zkaqlaoniao的博客

原创 ​​一起学习，一起进步！网络安全学习

原创 记一次常规的网络安全渗透测试

上个月根据领导安排，需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试，网络和安全设备的使用和部署情况，以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容，而且客户这边刚刚做过了一次等保测评，算一下时间这才几周不到，又来进行测试，实在是怕没成绩交不了差啊。攻击链路：OA系统0day漏洞获取webshell—>搭建frp隐蔽隧道进入内网—>主机、域控存在MS17-010漏洞—>struts2命令执行漏洞—>二层内网大量服务存在弱口令、未授权。

原创 安全工具 | BurpSuite安装使用（保姆级教程！)

3.点击Run -> 自动打开Burp Suite Professional4.点击 I Accept(我同意)5.复制 -> 粘贴 -> (Next)下一步6.点击 Manual activation(手动激活)7.BurpLoaderKeygen.jar(破解机的密码) 对应 Burp Suite Professional(激活的密码) 输入 -> 点击Next(下一步)8.页面提示：Success(成功) -> 点击Finish(完成)关闭激活注册页面。

原创 实战纪实 | 编辑器漏洞之Ueditor-任意文件上传漏洞 （老洞新谈）

前段时间在做某政府单位的项目的时候发现存在该漏洞，虽然是一个老洞，但这也是容易被忽视，且能快速拿到shell的漏洞，在利用方式上有一些不一样的心得，希望能帮助到一些还不太了解的小伙伴，故此写了此篇文章。Ueditor是百度开发的一个网站编辑器，目前已经不对其进行后续开发和更新，该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响，.net存在任意文件上传，绕过文件格式的限制，在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。

原创 漏洞挖掘新思路 | 挖掘证书颁发机构的安全问题

证书颁发机构（CA）是互联网安全的重要支柱；一旦它们被攻破，用户将失去安全连接网站、避免通信被拦截的能力。即使网站通常使用其他CA，它们也无法抵御一个完全被攻破的CA所带来的影响。在许多方面，证书颁发机构都会根据行业特定的审计标准接受全面审计。但证书颁发机构也经常被 黑客 入侵。尽管如此，，而在所有主要的CA中，只有GlobalSign和Let’s Encrypt提供了以方便安全问题披露。目前，CA一般每年只需进行一次渗透测试。

原创 渗透测试实战 | docker复杂环境下的内网打点

本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的；文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

原创 汽车安全 | 汽车安全入门

制造商每年都在为汽车/车辆添加更多电子组件。如果不同 OEM 和一级供应商（Tier 1）提供的部件整合过程中存在安全漏洞，就可能在车辆架构中产生潜在攻击空间。攻击者/对手可以利用这些空间入侵车辆。简单的漏洞或安全缺口一旦组合在一起，就可能导致整个车队遭到攻击，而其造成的破坏将是灾难性的。要让汽车/车辆更加安全，我们必须与 OEM、Tier 1 和安全公司密切合作，实现车内外通信的加密、认证与保护。希望这篇博客文章为你提供了关于汽车安全的高层次概览。

原创 渗透测试实战 | 记一次漏洞挖掘从AI招聘平台到百万求职信息泄露

是一个聊天机器人招聘平台，被 90% 的麦当劳特许经营店使用。求职者会与一个名叫 Olivia 的机器人对话，这个机器人由名为 Paradox.ai 的公司开发，用于收集他们的个人信息、工作班次偏好，并进行性格测试。我们是在 Reddit 上看到一些用户抱怨该机器人 回答毫无逻辑 后注意到这一点的。在进行了几个小时的初步安全审查后，我们发现了两个严重问题：McHire 为餐厅业主提供的管理界面接受默认凭据。

原创 （APP 移动端抓包教程）使用 Caido 和 Frida 拦截移动应用程序流量

我最近开始了一项关于 iHealth Nexus Pro 体脂秤的研究项目。该设备仅通过低功耗蓝牙（BLE）与移动应用程序进行通信。所有与厂商云服务器的通信都是通过移动应用程序完成的。

原创 逆向工程 | 从拆解摄像头到获取超管密码

我经常被问到如何入门物联网渗透测试或硬件破解。我的常规建议是直接拿一个设备，拆开它，然后深入研究！最近，我在东南亚旅行时获得了一个有趣的安防摄像头：VStarcam CB73。我认为这个摄像头是一个非常适合逆向工程和寻找安全漏洞的目标。从下图可以看到，这是一个非常小的摄像头，尺寸大约为1平方英寸。The VStarcam CB73 - an extremely 小型WiFi安防摄像头该设备通过WiFi连接互联网，并通过一个移动应用程序与摄像头进行交互。

