弹不出的5h3ll-CSDN博客

原创代码审计 | Log4j2 —— CVE-2021-44228 JNDI 注入与递归解析的完整链路分析

用户可控的字符串进入了logger.*()方法，成为日志消息的一部分检测到消息中包含${，触发变量替换逻辑递归解析${...}占位符，允许嵌套，没有任何白名单限制→根据前缀分发到对应的 Lookup 处理器，12 种协议全部支持，无过滤发起 JNDI 查询，加载并实例化远程恶意类，RCE 达成这个漏洞的危害程度这么高，本质上是因为一个"方便开发者的功能"（变量插值 + JNDI Lookup）在设计上完全没有考虑用户输入可控的场景。写代码的时候日志里打一个{}太常见了，几乎所有人都中招。

2026-04-08 16:23:20 105

原创代码审计 | Shiro-550 —— CVE-2016-4437 环境搭建调试分析漏洞利用

Shiro 1.2.4 的 rememberMe 功能用 AES-CBC 加密序列化数据存 cookie，但key 是硬编码的默认值，任何人都能用这个 key 加密自己的 payload解密后直接调用反序列化，没有任何类白名单校验，一把进 RCE打 Shiro 的链选择优先级：CB183NOCC—— 只依赖 JDK 自带类，不受 Shiro ClassLoader 限制，最稳CB1—— 需要 commons-beanutils 1.9.2 且版本匹配，需要额外处理CC 链。

2026-04-07 16:20:04 179

原创代码审计 | CB链分析 —— CommonsBeanutils 反序列化利用链

CB 链整体结构和 CC2 非常像，入口都是，执行终点都是CC2CBComparator触发方式反射调反射调 getter执行终点CC 依赖需要 CC4不需要 CC（打 Shiro 时无 CC 冲突问题）完整链路：→ 恶意类.newInstance()CB 链最大的价值在于打 Shiro，Shiro 自带，但 CC 版本对不上，用 CB 链 +彻底绕开 CC 依赖，是 Shiro 反序列化的标准打法。

2026-04-06 22:54:49 226

原创代码审计 | CC2 链 —— _tfactory 赋值问题 PriorityQueue 新入口

CC3 里我们用 TemplatesImpl 实现了字节码加载，触发点是通过调用TrAXFilter的构造方法，入口依然是LazyMap那套。CC2 在这个基础上换了个思路，sink 还是，但触发链完全换掉了，入口变成了，中间靠串起来。CC2 用的是 Commons Collections 4.0，而不是之前的 3.2.1。原因后面分析到的时候会说。

2026-04-06 14:21:42 245

原创代码审计 | CC3链 —— 实例化 vs 反序列化 InvokerTransformer vs InstantiateTransformer

内部在里会做一个类型检查，要求加载的字节码对应的类必须是的子类，否则会抛异常。这是 XSLTC 的设计要求，我们必须满足它。

2026-04-04 22:53:00 274

原创代码审计 | CC6 链 —— 反向构造 payload 与 ysoserial

整个流程是这样的：本地。

2026-04-03 16:48:43 215

原创代码审计 | CC1 LazyMap 链 —— 动态代理

反序列化└─ AnnotationInvocationHandler（handler2）.readObject() ← 自动触发└─ proxyMap.entrySet() ← memberValues 是代理对象└─ AnnotationInvocationHandler（handler1）.invoke() ← 代理拦截。

2026-04-02 18:31:12 265

原创工具魔改 | Cobalt Strike 4.7 特征修改与流量混淆

把证书伪装成 Microsoft 更新服务，运行以下命令：填写信息时模仿微软：您的名字与姓氏是什么?您的组织单位名称是什么?您的组织名称是什么?您所在的城市或区域名称是什么?→ Redmond您所在的省/市/自治区名称是什么?该单位的双字母国家/地区代码是什么?→ US密钥库口令 → 自己设一个，记住。

2026-04-01 20:44:40 265

原创代码审计 | CC1 TransformedMap 链 ——前言反向调试构造Payload

反序列化└─ AnnotationInvocationHandler.readObject() ← 自动触发├─ InvokerTransformer → invoke() → Runtime 实例所以最终我们要序列化的对象就是，整个 CC1 链（TransformedMap 版）就这样串起来了。后续还有 LazyMap 版本的 CC1，触发点不同，但 Transformer 链的核心部分是一样的，到时候再对比着看。

