '
';
    }

    return '. $path . '" width="100"/>';//返回路径
  }
}

echo (new ImageLoader())->getResult($_GET['img']);
?>

这竟然是个ssrf，官方说这里有两个漏洞
一是filter_var函数可以传入接受file://url，造成任意文件读取，But！我并不行，无法做到
二是SSRF，通过第二个file_put_contents函数执行对服务器的攻击，再由第二个file_put_contents函数打印信息
payload:

?img=http://internal:22

另一个流行的攻击场景是在攻击AWS云实例时检索敏感的AWS凭据（搞不懂，下一个）

day-21：Gift Wrap


declare(strict_types=1);//开启严格模式,不设置就会存在php弱类型

class ParamExtractor {
  private $validIndices = [];//私有的一个数组

  private function indices($input) {
    $validate = function (int $value, $key) {//数组的键大于0就让validIndices等于值
      if ($value > 0) {//如果传入字符，就会一直等于0，但是这里又开启严格模式
        $this->validIndices[] = $key;
      }
    };

    try {
      array_walk($input, $validate, 0);//数组中的每一个元素执行函数，但是这个0不知道干啥的，官方说是一个回调函数emmm
    } catch (TypeError $error) {
      echo "Only numbers are allowed as input";
    }

    return $this->validIndices;//返回数组
  }

  public function getCommand($parameters) {
    $indices = $this->indices($parameters);//相当于一个waf，将输入的数组进行过滤
    $params = [];
    foreach ($indices as $index) {
      $params[] = $parameters[$index];
    }
    return implode($params, ' ');//数组变成字符串
  }
}

$cmd = (new ParamExtractor())->getCommand($_GET['p']);//p可控，p传入一个数组
system('resizeImg image.png ' . $cmd);
?>

这个array_walk函数我总感觉有点问题，官方文档又说第三个参数被设置只是把第三个参数作为自定义函数的第三个函数回调自定义函数
看不懂，官方语言说：

array_walk（）的使用也存在一个错误，它忽略了严格类型，而是使用PHP的默认弱类型。因此，攻击者可以将命令附加到系统调用中执行的最后一个参数。可能的有效载荷看起来像？p[1]=1&p[2]=2；ls-la。

官方payload：?p[1]=1&p[2]=2；ls-la (做不到，这就是玄学吧：）)

day-22：Chimney


if (isset($_POST['password'])) {//如果post传入了password，就把cookie设置为password的md5
  setcookie('hash', md5($_POST['password']));
  header("Refresh: 0");
  exit;
}

$password = '0e836584205638841937695747769655';
if (!isset($_COOKIE['hash'])) {//如果cookie hash为空，就让他输密码
  echo ''
  . ''
;
  exit;
} elseif (md5($_COOKIE['hash']) == $password) {//如果hash值等于md5就登录成功，这个php弱类型啊，通过md5碰撞就可以绕过
  echo 'Login succeeded';
} else {
  echo 'Login failed';
}
?>

hash值应该通过hash_equals（）函数来进行比较，如果像如上代码进行比较的话，又php弱类型和md5碰撞来绕过

day-23：Cookies


class LDAPAuthenticator {
  public $conn;
  public $host;//注意注意，公有属性出没

  function __construct($host = "localhost") {
    $this->host = $host;
  }

  function authenticate($user, $pass) {
    $result = [];
    $this->conn = ldap_connect($this->host);
    ldap_set_option(
      $this->conn,
      LDAP_OPT_PROTOCOL_VERSION,
      3
    );
    if (!@ldap_bind($this->conn))
      return -1;
    $user = ldap_escape($user, null, LDAP_ESCAPE_DN);
    $pass = ldap_escape($pass, null, LDAP_ESCAPE_DN);
    $result = ldap_search(
      $this->conn,
      "",
      "(&(uid=$user)(userPassword=$pass))"//注入
    );
    $result = ldap_get_entries($this->conn, $result);
    return ($result["count"] > 0 ? 1 : 0);
  }
}

if(isset($_GET["u"]) && isset($_GET["p"])) {//可控传入
  $ldap = new LDAPAuthenticator();
  if ($ldap->authenticate($_GET["u"], $_GET["p"])) {
    echo "You are now logged in!";
  } else {
    echo "Username or password unknown!";
  }
}
?>