原创 Wi-Fi 渗透测试 – 第一部分（网络基础）

本系列博客，特别是第 2、3、4 部分将是实践操作。为了进行所有的练习，我们需要搭建一个实验环境。

原创 渗透测试实战 | 某小程序支付漏洞+越权漏洞挖掘

从0到1学安全 | 某小程序支付漏洞+越权漏洞挖掘

原创 渗透测试实战 | 记一次小程序漏洞挖掘到内网渗透

一次从微信小程序漏洞挖掘到内网渗透，进而上线打穿目标全过程

原创 工控安全 | 完全隔离的网络？你的双宿主设备可能并不安全

从设计上讲，双宿主设备具有多个网络接口卡（NIC），可以连接到两个或更多独立的网络。尽管双宿主设备看起来是一种方便的解决方案，但正是这种设计使其能够在两个网络之间便捷通信的同时，也可能为威胁行为者（和渗透测试人员）提供在组织基础设施中横向移动的路径。在不同网络之间进行桥接（通常是不同信任等级的网络）会削弱原本用于保护关键系统的隔离效果。虽然一些原始设备制造商（OEM）曾推广这种拓扑结构，但目前的推荐做法是实施适当的网络分段。

原创 警惕假冒 CAPTCHA 攻击通过多阶段payload链部署远控和盗窃信息

在过去几个月中，Trend Micro 托管检测与响应（MDR）调查中发现假冒 CAPTCHA 的案例激增。这些 CAPTCHA 通过钓鱼邮件、URL 重定向、恶意广告或 SEO 污染投放。所有观察到的案例均表现出类似行为：指导用户将恶意命令复制粘贴到 Windows 的“运行”对话框中。脚本随后利用 Microsoft HTML 应用程序宿主（mshta）或 base64 编码的 PowerShell 执行高度混淆的命令，该命令连接到另一个网站并直接在内存中执行多阶段编码脚本。

原创 挖洞日记 | 记一次MSSQL注入绕waf过程

在挖漏洞时，使用 xia sql 插件发现一个注入点，经过测试发现存在 waf 拦截记录一下。

原创 0基础学习APP移动端渗透测试 | APP加解密对抗

某APP，访问后为APP下载页面，从而下载到目标APP进行分析。

原创 渗透测试 | 记一次网上阅卷系统漏洞挖掘详细过程

本文记录了一次某网上阅卷系统漏洞挖掘详细过程

原创 挖洞日记 | Js中的奇妙旅行

本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的；文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

原创 JavaSec | 某次代码审计比赛记录

比如分割 /teacher/list 得到 ["", "teacher", "list"]，而任何字符串都包含空字符串，所以正常登录时条件总是成立。发现这些CMS有CSRF漏洞，但因为主流浏览器已无法利用，所以没有在文章中展示，也没有提交。用学生账户登录，访问 http://192.168.3.34:8888/teacher/list，即可查看老师的相关信息（包括账户和密码）。目前只找到当时的 PDF版本，复制过来后格式可能有些不太整齐，请见谅，以下简单记录一下代审思路，比较简单，适合新手学习。

原创 JavaSec | jackson反序列化通杀链

前面简单了解了一下jackson反序列化，可以知道在序列化时会调用getter方法，而反序列化时会调用setter，但是都是有一定限制的，这里就来了解一下原生链的打法。测试环境：• JDK8u71。

原创 JavaSec | c3p0反序列化分析

C3P0是JDBC的一个连接池组件在多线程中创建线程是一个昂贵的操作，如果有大量的小任务需要执行，并且频繁地创建和销毁线程，实际上会消耗大量的系统资源，往往创建和消耗线程所耗费的时间比执行任务的时间还长。为了提高效率，我们可以线程池，而连接池也是差不多的原理，其核心作用是预先创建并维护一定数量的数据库连接，供应用程序使用，从而避免频繁创建和关闭连接带来的性能开销。C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。

原创 某地方攻防一路通向内网

又是年底护网季，地市护网有玄机，一路磕磕又绊绊，终是不负领导盼。扯远了-_-!!，年底来了一个地市级护网，开头挺顺利的，口子很简单找到了，归属也很好定位，但是中间突破的过程就是困难重重。因为是小地市，加上主办方年底也想出点成绩，所以对目标没太多限制，是这个地市的企业基本都算，备案能归到就行。