2026-03-31 11:32:02 259

原创代码审计 | FastJSON 1.2.47 不出网利用 —— BCEL 链分析 | setter 与 getter 触发对比

上一篇 TemplatesImpl 链需要开启，因为_bytecodes这些字段是 private 的，FastJSON 默认碰不到，利用条件比较苛刻。BCEL 链是针对这个问题的替代方案，用的全是 public 的 setter，不需要，利用条件宽松一些。→ setDriverClassLoader() [BCEL ClassLoader 对象注入]→ setDriverClassName() [$$BCEL$$...字符串注入]

2026-03-28 12:25:12 160

原创代码审计 | FastJSON 1.2.47 不出网利用 —— TemplatesImpl 链分析

上一篇分析了 FastJSON 1.2.24 的 JdbcRowSetImpl 出网 RCE 链，以及 1.2.25 ~ 1.2.43 的 autoType 绕过演进。这篇来看 1.2.47 的不出网利用方式——TemplatesImpl 链。关于 1.2.47 缓存绕过的原理（step1/step2 两步 Payload 的来龙去脉），已经在上一篇里详细分析过了，这里直接用。

2026-03-27 18:53:50 259

原创代码审计 | FastJson 1.2.47 缓存通杀绕过

先看一下 Payload 的样子：1.2.47 最厉害的地方在哪？前面 1.2.25、1.2.42、1.2.43 那些版本的绕过，都需要手动把设置为true才能打。但是1.2.47 的缓存绕过不需要开任何开关，默认配置就能打，所以危害是最大的。这个开关是进入黑白名单检测的前提条件，但 1.2.47 利用的是缓存机制——缓存的查找发生在黑白名单检测之前，所以压根就没进到检测分支，直接 return 了，完全绕过了整个检测逻辑。

2026-03-26 22:47:33 256

原创代码审计 | FastJSON 反序列化分析：1.2.25 / 1.2.42 / 1.2.43

个人学习记录，记录一下这三个版本的绕过思路和调试过程。，算是一条贯穿始终的主线。

2026-03-25 23:02:59 268

原创 THP-CSK 靶场 · Linux 内网横向渗透全流程

主机 IP角色对外可达Web 服务器（入口机）✅ 可直接访问内网 Web 应用❌ 仅内网访问数据库服务器❌ 不出网主要攻击路径：利用.10上的 Struts2 漏洞获取 Shell → 提权 → 横向移动到.30和.50🐛浏览器经常崩，没错自己的浏览器打不开，不知道什么问题🐛MSF session 掉线，msf的权限太容易掉了🐛靶机不稳定，Dirty COW 打了好几次才成功，40839 和 Metasploit 模块都失败了，最后 40616 才行🐛。

2026-03-21 16:05:21 272

原创魔改哥斯拉 | 反编译重打包 + 特征指纹打乱 + Webshell免杀对抗

改动点效果去除 Hash 校验重打包后能正常运行修改默认 UA/Headers流量层特征改变，不被流量设备识别Webshell 逐步混淆过火绒、360、卡巴斯基临时文件 + include过 D 盾静态检测替换生成模板生成即免杀免杀对抗的本质：杀软基于特征库，我们所做的就是不断换等价写法绕过已知特征。没有永久免杀，只有持续对抗，杀软特征库会更新，所以需要持续研究新的绕过方式。关于流量层对抗。

2026-03-19 13:49:16 241

原创 sqlmap 魔改研究 —— 从流量特征到 WAF 对抗

把 sqlmap 的已知特征一层一层抹掉。🔇 UA 里的 sqlmap 字样（913100清零）🔇 Host 头是裸 IP（920350清零）🔇 没有正常浏览器应有的请求头🔇 固定的 Banner 和版本字符串规则触发总数从 516 降到 330，下降36%平均异常分从 15.2 降到 8.8，下降42%sqlmap 检测功能完全正常，四种注入类型均可检测942100libinjection 语义检测 —— 字符混淆对它无效，这是本次的边界字符层混淆（本次）↓。

2026-03-17 18:38:01 451

原创安全工具 | Fscan 魔改二开 · 特征消除与功能扩展

fscan 支持在pocs/目录下放 YAML 格式的 POC，扫到 Web 服务时自动加载检测，不需要重新编译。

2026-03-13 19:24:27 550

原创常见Linux权限提升笔记

内核漏洞提权是利用Linux内核本身存在的安全漏洞，通过编译或运行针对特定内核版本的exploit代码，直接提升至root权限。常见的内核漏洞包括本地权限提升、条件竞争、缓冲区溢出等。SUID（Set User ID）和SGID（Set Group ID）是Linux的特殊权限位。当一个可执行文件设置了SUID位，任何用户执行该文件时都会以文件所有者的权限运行。如果一个root拥有的程序设置了SUID位且存在安全问题，普通用户就可能利用它提权到root。