一个LDAP注入，这玩意可以写*来绕过，*标识通配符

day-24：Nutcracker


@$GLOBALS=$GLOBALS{next}=next($GLOBALS{'GLOBALS'})
  [$GLOBALS['next']['next']=next($GLOBALS)['GLOBALS']]
  [$next['GLOBALS']=next($GLOBALS[GLOBALS]['GLOBALS'])
  [$next['next']]][$next['GLOBALS']=next($next['GLOBALS'])]
  [$GLOBALS[next]['next']($GLOBALS['next']{'GLOBALS'})]=
next(neXt(${'next'}['next']));
?>

这个东西，很像某道ctf啊，由于全局变量的使用，使得攻击者可以使用payload：

?name=$_GLOBALS

查看所有全局变量的值
另外，还可以通过$_COOKIE[‘GLOBALS’]传入任意代码

啊。。。。赶忙带着敷衍，终于过了一遍红日。。。。过几天我再来第二遍

Weblogic XMLDecoder反序列化漏洞复现(CVE-2017-10271) 又菜又爱倒腾漏洞复现安全漏洞
#WeblogicXMLDecoder反序列化漏洞(CVE-2017-10271)#一、漏洞简介weblogic的WLSSecurity组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。二、漏洞影响影响版本10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0三、产生原
【漏洞复现】用友NC-accept-任意文件上传 .Rain. 漏洞复现 web安全漏洞复现
目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞复现0x05Nuclei0x01产品简介用友NC是北京用友软件股份有限公司（简称“用友”）开发的一款企业管理软件，支持财务会计、人力资源、供应链、生产制造、客户关系管理等多个业务领域，涵盖了企业核心业务及管理流程。用友NC是基于B/S架构的软件系统，提供基于云计算、SaaS模式、本地部署等多种部署方式，广泛应用于国内外众多中小型企业和
phpcms v9文件上传漏洞复现熬夜且瞌睡网络 php 开发语言
1.压缩包文件无递归删除$file=$_FILES['file'];#检查文件是否为空文件if(!$file){exit("请勿上传空文件");}$name=$file['name'];$dir='upload/';$ext=strtolower(substr(strrchr($name,'.'),1));functioncheck_dir($dir)#检查文件格式{$handle=opendir
网络安全从入门到精通（特别篇V）：应急响应之webshell处置流程 HACKNOE 网络安全应急响应科研室 web安全系统安全网络安全应急响应
应急响应应急响应之webshell处置流程1.1Webshell简介1.2Webshell的分类1.3Webshell的用途1.4Webshell的检测方法1.5Webshell的防御方法1.6常规处置方法1.6.1入侵时间确定1.6.2WEB日志分析1.6.3漏洞分析1.6.4漏洞复现1.6.5漏洞修复1.7常用工具1.7.1D盾1.7.2河马1.7.3wireshark应急响应之webshel
JeeWMS graphReportController.do SQL注入漏洞复现(CVE-2025-0392) iSee857 漏洞复现安全 web安全
免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。0x01产品描述：JeeWMS是一款基于JavaEE企业级架构开发的开源仓库管理系统（WMS），专为优化仓储管理和物流操作而设计。它支持多仓库、多货主
Cuppa CMS任意文件读取漏洞（CVE-2022-25401）风中追风-fzzf #文件读取安全 web安全
一、漏洞概述CuppaCMSv1.0中文件管理器的复制功能允许将任何文件复制到当前目录，从而授予攻击者对任意文件得读取权限，/templates/default/html/windows/right.php文件存在任意文件读取漏洞。二、影响范围v1.0三、访问页面四、漏洞复现1、访问接口POST接口/templates/default/html/windows/right.phpPOST/temp
WordPress Course Booking System SQL注入漏洞复现 (CVE-2025-22785)（附脚本） iSee857 漏洞复现安全 web安全
免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。0x01产品描述：课程预订系统是一个在线平台，旨在简化课程报名流程。用户可以通过系统浏览可用课程，查看详细的课程描述、时间安排和讲师信息，并通过简单的
[ vulhub漏洞复现篇 ] solr 远程命令执行 (CVE-2017-12629-RCE) _PowerShell [靶场实战 ]vulhub vulhub漏洞复现 Apache Solr 远程命令执行 CVE-2017-12629 渗透测试