原创 挖洞日记 | 信息收集+任意重置

记得那是一个美丽冻人的下午，无意间翻到了一个站点，重置密码只需要学号/工号，姓名和身份证。那肯定要搜集一波。

原创 漏洞分析 | CVE-2025-29927：Next.js 中间件授权绕过

Next.js 是由 Vercel 开发的广受欢迎的 React 框架，它凭借无缝集成的服务器端渲染、静态生成和强大的中间件系统，驱动着数百万个 Web 应用程序。然而，在 2025 年 3 月，一个关键漏洞 CVE-2025-29927 震撼了整个生态系统。该漏洞暴露了一个缺陷，使攻击者能够轻易绕过基于中间件的安全控制。该问题由安全研究员 Rachid Allam（又名 zhero）发现，突显了 Next.js 中间件的强大与风险。让我们深入探讨该漏洞的技术细节、其工作原理以及对开发者的影响。

原创 恶意软件分析 | 打印机公司提供被感染的软件下载安装包长达半年

当 YouTube 频道 Serial Hobbyism 的创作者 Cameron Coward 想要评测一台价值 6000 美元的 UV 打印机并插入附带打印机软件的 U 盘时，杀毒软件警告他该 U 盘携带了一个通过 USB 传播的蠕虫病毒和 Floxif 感染。Floxif 是一种文件感染器，会附着在可执行文件（Portable Executable）上，因此能够传播到网络共享、可移动驱动器（如 U 盘）或备份存储系统中。打印机公司 Procolored 起初向他保证这只是误报。

原创 AI 幻觉生成的代码依赖正演变为新的供应链安全风险

一种名为的新型供应链攻击方式，正在伴随生成式 AI 编程工具的广泛使用而崛起。这类攻击源于大模型在生成代码时，。“Slopsquatting” 这一术语由安全研究员 Seth Larson 提出，灵感来源于 “typosquatting（拼写投机）”。后者是通过构造与热门库名称极为相似的拼写错误包名，引诱开发者误装恶意依赖。而 slopsquatting 不靠拼写错误取胜，而是来布局钓鱼攻击。攻击者会预先在 PyPI、npm 等软件包仓库中注册这些虚构的包名，并植入恶意代码。

原创 警惕！恶意 VSCode 扩展潜伏 Windows，暗中挖矿牟利

微软 VSCode 是一款广受欢迎的代码编辑器，用户可以通过安装扩展来增强其功能。这些扩展可从微软官方的 VSCode Marketplace 下载，这是一个供开发者寻找和安装插件的在线平台。安全研究员 Yuval Ronen（[原文链接：http://medium.com/@yuval_56625/19ca12904b59）发现，2025 年 4 月 4 日，微软 VSCode Marketplace 上架了 9 款恶意扩展。

原创 漏洞分析 | CVE-2025-29927：Next.js 中间件授权绕过

Next.js 是由 Vercel 开发的广受欢迎的 React 框架，它凭借无缝集成的服务器端渲染、静态生成和强大的中间件系统，驱动着数百万个 Web 应用程序。然而，在 2025 年 3 月，一个关键漏洞 CVE-2025-29927 震撼了整个生态系统。该漏洞暴露了一个缺陷，使攻击者能够轻易绕过基于中间件的安全控制。该问题由安全研究员 Rachid Allam（又名 zhero）发现，突显了 Next.js 中间件的强大与风险。让我们深入探讨该漏洞的技术细节、其工作原理以及对开发者的影响。中间件：隐藏

原创 恶意软件分析 | 打印机公司提供被感染的软件下载安装包长达半年

当 YouTube 频道 Serial Hobbyism 的创作者 Cameron Coward 想要评测一台价值 6000 美元的 UV 打印机并插入附带打印机软件的 U 盘时，杀毒软件警告他该 U 盘携带了一个通过 USB 传播的蠕虫病毒和 Floxif 感染。Floxif 是一种文件感染器，会附着在可执行文件（Portable Executable）上，因此能够传播到网络共享、可移动驱动器（如 U 盘）或备份存储系统中。打印机公司 Procolored 起初向他保证这只是误报。

原创 基于Docker的Windows容器化AWD平台构建方案

本文系统阐述了基于Docker容器化技术在Windows环境下搭建AWD攻防平台的完整技术方案覆盖环境搭建→漏洞集成→批量部署→平台运维全流程。致谢与资源Cardinal开源项目提供核心平台支持。• 本文代码仓库与工具包已开源 [https://github.com/Junt184/Cardinal-Replace]，欢迎社区协作优化。

原创 面试经验分享 | 成都渗透测试工程师二面面经分享

大概就这么多内容吧，其中技术方向的内容只是一方面，更多的是综合能力的展示。多说一点，大厂相对来说对学历看重一些，名牌985院校本身就是加分项；此外最好能拿到几本cnvd证书、SRC月榜上几次、或CTF竞赛有名次。