2026-03-13 00:26:16 324

原创 VulnHub DC-9 靶机渗透测试笔记

信息收集（nmap）→ 发现 SSH filtered（knockd） + Web 80↓发现搜索功能 → Burp Suite 抓包 → sqlmap POST 注入→ 拿到哈希 → hashes.com 破解 → 登录后台↓发现「文件不存在」提示 → LFI 读取 /etc/passwd→ 读取 /etc/knockd.conf → 获取敲门序列 7469→8475→9842↓knock 敲门 → SSH 22 端口开放↓。

2026-03-09 20:33:23 372

原创 VulnHub DC-8 靶机渗透测试笔记

信息收集（nmap + dirsearch）↓发现 nid 参数 → 单引号测试报错 → 确认 SQL 注入↓sqlmap 跑库 → 拿到哈希 → hashcat 破解 → john/turtle↓登录后台 → 发现 PHP 富文本 → 写入反弹 Shell↓nc 接收 shell → www-data↓SUID 发现 exim4 → searchsploit 找 exp → 46996.sh↓/tmp 下执行 → 临时 root → 读取 flag ✅。

2026-03-09 20:25:28 338

原创 VulnHub DC-7 靶机渗透测试笔记

信息收集（nmap/dirsearch/droopescan）↓GitHub OSINT → 配置文件泄露 SSH 凭据↓SSH 登录（dc7user）↓发现 root cron 执行 backups.sh（www-data 可写）↓│ 路线一：PATH 劫持 │ 路线二：Drupal RCE ││ /tmp 恶意 drush │ settings.php → drush 改密 ││ → SUID /bin/bash │ → PHP Filter 模块 → 木马 │。

2026-03-08 12:31:46 218

原创 VulnHub DC-6 靶机渗透测试笔记

信息收集（nmap）↓发现 WordPress → 修改 hosts 配置域名解析↓WPScan 枚举用户 → 密码爆破 → mark/helpdesk01 登录后台↓扫描插件漏洞（plainview activity）→ searchsploit 找到 exp↓利用插件漏洞 → 获取 www-data shell↓mark 目录发现 graham 密码 → SSH 登录↓sudo 伪装 jens 执行 backups.sh → 获取 jens 权限↓。

2026-03-08 12:29:30 351

原创 VulnHub DC-5 靶机渗透测试笔记

信息收集（nmap + arp-scan）↓发现 Contact 页面 → 提交表单跳转参数可控↓目录扫描发现 footer.php → 判断存在文件包含↓参数爆破确认参数名为 file → LFI 读取 /etc/passwd↓日志污染写入 PHP 代码 → 文件包含执行日志↓蚁剑连接 Webshell → 反弹 Shell↓SUID 查找发现 Screen 4.5.0 → 41154.sh 提权↓。

2026-03-07 17:38:11 550

原创 VulnHub DC-4 靶机渗透测试笔记

信息收集（nmap）↓发现 Web 登录页 → Burp Suite / Hydra 爆破 → admin/happy↓命令执行功能 → 反弹 Shell → www-data↓/home/jim/backups/old-passwords.bak → Hydra 爆破 SSH → jim/jibril04↓jim 邮件中发现密码 → 切换 charles↓sudo teehee → 写入 /etc/passwd → root → flag ✅。

2026-03-07 10:05:32 499

原创 VulnHub DC-3 靶机渗透测试笔记

信息收集（nmap + dirsearch）↓发现 Joomla 3.7.0 → JoomScan 确认版本↓SQL注入（44227.php）→ 获取管理员 hash → 破解得到 snoopy↓登录后台 → MSF 写入 Webshell → 获取 www-data shell↓上传 les.sh 枚举提权漏洞↓CVE-2016-4557 eBPF 内核提权 → root → flag ✅。