博主介绍‍博主介绍：大家好，我是_PowerShell，很高兴认识大家~✨主攻领域：【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯（一键三连）欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限，欢迎各位大佬指点，相互学习进步！文章目录博主介绍一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2017-12629-RCE环境2、启动C
[ vulhub漏洞复现篇 ] Apche log4j远程代码执行漏洞(CVE-2021-44228) _PowerShell [靶场实战 ]vulhub CVE-2021-44228 远程代码执行漏洞 Apche log4j 渗透测试
博主介绍‍博主介绍：大家好，我是_PowerShell，很高兴认识大家~✨主攻领域：【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯（一键三连）欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限，欢迎各位大佬指点，相互学习进步！文章目录博主介绍一、漏洞编号二、影响版本三、漏洞描述四、环境搭建1.进入CVE-2021-44228环境2.启动CVE-2
#渗透测试#批量漏洞挖掘#锐捷校园网自助服务系统任意文件读取（CVE-2023-17233 ）独行soc 漏洞挖掘网络安全漏洞挖掘 web安全面试护网
免责声明本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停止本文章读。目录一、漏洞核心原理与技术背景1.漏洞定义与触发条件2.常见攻击向量二、漏洞复现与渗透实战1.环境搭建与工具链2.漏洞验证步骤3.高级绕过技巧三、修复方案与安全加固1.代码层修复2.系统层加固
【漏洞复现】泛微OA E-Cology WorkflowServiceXml Sql注入 0x0000001 漏洞复现 sql 数据库 web web漏洞漏洞网络安全 web安全
免责声明：本文内容旨在提供有关特定漏洞或安全漏洞的信息，以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步，并非出于任何恶意目的。阅读者应该明白，在利用本文提到的漏洞信息或进行相关测试时，可能会违反某些法律法规或服务协议。同时，未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所
phpcms set inc.php,phpcms V9 sql注入漏洞测试朱娟娟
phpcmsV9版本存在SQL注入漏洞，漏洞复现如下0x00以GET方式访问如下链接,得到返回包里mvbpqw_siteid值：http://127.0.0.1/index.php?m=wap&c=index&a=init&siteid=10x01构造SQL语句，将0x00中的mvbpqw_siteid值代入下面链接，以POST方式发起请求0x02将0x01步中的json值代入下面链接中，以POS
Apache Log4j2 远程代码执行漏洞复现 2ha0yuk7on. apache 安全 web安全 log4j2
0x01漏洞概述Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据被日志记录时，即可触发此漏洞，此次漏洞是用于Log4j2提供的lookup功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但并未对输入进行严格的判断，从而造成攻击者可以在目标服务器上执行任意代码。0x02漏洞复现环境搭建，引入log4j相关jar包，我这里使用的版本是2.14.1编写调用Log4j的方法，即
CVE-2024-34527 D-Link DSL-3782命令注入漏洞复现_dsl-3782_a1_eu_1(1) 2401_84009698 程序员嵌入式
一、漏洞描述CVE-2022-34527D-LinkDSL-3782v1.03及以下版本被发现包含通过函数byte_4C0160的命令注入漏洞，根据已知公开在cfg_manger文件的代码sub_474c78函数中，byte_4C0160作为system的参数执行。固件地址：https://media.dlink.eu/support/products/dsl/dsl-3782/driver_so
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload 2401_84264662 网络
WeblogicServer中的RMI通信使用T3协议在WeblogicServer和其它Java程序（客户端或者其它WeblogicServer实例）之间传输数据,服务器实例会跟踪连接到应用程序的每个Java虚拟机（JVM）中,并创建T3协议通信连接,将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据,进行反序列化
Vulhub靶机 MinIO信息泄露漏洞（CVE-2023-28432）（渗透测试详解）芜丶湖安全性测试网络 linux 服务器
一、开启vulhub环境docker-composeup-d启动dockerps查看开放的端口二、访问靶机IP9001端口1、漏洞复现这个漏洞的节点存在于这个路径：http://your-ip:9000/minio/bootstrap/v1/verify对该路径发送POST请求会返回一段JSON数据：burp抓登陆包，修改post接口返回包内json字段中，我们可以看到MINIO_ROOT_USE
