阿瓦隆之庭

2023-09-13发表2024-12-23更新代码审计38 分钟读完 (大约5698个字)

Struts2全系漏洞分析（二）

参考链接：

https://blog.csdn.net/Fly_hps/article/details/85001659

https://su18.org/post/struts2-1/#s2-009

前言

在继续Struts2全系漏洞的分析之前，我犹豫了一会，究竟是要继续分析Struts2剩下的其他漏洞，还是好好分析一下ysoserial的反序列化链呢，本着尽量旧坑未填不开新坑的原则，我还是继续来调试代码，分析Struts2的历史漏洞吧。

另外，在网上寻找怎么搭建S2-007漏洞时，发现了一个惊人的漏洞源码库，只需要将对应的文件夹用 idea 打开配置自己的 tomcat 即可运行，终于不用艰难地搭环境了，好耶！

仓库在这里：https://github.com/xhycccc/Struts2-Vuln-Demo

前一篇文章由于是第一次分析Struts2的漏洞，故分析的比较详细，这一篇就会简略一点，主要理解漏洞链以及漏洞触发的流程。

2023-09-10发表2024-12-22更新28 分钟读完 (大约4152个字)

再探2023蓝帽杯初赛取证

误打误撞进了蓝帽杯的半决，下周末就要去贵阳比赛了，赶紧再来看看取证，不过取证还算有点意思。

APK取证

1.【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]

这个弘联的雷电app分析一分析就直接出来了，现在在申请授权…

其实使用jadx反编译也可以看得出来：

2023-09-08发表2024-12-23更新43 分钟读完 (大约6490个字)

Struts2全系漏洞分析（一）

总参考链接：https://su18.org/post/struts2-1/

Struts2 配置及使用

Struts2 是一个基于MVC 设计模式的Web应用框架，它的本质就相当于一个 servlet，在 MVC 设计模式中，Struts2 作为控制器（Controller）来建立模型与视图的数据交互。

Struts2 是在 Struts 和WebWork 的技术的基础上进行合并的全新的框架。Struts2 以 WebWork 为核心，采用拦截器的机制来处理的请求。这样的设计使得业务逻辑控制器能够与 ServletAPI 完全脱离开。

在分析Struts2对一次请求的执行流程之前，为方便分析，我们需要配好Struts2-001的漏洞环境，本人亲测有效的配置教程如下，这里不再赘述：

https://lanvnal.com/2020/12/15/struts2-lou-dong-fen-xi-huan-jing-da-jian/#

2023-08-31发表2024-12-22更新44 分钟读完 (大约6580个字)

FastJson全系漏洞分析

前置知识

fastjson是什么

fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。这个反序列化就是我们研究的重点。反序列化的对象必须具有默认的无参构造器和get|set方法，反序列化的底层实现就是通过无参构造器和get，set方法进行的。

2023-08-24发表2024-12-22更新1 小时读完 (大约13171个字)

基于ctfshow初探TP全系列漏洞

研究复现这些thinkphp漏洞就是为了明白漏洞的成因，锻炼看文档手册和调试代码的能力，主要基于ctfshow靶场上的题进行研究（能找到的最全的靶场）。

前言：如何找到需要的版本源码

composer create-project topthink/think-5.0.5 thinkphp5.0.5 --prefer-dist

下载之后访问index，随便访问一个不存在的路由，看报错说的是几，有时候会自动下成最新版，显示5.0.24，这时候只需要在compsoer.json里面改为需要的版本，再运行composer update就行，composer是php的包管理工具，功能和java的maven非常类似

2023-08-24发表2024-12-22更新11 分钟读完 (大约1709个字)

ThinkPHP6.0.3_反序列化漏洞

漏洞影响版本：6.0.0-6.0.3，本次分析中使用的版本为6.0.3

搭建环境就不多说了，composer改版本，index加一个反序列化操作，直接从反序列化链入口开始看。

这条链同样分成上下两部分进行分析

入口部分

前半段的任务在于控制参数使得从__destruct方法到__toString方法，因为后半段和tp5反序列化toString后半段很类似。

我们都知道，反序列化入口一般是__destruct方法，这次是位于/vendor/topthink/think-orm/src/Model.php的__destruct方法：

2023-08-22发表2024-12-22更新17 分钟读完 (大约2607个字)

ThinkPHP5_反序列化分析

ThinkPHP5.1 反序列化总结

影响版本：5.1.37-5.1.41

先在index里面加一个反序列化的入口：

由于这个反序列化链实在是太长了，而且需要逆着分析，向上找调用，没法进行调试（调试是顺着分析），所以分成两大部分来分析，第一部分跳跃的类有点多，涉及到了php的多继承和抽象类，第二部分主要集中在Request类中不同方法的互相调用，而连接两个部分的关键在于访问不存在的方法时自动调用的__call方法。

2023-08-19发表2024-12-22更新18 分钟读完 (大约2638个字)

ThinkPHP5_RCE分析

thinkphp5最出名的漏洞就是rce，rce有两个大版本的区别

ThinkPHP 5.0.0-5.0.24
ThinkPHP 5.1.0-5.1.30

因为漏洞具体触发点和版本的不同，导致payload分为了很多种，总体来看依然分两大种：

2023-08-16发表2024-12-22更新21 分钟读完 (大约3164个字)

ThinkPHP3.2.3SQL注入复现

前言

最近这段时间集中在研究ThinkPHP全系漏洞，争取都复现一下，提升一下代码审计能力。

准备工作

先在本地搭建环境研究研究，首先研究sql注入肯定要先自己弄好数据库，这个thinkphp创建时绑定的数据库是空的，于是创个users表，输点数据。

2023-08-06发表2024-12-22更新20 分钟读完 (大约2975个字)

初探VM/VM2沙箱逃逸

前情提要：JavaScript和nodejs到底有什么区别：JavaScript运行在浏览器的前端，而后面使用v8引擎为JavaScript单独开发了一个运行环境，使其可以作为一种后端语言运行在服务端，写在后端的JavaScript就叫nodejs。也就是说一个前端一个后端。

VM沙箱基本概念和使用

什么是沙箱

沙箱就是我们开辟出的单独运行代码的环境，与主机相互隔离，从而使得代码并不会影响主机上的功能。