2026-03-06 17:31:10 360

原创 VulnHub DC-2 靶机渗透测试笔记

cewl（Custom Word List generator）是一个非常独特的自定义字典生成工具。在渗透测试中，如果常规字典（如 rockyou.txt）爆破失败，渗透者会使用 cewl 针对目标网站进行"定制化"攻击。工作原理：爬取网页：像浏览器一样访问你指定的 URL提取单词：抓取网页上所有的文字内容，并把每一个单词提取出来去重并汇总：自动删掉重复的词，并过滤掉太短的词（默认少于 3 个字母不要），最后生成一个专门针对该网站的"词汇表"阶段使用工具/技术主机发现nmap -sn。

2026-03-06 09:49:19 511

原创 VulnHub DC-1 靶机渗透测试笔记

信息收集（nmap）↓发现 Drupal 7 → Drupalgeddon2（CVE-2018-7600）↓Metasploit 获取 www-data shell↓读取 settings.php → 数据库凭据 → 破解管理员 hash↓登录 Drupal 后台 → Flag 3↓查看 /etc/passwd → 发现 flag4 用户↓LinPEAS 枚举 → 发现 find SUID↓SUID find 提权 → root → 最终 Flag ✅。

2026-03-05 18:26:43 488

原创 [特殊字符] docx2md-picgo：Word 文档图片一键上传图床工具

很多人习惯用 Word（.docx）写笔记，再转成 Markdown 发布博客。但转换后图片路径全是 `media/image1.png` 这类本地引用，上传到博客后图片全部无法显示。手动一张张上传图床再替换链接，91 张图就要操作 91 次，极其繁琐。

2026-03-05 18:23:28 522

原创 Pikachu 靶场通关笔记

📌 本文记录 Pikachu 靶场各类 Web 漏洞的实战练习过程，涵盖 XSS、CSRF、SQL注入、文件操作、越权、序列化、XXE、SSRF 等常见漏洞类型。https://www.cnblogs.com/wrold/p/19670125

2026-03-04 21:14:55 729

原创 CTF 伪协议

本文总结了CTF比赛中常见的伪协议利用技巧，重点介绍了php://filter、data://、gopher://等协议的多种变种和绕过方法。内容涵盖文件读取、SSRF攻击、RCE执行、反序列化触发等场景，详细说明了各协议的使用格式、编码技巧和适用条件。特别强调了php://filter链的RCE利用、gopher协议的内网服务攻击以及phar反序列化的触发方式，并提供了不同漏洞场景下的协议选择建议和速查技巧。

2026-03-04 12:53:02 569

原创 DVWA 靶场实验报告 (High Level)

> **难度等级**：High> **报告说明**：本文为 DVWA 靶场 High 难度下**17个漏洞**的详细渗透测试步骤，包含漏洞原理、利用方法、工具操作及核心Payload，全程基于Burp Suite、Sqlmap等工具实现，所有操作步骤均配套实操截图https://www.cnblogs.com/wrold

2026-03-03 17:48:24 648

原创 DVWA 靶场实验报告 (Medium Level)

难度等级： Medium (中级)报告说明：本报告基于 DVWA 靶场中等级别安全设置。相比于低等级，中等级别加入了基础的防御机制（如后缀检查、简单的字符串过滤及 CSRF Token 验证），本报告详细记录了 17 项漏洞的绕过技巧与复现过程。

2026-03-03 13:43:49 840

原创 DVWA 靶场实验报告 (Low Level)

Low 级别使用 XOR 异或加密 Token，密钥硬编码在源码中，可轻松逆向解密或伪造 Token。User ID 输入框未过滤，直接拼接至 SQL 查询，可使用 SQLMap 自动化注入获取数据。页面不直接回显查询结果，仅返回布尔状态，属于布尔型盲注，同样可用 SQLMap 检测。留言板输入未过滤，XSS 代码存入数据库，每次用户访问页面均会触发，危害更为持久。每次点击仅自增 1，规律极简单，可枚举 Session 进行会话劫持。参数直接作为跳转目标，无白名单校验，可将用户重定向至任意外部恶意网站。

2026-03-02 21:32:12 750

原创 DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来？

摘要：在DVWA的WeakSessionIDs High难度实验中，作者发现浏览器无法显示dvwaSession Cookie。通过BurpSuite抓包发现服务器正确发送了Set-Cookie，但浏览器因Cookie规范（RFC6265）不支持带端口号的domain字段（如domain=dvwa:8564）而忽略该指令。问题源于DVWA源码使用$_SERVER['HTTP_HOST']（含端口）设置Cookie，修复方案包括改用$_SERVER['SERVER_NAME']或省略domain参数。实验还

2026-03-02 13:35:13 684

wrold的博客