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现网络安全小张安全 spring struts web安全网络服务器
目录服务攻防-框架安全&CVE复现&Spring&Struts&Laravel&ThinkPHP*概述PHP-开发框架安全-Thinkphp&Laravel*漏洞复现*Thinkphp-3.XRCEThinkphp-5.XRCELaravel框架安全问题-CVE-2021-3129RCEJAVAWEB-开发框架安全-Spring&Struts2*Struts2框架安全*漏洞复现*S2-009远程执
安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞复现 0xSecl 漏洞复现v2 安全 web安全
0x01产品简介AcrelCloud-3000环保用电监管云平台依托创新的物联网电力传感技术，实时采集企业总用电、生产设备及环保治理设备用电数据，通过关联分析、超限分析、停电分析、停限产分析，结合及时发现环保治理设备未开启、异常关闭及减速、空转、降频等异常情况，同时通过数据分析还可以实时监控限产和停产整治企业运行状态，用户可以利用PC、手机、平板电脑等多种终端实现对平台的访问。0x02漏洞概述安科
vulhub漏洞复现 Apache Shiro 1.2.4反序列化漏洞 Apache Shiro 认证绕过漏洞记录笔记 linux docker
vulhub漏洞复现ApacheShiro1.2.4反序列化漏洞ApacheShiro认证绕过漏洞
深入剖析 Apache Shiro550 反序列化漏洞及复现垚垚 Securify 前沿站十大漏洞网络安全 apache web安全系统安全运维
目录前言一、认识ApacheShiro二、反序列化漏洞：隐藏在数据转换中的风险三、Shiro550漏洞：会话管理中的致命缺陷四、漏洞危害：如多米诺骨牌般的连锁反应五、漏洞复现：揭开攻击的神秘面纱（一）准备工作（二）复现过程六、总结与防范：筑牢安全防线结语前言在网络安全的复杂版图中，漏洞的挖掘与研究始终处于核心位置。今天，我们将聚焦于臭名昭著的ApacheShiro550反序列化漏洞，深入探究其背后
安全研究员职业提升路径 rockmelodies 人工智能 deepseek
阶段一：基础能力沉淀期（0-3年）目标薪资：15-30万/年（国内）核心技能掌握渗透测试全流程（Web/App/内网）熟练使用BurpSuite、Metasploit、IDAPro等工具理解漏洞原理（如OWASPTop10、CVE漏洞复现）获得OSCP认证（实战渗透黄金标准）变现策略参与众测平台（HackerOne/Bugcrowd），积累漏洞奖金撰写技术博客，建立个人技术品牌参与企业红队外包项目
Spring Boot Actuator 漏洞复现合集 drnrrwfs 面试学习路线阿里巴巴 spring boot java 后端 ide 算法
前言SpringBootActuator未授权访问漏洞在日常的测试中还是能碰到一些的，这种未授权在某些情况下是可以达到RCE的效果的，所以还有有一定价值的，下面就是对这一系列漏洞复现。基本上就是参考这篇文章的做的复现：LandGrey/SpringBootVulExploit:SpringBoot相关漏洞学习资料，利用方法和技巧合集，黑盒安全评估checklist(github.com)Sprin
CVE-2021-42013 路径穿越漏洞复现并反弹shell 小彭爱学习网络安全网络安全 web安全
ApachehttpdCVE-2021-42013路径穿越漏洞ApacheHTTPServer是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复，但这个修复是不完整的，CVE-2021-42013是对补丁的绕过。攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件
x5music3.0 admin_index.php 后台权限绕过漏洞复现（附脚本） iSee857 漏洞复现 php 开发语言 web安全安全
免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。0x01产品描述：X5Music是一家专注于数字音乐发行和推广的公司，致力于为独立音乐人和唱片公司提供高效、便捷的音乐分发服务。通过X5Music，艺
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577) 李火火安全阁漏洞复现 php XAMPP 开发语言
文章目录前言声明一、简介二、漏洞描述三、影响版本四、漏洞复现五、漏洞修复前言PHP在设计时忽略Windows中对字符转换的Best-Fit特性，当PHP-CGI运行在Window平台且使用了如下语系（简体中文936/繁体中文950/日文932等）时，攻击者可构造恶意请求绕过CVE-2012-1823补丁，从而可在无需登陆的情况下执行任意PHP代码声明请勿利用文章内的相关技术从事非法测试，由于传播、
【漏洞复现】Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379）李火火安全阁漏洞复现中间件漏洞 apache tomcat