原创 面试经验分享 | 成都某安全厂商渗透测试工程师

在面试中我对XSS的实现方式和防范措施进行了简要介绍，尤其强调了对用户输入的严格过滤和输出编码的必要性。在我的测试中，挖到过存储型XSS漏洞，典型场景是在用户输入中未进行有效过滤的情况下，随即将输入的数据返回到页面上。我在学校期间积极参加CTF比赛，获得过几次名次，个人在团队中通常负责WEB和杂项的解题，我认为CTF比赛是提升实战能力的好机会。这样的氛围让我感到舒适，也让我对未来的工作充满期待。从整体来看，面试官的问题较为细致，这次面试的难度为一般，问题覆盖了渗透测试的基础知识和实战经验。

原创 记一次Keycloak管理面板接管

Keycloak是一款被广泛使用的开源身份与访问管理（IAM）解决方案，许多组织依赖它来处理身份验证和授权。然而，即使是最强大的安全系统也可能存在漏洞。现在，让我们返回登录页面并执行一个简单的登录操作。(这里是关键点，因为如果你直接访问注册端点，会遇到错误。现在，让我们在修改一些变量的同时创建另一个账户。，在转发请求后，账户成功创建。在这里，我有几个选项，但最简单的方法是。🎉 现在，让我们使用。但不幸的是，这些凭据无效 😞。阶段，无法访问任何内容！在转发请求后，我现在是一个。但不幸的是，注册已被。

原创 挖洞日记 | 记一套统一通杀

本报告仅用于安全研究和授权测试，未经授权的渗透测试行为是违法的，切勿用于其他用途，请确保在合法授权的情况下进行安全测试，出现任何后果与本人无关。

原创 mitmproxy前端加解密测试

为啥要上 上下游代理 ，因为如果说 服务器和客户端 两端传输的数据都是加密的话，一般客户端这边是JS代码解密，而我们直接使用burp/yakit 抓包的话，看到的都是加密数据，无从下手，因此需要上下游代理，实现传输中的加解密，实现burp/yakit上抓到的数据是解密后的结果，而传输到服务器和客户端又正好是加密后的结果，保证正常“走数据包”的同时又能对数据包进行测试分析。启动mitmproxy，打开cmd窗口，输入命令：将mitmproxy设置为yakit的上游代理，8083是我yakit的代理端口。

原创 HW面试经验分享 | 某服蓝队初级

依稀记得是22年 7、8月份参加的HW，当时是比较炎热的时候，但又夹杂一丝秋意。也是头一次去离家乡比较远的地方，多少有点忐忑……（怕被噶腰子、水土不服、吃穿用住没着落等等），但最终也是平安无事且顺利的度过了那半个月的时间，现在回忆起来有点唏嘘了。最后也是成功面过了，虽然薪资不高，但毕竟是第一次去参加，所以也是抱着长见识，长经验的心态去的，从到客户现场的头几天紧张的冒冷汗到后面10几天的淡然，也算是心理上的成长了。结束后也是在当地玩了一两天，到处瞎逛了下，然后就背上电脑和书包回家了~

原创 记一次框架利用接管学工系统

于是我开始思考平台是如何对用户进行权限划分的，回到响应数据包中，对比admin用户与其他用户的区别，我发现admin用户与其他用户最大的不同在type和teacherId两个参数，所以我推测系统是根据参数type和teacherId来对用户进行权限的划分。经过一番寻找，成功找到另外一个与admin用户鉴权参数值相同的用户，并且此用户的密码是可解密的，登录该用户后，发现先前的猜测完全正确，该用户具备与admin用户完全同等级的权限，成功拿下了该校的学工系统。1.Env接口中找到加密字段的属性名称;

原创 绕过杀软防护实战 | 通过数据库写入WebShell

记录一次比较有思考意义的国外渗透过程，通过外围打点渗透，成功获取到目标数据库的账号和密码，连接数据库后上传 WebShell 实现控制，但在尝试上传后门木马文件时，发现目标系统中运行着杀软，使用 tasklist /SVC 确认杀软进程的存在，导致一旦上传恶意文件，系统会立即触发杀软扫描并进行拦截，上传木马的尝试失败。

原创 javasec | CB链详细分析

按照CC2过程来，假如我们add进两个值，那么这里的k为0，x为queue[0]的值，也就是我们第一个add进的值，同时看这个方法的内部，那么再分别说一下值问题：​​​​​​​。在ysoserial中给出了解决方法，我们可以先往里面随便add进值，然后再反射更改为我想利用的，那么测试代码可以改为：​​​​​​​​​​​​​​​​​​​​​​​​​​。所以这里是先调用的queue[0]，同时结合我们前面的说法，只会调用一次，所以我们这里需要，如下设置：​​​​​​​。它利用反射操作Bean的属性。