过期的秋刀鱼

复现环境大多数来自于vulhub

express这类web框架，通常会提供了静态文件服务器的功能，这些功能依赖于normalize函数。比如，express在判断path是否超出静态目录范围时，就用到了normalize函数，上述BUG导致normalize函数返回错误结果导致绕过了检查，造成任意文件读取漏洞。不过因为这个BUG是node 8.5.0 中引入的，在 8.6 中就进行了修复，所以影响范围有限。原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误，导致向上层跳跃的时候（如。

不同的是，在处理前端用户直接输入的数据时一般会接受更多的安全校验，而从memcached中读取的数据则更容易被开发者认为是可信的，或者是已经通过安全校验的，因此更容易导致安全问题。由于memcached安全设计缺陷，默认的 11211 端口不需要密码即可访问，导致攻击者可直接链接memcache服务的11211端口获取数据库中信息，这可造成严重的信息泄露。1、配置memcached监听本地回环地址127.0.0.1。返回统计信息例如 PID(进程号)、版本号、连接数等。stats命令字解释及参数介绍。

1.900 到 1.920版本的用户，编辑Webmin配置文件：/etc/webmin/miniserv.conf，注释或删除“passwd_mode=”行，然后运行/etc/webmin/restart 重启服务命令。在其找回密码页面中，存在一处无需权限的命令注入漏洞，通过这个漏洞攻击者即可以执行任意系统命令。直接访问https://your-ip:10000/password_change.cgi。上面poc需要注意：ip改成自己的ip，然后user参数不能是系统账户，后面接执行的命令。

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。即可看到一个404页面，说明weblogic已成功启动。

解决方法来自:https://blog.csdn.net/weixin_43886198/article/details/111144854。Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。上启动的，（docker环境的网段一般是172.*）注意，换行符是“\r\n”，也就是“%0D%0A”。访问一个可以访问的IP:PORT，如。根据数据包的响应信息，可以猜测。启动环境的时候，只启动了。重启，redis成功启动。

访问 http://192.168.80.141:7001/console/，即可看到后台登录页面。应用的静态文件css目录，访问这个目录是无需权限的。然后点击安全 -> 增加，然后上传。可查看管理员密码，管理员用户名为。设置Work Home Dir为。复现环境：Vulhub。

下载链接：https://pan.baidu.com/s/1z0w7ret-uXHMuOZpGYDVlw。，上面base64编码后的结果就是该参数的值。漏洞利用脚本 phpinfo()信息。这个时候在网站的根目录下生成一个。得到base64编码后的结果。点击执行，返回 状态码。

Apache官方发布Struts 2 紧急漏洞公告（S2-045），CVE编号CVE-2017-5638。公告中披露 ，当基于Jakarta插件上传文件时，可导致远程代码执行。例如在系统中获得管理员权限，执行添加用户。造成机密数据泄露，重要信息遭到篡改等重大危害。如果你正在使用基于Jakarta的文件上传Multipart解析器，请升级到Apache Struts 2.3.32或2.5.10.1版；或者也可以切 换到不同的实现文件上传Multipart解析器。，可以看到上传页面的示例。

由于使用了aes加密，想要成功利用漏洞则需要获取ase的加密秘钥，而在shiro的1.2.4之前的版本中使用的硬编码。其中默认秘钥的b ase64编码后的值为kPH+bIxk5D2deZiIxcaaaA==，这里就可以通过构造恶意的序列化对象进行编码，加密，然后欧威cooike加密发送，服务端接受后会解密并触发反序列化漏洞。cookie的key为rememberme，cookie的值是经过对相关的信息进行序列化，然后实用aes加密，最后在使用b ase64编码处理形成的。字段，登陆成功的话，返回包。

由于Redis存在未授权访问漏洞，所以无需账号密码就可以在我们的Redis目录下去远程控制靶机的Redis数据库，但是我们希望不仅仅是可以操作对方的Redis数据库，想提权去控制服务器，比较容易想到的就是想办法写个反弹shell，让靶机来连接我们，如果可以成功反弹，我们就可以提权。但是写计划任务是需要在计划任务的目录。4、使用Redis的set命令，往持久化目录文件里写一个键值对（这是set命令的格式要求，必须写键值对），键随便起，我起的是saury，值就为反弹shell的命令。

【代码】【漏洞复现】phpstudy2016-2018命令执行。

1.11.5版本，修复了500页面中存在的一个XSS漏洞。Django 1.11.5版本。再次刷新页面触发XSS。

复现环境：Vulhub环境启动后，访问即可看到Django默认首页。

​ Django是一个广泛使用的Python web框架，它有很多方便和强大的功能。但是，像任何其他软件一样，Django也可能存在安全漏洞，这个漏洞在Django的CommonMiddleware中可能导致开放重定向。的情况下，Django没做处理，导致浏览器认为目的地址是绝对路径，最终造成任意URL跳转漏洞。​ Django默认配置下，如果匹配上的URL路由中最后一位是。，Django默认会跳转到带/的请求中。Django版本

链接：https://pan.baidu.com/s/1GBEb6ig6ogiQfXq-yj_Vhw。浏览器访问该png图片，

这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI，错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。默认开启，当URL中有不存在的文件，PHP就会向前递归解析 在一个文件路径（/xx.jpg）后面加上。Nginx 解析漏洞 该解析漏洞是PHP CGI 的漏洞，在PHP的配置文件中有一个关键的选项。造成这一问题主要跟 PHP的安全选项有关。修改文件名，文件类型，文件内容。后缀，被解析成PHP文件。一句话木马，上传失败。

dir变量接受来自$_GET[‘dir’]传递进来的值，用了str_replace函数做替换，将。漏洞简介：MetInfo是一套使用PHP和MySQL开发的内容管理系统，其中的。文件存在任意文件读取漏洞，攻击者可利用该漏洞读取网站的敏感文件。漏洞名称：MetInfo任意文件读取。影响版本：MetInfo 6.0.0。