文章目录前言声明一、漏洞描述二、漏洞版本三、环境部署四、漏洞复现五、修复建议前言由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致，当启用了默认servlet的写入功能（设置readonly=false且允许PUT方法），未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制，通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行，从而实
【漏洞复现】广联达 Linkworks OA ArchiveWebService XML实体注入漏洞 0x0000001 漏洞复现 xml 网络安全 web安全渗透测试网络安全
免责声明：本文旨在提供有关特定漏洞的信息，以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步，并非出于恶意。读者应理解，利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果。作者对读者基于本文内容的行为不承担责任。读者在使用信息时必须遵守适用法律法规和服务协议，独自承担所有风险和责任。如有侵权，请联系删除。漏洞描述广联达L
基础渗透测试实验—永恒之蓝漏洞复现锅盖'awa' 网络安全小白之路 linux windows 系统安全安全性测试
文章目录概述一、漏洞简述二、组件概述三、漏洞影响四、漏洞复现4.1环境搭建4.2复现过程：1.查看上线主机2.使用Metasploit（MSF）工具3.选择一个编码技术，用来绕过杀毒软件的查杀4.远程控制目标机缓解措施概述永恒之蓝是指2017年4月14日晚，黑客团体ShadowBrokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏
Aquatronica Control System敏感信息泄露漏洞复现（附脚本） iSee857 漏洞复现安全 web安全
免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。0x01产品描述：AquatronicaControlSystem是一款先进的水族箱自动化管理系统，专为水族爱好者设计。它通过集成多种传感器和控制模块
Elber Wayber 模拟/数字音频密码重置漏洞复现（附脚本） iSee857 漏洞复现安全 web安全
免责申明：本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。0x01产品描述：ElberWayber是一家专注于音频技术解决方案的公司，提供高质量的模拟和数字音频设备，广泛应用于专业录音、广播、现场演出和多媒体
java线程Thread和Runnable区别和联系 zx_code java jvm thread 多线程 Runnable
我们都晓得java实现线程2种方式，一个是继承Thread，另一个是实现Runnable。模拟窗口买票，第一例子继承thread，代码如下 package thread; public class ThreadTest { public static void main(String[] args) { Thread1 t1 = new Thread1(
【转】JSON与XML的区别比较丁_新 json xml
1.定义介绍 (1).XML定义扩展标记语言 (Extensible Markup Language, XML) ，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML使用DTD(document type definition)文档类型定义来组织数据;格式统一，跨平台和语言，早已成为业界公认的标准。 XML是标
c++ 实现五种基础的排序算法 CrazyMizzz C++c 算法
#include<iostream> using namespace std; //辅助函数，交换两数之值 template<class T> void mySwap(T &x, T &y){ T temp = x; x = y; y = temp; } const int size = 10; //一、用直接插入排
我的软件麦田的设计者我的软件音乐类娱乐放松
这是我写的一款app软件，耗时三个月，是一个根据央视节目开门大吉改变的，提供音调，猜歌曲名。1、手机拥有者在android手机市场下载本APP，同意权限，安装到手机上。2、游客初次进入时会有引导页面提醒用户注册。（同时软件自动播放背景音乐）。3、用户登录到主页后，会有五个模块。a、点击不胫而走，用户得到开门大吉首页部分新闻，点击进入有新闻详情。b、
linux awk命令详解被触发 linux awk
awk是行处理器: 相比较屏幕处理的优点，在处理庞大文件时不会出现内存溢出或是处理缓慢的问题，通常用来格式化文本信息 awk处理过程: 依次对每一行进行处理，然后输出 awk命令形式: awk [-F|-f|-v] ‘BEGIN{} //{command1; command2} END{}’ file [-F|-f|-v]大参数，-F指定分隔符，-f调用脚本，-v定义变量 var=val
各种语言比较 _wy_ 编程语言
Java Ruby PHP 擅长领域
oracle 中数据类型为clob的编辑知了ing oracle clob
public void updateKpiStatus(String kpiStatus,String taskId){ Connection dbc=null; Statement stmt=null; PreparedStatement ps=null; try { dbc = new DBConn().getNewConnection(); //stmt = db
分布式服务框架 Zookeeper -- 管理分布式环境中的数据矮蛋蛋 zookeeper
原文地址： http://www.ibm.com/developerworks/cn/opensource/os-cn-zookeeper/ 安装和配置详解本文介绍的 Zookeeper 是以 3.2.2 这个稳定版本为基础，最新的版本可以通过官网 http://hadoop.apache.org/zookeeper/来获取，Zookeeper 的安装非常简单，下面将从单机模式和集群模式两
tomcat数据源 alafqq tomcat
数据库 JNDI(Java Naming and Directory Interface，Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。没有使用JNDI时我用要这样连接数据库： 03. Class.forName("com.mysql.jdbc.Driver"); 04. conn
遍历的方法百合不是茶遍历
遍历在java的泛
linux查看硬件信息的命令 bijian1013 linux
linux查看硬件信息的命令一.查看CPU： cat /proc/cpuinfo 二.查看内存： free 三.查看硬盘： df linux下查看硬件信息 1、lspci 列出所有PCI 设备； lspci - list all PCI devices:列出机器中的PCI设备（声卡、显卡、Modem、网卡、USB、主板集成设备也能
java常见的ClassNotFoundException bijian1013 java
1.java.lang.ClassNotFoundException: org.apache.commons.logging.LogFactory 添加包common-logging.jar2.java.lang.ClassNotFoundException: javax.transaction.Synchronization
【Gson五】日期对象的序列化和反序列化 bit1129 反序列化
对日期类型的数据进行序列化和反序列化时，需要考虑如下问题： 1. 序列化时，Date对象序列化的字符串日期格式如何 2. 反序列化时，把日期字符串序列化为Date对象，也需要考虑日期格式问题 3. Date A -> str -> Date B,A和B对象是否equals 默认序列化和反序列化 import com
【Spark八十六】Spark Streaming之DStream vs. InputDStream bit1129 Stream
1. DStream的类说明文档： /** * A Discretized Stream (DStream), the basic abstraction in Spark Streaming, is a continuous * sequence of RDDs (of the same type) representing a continuous st
通过nginx获取header信息 ronin47 nginx header
1. 提取整个的Cookies内容到一个变量，然后可以在需要时引用，比如记录到日志里面， if ( $http_cookie ~* "(.*)$") { set $all_cookie $1; } 变量$all_cookie就获得了cookie的值，可以用于运算了
java-65.输入数字n，按顺序输出从1最大的n位10进制数。比如输入3，则输出1、2、3一直到最大的3位数即999 bylijinnan java
参考了网上的http://blog.csdn.net/peasking_dd/article/details/6342984 写了个java版的： public class Print_1_To_NDigit { /** * Q65.输入数字n，按顺序输出从1最大的n位10进制数。比如输入3，则输出1、2、3一直到最大的3位数即999 * 1.使用字符串
Netty源码学习-ReplayingDecoder bylijinnan java netty
ReplayingDecoder是FrameDecoder的子类，不熟悉FrameDecoder的，可以先看看 http://bylijinnan.iteye.com/blog/1982618 API说，ReplayingDecoder简化了操作，比如： FrameDecoder在decode时，需要判断数据是否接收完全： public class IntegerH
js特殊字符过滤 cngolon js特殊字符 js特殊字符过滤
1.js中用正则表达式过滤特殊字符, 校验所有输入域是否含有特殊符号function stripscript(s) { var pattern = new RegExp("[`~!@#$^&*()=|{}':;',\\[\\].<>/?~！@#￥……&*（）——|{}【】‘；：”“'。，、？]"
hibernate使用sql查询 ctrain Hibernate