文件夹中有个新建文件shell.php，即可用蚁剑连接。下放入一张没有木马的图片，使用另一种方式制作图片木马。，当我们直接包含图片的时候，这段代码就会被执行。复制得到的base64编码格式的php代码。该段代码的含义是，在当前目录下创建一个名为。把POST请求体中的变量放到url中提交。，然后在下面写入php代码，点击send。上传图片木马，通过文件包含的方式去访问。bp拦截得到php源码的数据包。使用文件包含的方式去访问图片。该环境的文件上传点在。但是上传文件会失败，拿到webshell。

该漏洞不是由于代码或者框架引起，而是由于。来执行，解释完的执行结果再返回给浏览器。IIS想要运行PHP，中间有个技术叫。的方式访问，是因为下面的对勾没有勾上。是因为php的安全 选项。的方式解析php文件。

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。后可向其POST新的JSON对象，后端会利用fastjson进行解析。发送POC到FastJson服务器，通过RMI协议远程加载恶意类。构造反弹shell，进行base64编码。将content-type修改为。即可看到一个json对象被返回。

FastJson是Alibaba的一款开源Json解析库，可用于将Java对象转换为其Json表示形式，也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头：17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞，简单来说，就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器，通过RMI协议远程加载恶意类。

存在一处无需认证的SQL漏洞。通过该漏洞，攻击者可以执行任意SQL语句，插入、修改管理员信息，甚至执行任意代码。即可看到Drupal的安装页面，使用默认配置安装即可。Drupal 是一款用量庞大的CMS，其。Drupal 7.0~7.31版本。其中，Mysql数据库名填写。，数据库用户名、密码为。7.0~7.31版本。

该漏洞需要利用drupal文件模块上传文件的漏洞，伪造一个图片文件，上传，文件的内容实际是一段HTML代码，内嵌JS，这样其他用户在访问这个链接时，就可能触发XSS漏洞。将会看到drupal的安装页面，一路默认配置下一步安装。输入如下命令，即可使用PoC构造样本并完成上传功能，第一个参数为目标IP 第二个参数为目标端口。，默认存储名称为其原来的名称，所以之后在利用漏洞时，可以知道上传后的图片的具体位置。在火狐，Google，Edge浏览器都不行。在IE浏览器里触发XSS弹框。在IE浏览器里触发XSS弹框。

这些权限的究竟有什么作用，详情阅读 http://tomcat.apache.org/tomcat-8.5-doc/manager-howto.html。正常安装的情况下，tomcat8中默认没有任何用户，且manager页面只允许本地IP访问。只有管理员手工修改了这些属性的情况下，才可以进行攻击。Tomcat 支持在后台部署 war 文件，可以直接将 webshell 部署到 web 目录下。其中，欲访问后台，需要对应用户有相应权限。可见，用户tomcat拥有上述所有权限，密码是。即可跳到管理登陆页面。

当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。用burpsuite 进行抓包并做如下修改（GET请求改为PUT，修改名字,并在下面添加jsp的shell）即可看到Tomcat的Example页面。工具扫出来的结果，验证漏洞存在。

【代码】【漏洞复现】Apache_HTTPD_未知后缀名解析。

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，，发现能够成功解析，但这个文件不是php后缀，说明目标存在解析漏洞。将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令。application/octet-stream：二进制流数据(常见的文件下载就是这种媒体格式)后缀的文件即将被识别成PHP文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。以上就是Apache多后缀的特性。那么，在有多个后缀的情况下，只要一个文件含有。application/pdf：pdf格式。后缀增加了media-type，值为。后缀增加了语言，值为。，他将返回一个中文的。

的不完整修复导致的漏洞，攻击者可以使用路径遍历攻击将URL映射到由类似别名指令配置的目录之外的文件。此漏洞影响Apache HTTP Server 2.4.49和2.4.50，而不影响更早版本。Apache HTTP Server 2.4.50修补了以前的CVE-2021-41773漏洞。在服务器上启用mods cgi或cgid后，此路径遍历漏洞将允许执行任意命令。Apache HTTP Server 2.4.49以及2.4.50两个版本。CVE-2021-42013是由。必须是一个存在且可访问的目录）

在Apache HTTP Server 2.4.49中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将URL映射到预期文档根目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护，则这些请求可以成功。如果CGI脚本也为这些别名路径启用，则可以允许远程代码执行。Apache HTTP服务器项目致力于为现代操作系统（包括UNIX和Windows）开发和维护开源HTTP服务器。后，此路径遍历漏洞将允许执行任意命令。

ysoserial是在常见的java库中发现的一组实用程序和面向属性的编程“小工具链”，在适当的条件下，可以利用执行对象不安全反序列化的Java应用程序。主驱动程序接受用户指定的命令，并将其封装在用户指定的小工具链中，然后将这些对象序列化为stdout。当类路径上具有所需小工具的应用程序不安全地反序列化该数据时，将自动调用该链并导致在应用程序主机上执行该命令。攻击者可以通过发送一个特别制作的2进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。将反弹shell进行。

是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞，由于 Tomcat AJP 协议设计上存在缺陷，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。ava 是目前 Web 开发中最主流的编程语言，而 Tomcat 是当前最流行的 Java 中间件服务器之一，从初版发布到现在已经有二十多年历史，在世界范围内广泛使用。