import java.util.Iterator; import java.util.List; import java.util.Map; import org.hibernate.Hibernate; import org.hibernate.SQLQuery; import org.hibernate.Session; import org.hibernate.Transa
linux shell脚本中切换用户执行命令方法 daizj linux shell 命令切换用户
经常在写shell脚本时，会碰到要以另外一个用户来执行相关命令，其方法简单记下： 1、执行单个命令：su - user -c "command" 如：下面命令是以test用户在/data目录下创建test123目录 [root@slave19 /data]# su - test -c "mkdir /data/test123"
好的代码里只要一个 return 语句 dcj3sjt126com return
别再这样写了：public boolean foo() { if (true) { return true; } else { return false;
Android动画效果学习 dcj3sjt126com android
1、透明动画效果方法一：代码实现 public View onCreateView(LayoutInflater inflater, ViewGroup container, Bundle savedInstanceState) { View rootView = inflater.inflate(R.layout.fragment_main, container, fals
linux复习笔记之bash shell (4)管道命令 eksliang linux管道命令汇总 linux管道命令 linux常用管道命令
转载请出自出处： http://eksliang.iteye.com/blog/2105461 bash命令执行的完毕以后，通常这个命令都会有返回结果，怎么对这个返回的结果做一些操作呢？那就得用管道命令‘|’。上面那段话，简单说了下管道命令的作用，那什么事管道命令呢？答：非常的经典的一句话，记住了，何为管
Android系统中自定义按键的短按、双击、长按事件 gqdy365 android
在项目中碰到这样的问题：由于系统中的按键在底层做了重新定义或者新增了按键，此时需要在APP层对按键事件（keyevent）做分解处理，模拟Android系统做法，把keyevent分解成： 1、单击事件：就是普通key的单击； 2、双击事件：500ms内同一按键单击两次； 3、长按事件：同一按键长按超过1000ms（系统中长按事件为500ms）； 4、组合按键：两个以上按键同时按住；
asp.net获取站点根目录下子目录的名称 hvt .net C#asp.net hovertree Web Forms
使用Visual Studio建立一个.aspx文件(Web Forms)，例如hovertree.aspx,在页面上加入一个ListBox代码如下： <asp:ListBox runat="server" ID="lbKeleyiFolder" /> 那么在页面上显示根目录子文件夹的代码如下： string[] m_sub
Eclipse程序员要掌握的常用快捷键 justjavac java eclipse 快捷键 ide
判断一个人的编程水平，就看他用键盘多，还是鼠标多。用键盘一是为了输入代码（当然了，也包括注释），再有就是熟练使用快捷键。曾有人在豆瓣评《卓有成效的程序员》：“人有多大懒，才有多大闲”。之前我整理了一个程序员图书列表，目的也就是通过读书，让程序员变懒。写道程序员作为特殊的群体，有的人可以这么懒，懒到事情都交给机器去做，而有的人又可
c++编程随记 lx.asymmetric C++笔记
为了字体更好看，改变了格式…… &&运算符： #include<iostream> using namespace std; int main(){ int a=-1,b=4,k; k=(++a<0)&&!(b--
linux标准IO缓冲机制研究音频数据 linux
一、什么是缓存I/O(Buffered I/O)缓存I/O又被称作标准I/O,大多数文件系统默认I/O操作都是缓存I/O。在Linux的缓存I/O机制中，操作系统会将I/O的数据缓存在文件系统的页缓存(page cache)中，也就是说，数据会先被拷贝到操作系统内核的缓冲区中，然后才会从操作系统内核的缓冲区拷贝到应用程序的地址空间。1.缓存I/O有以下优点:A.缓存I/O使用了操作系统内核缓冲区，
随想生活暗黑小菠萝生活
其实账户之前就申请了，但是决定要自己更新一些东西看也是最近。从毕业到现在已经一年了。没有进步是假的，但是有多大的进步可能只有我自己知道。毕业的时候班里12个女生，真正最后做到软件开发的只要两个包括我，PS：我不是说测试不好。当时因为考研完全放弃找工作，考研失败，我想这只是我的借口。那个时候才想到为什么大学的时候不能好好的学习技术，增强自己的实战能力，以至于后来找工作比较费劲。我
我认为POJO是一个错误的概念 windshome java POJO 编程 J2EE 设计
这篇内容其实没有经过太多的深思熟虑，只是个人一时的感觉。从个人风格上来讲，我倾向简单质朴的设计开发理念；从方法论上，我更加倾向自顶向下的设计；从做事情的目标上来看，我追求质量优先，更愿意使用较为保守和稳妥的理念和方法。 &