他山之石-经验学习

一、js分析

1.1 《渗透测试JS接口Fuzz场景研究》

1.1.1 文章总结

微信地址：[https://mp.weixin.qq.com/s/MNh6PzQL84iII5bqR2PHeQ]

原文地址：[https://forum.butian.net/share/4163]

这篇文章的核心内容聚焦于渗透测试中针对前端JavaScript接口的模糊测试（Fuzz）技术，重点解决功能点匮乏或仅存在登录框的场景下，如何通过逆向分析Webpack打包的JS文件（如利用js.map反编译还原源码）、工具自动化扫描（如Packer-Fuzzer、URLFinder）提取潜在API接口，并结合语义推测、参数构造、URL混淆（如添加.json后缀、路径穿越../）及权限绕过技巧，挖掘未授权访问、信息泄露等漏洞，从而突破常规测试瓶颈，提升渗透效率与漏洞发现概率。

1.1.2 核心技术点总结

• 1）.map文件反编译
• 2）python正则匹配提取接口
• 3）工具自动化扫描
  • Packer-Fuzzer【https://github.com/rtcatc/Packer-Fuzzer】）
  • URLFinder【https://github.com/pingc0y/URLFinder】
  • URLFinder-x【https://github.com/N-Next/URLFinder-x】
• 4）浏览器插件（雪瞳、findsomething）
• 5）跟绝接口特点Fuzz

1.2 《JS逆向技巧与实战》

1.2.1 文章总结

地址：[https://www.reveone.cn/article/99827d5d-4d4f-4a52-ae43-92e543ce46b3]

这篇文章系统讲解了JavaScript逆向工程的常用技巧与实战场景，重点分析了前端代码混淆（如变量名混淆、控制流扁平化、字符串加密等）的破解思路，并介绍了通过浏览器调试工具定位加密参数、AST（抽象语法树）反混淆、Hook函数拦截、环境变量补全等核心技术。作者结合某网站案例，演示了如何逆向分析动态Cookie生成逻辑，通过动态调试追踪参数加密过程，最终提取关键算法并模拟生成有效请求，为爬虫开发或安全研究提供了实用方法。文中还总结了应对Webpack打包、反调试陷阱等问题的实践经验。

1.2.2 核心技术点

• 1）js逆向分析过程

• 2）全局搜索定位敏感参数（cmd+option+f）

• 3）hook+debug定位敏感参数

二、未授权访问

2.1 《基于未授权的渗透测试技巧总结》

2.1.1 文章总结

微信地址：[https://mp.weixin.qq.com/s/lDT80mNR_ubthHgArRCMLw]

这篇文章核心总结了未授权渗透测试的多种实战技巧与思路，包括利用#号路由守卫缺陷绕过鉴权访问隐藏资产、通过异常状态码（400/405/500）分析构造参数实现敏感信息泄露、结合JS混淆定位业务参数突破未授权接口、利用中间件配置缺陷（如资源后缀、目录符../）绕过鉴权限制访问SpringBoot高危组件（actuator/swagger）、基于目录探测与二次递归挖掘文件遍历漏洞，以及通过混淆参数和JS分析挖掘未上报API的未授权上传等高危漏洞，强调在资产收敛的现状下，需从非常规路径（如隐藏服务、异常响应、参数构造）突破权限校验实现漏洞挖掘。

2.2 《快速发现与查看api-docs》

2.2.1 文章总结

地址：[https://mp.weixin.qq.com/s/8tKd2YfNRFaRdFtOT8XfEA]

这篇文章介绍了在渗透测试中如何快速发现和利用泄露的api-docs接口文档：通过Yakit插件或路径遍历发现接口文档后，建议使用旧版Postman（如10.13）导入api-docs链接生成API请求集合，并通过配置baseUrl、全局Authorization授权头或Cookie（针对特定域名的鉴权继承问题）来完善接口调用环境，从而更高效地分析API参数和潜在漏洞。文中强调需注意新版Postman的功能限制及未登录状态下的性能优化。

2.2.2 核心技术点总结

• 1）swagger api-docs文档扫描方法-yakit插件
• 2）postman导入 api-docs文档，配置baseurl，配置鉴权，批量访问验证。

2.3 《JS漏洞挖掘｜分享使用FindSomething联动的挖掘思路》

2.3.1 文章总结

地址：[https://mp.weixin.qq.com/s/_pV-F-qClpvbFPYV8LiKXA]

这篇文章分享了利用FindSomething插件挖掘JavaScript未授权漏洞的实战技巧，介绍了未授权漏洞的定义、常见类型（如组件和Web层面漏洞），并通过案例演示如何通过插件提取JS文件中的隐藏接口路径，结合参数处理、路径拼接及Burp Suite测试等方法，绕过权限验证获取敏感信息。文章还提供了HAE插件的正则匹配规则以辅助自动化检测，并推广其知识星球提供内部资源（漏洞库、课程、项目合作等），旨在帮助安全研究人员高效发现JS未授权漏洞。

2.3.2 核心技术点总结

• 1）findsomething插件
• 2）burpsuite HaE插件 【HaE的规则没给全，self修正：("|get("|ashx?|ashx|ur1:|ur1:"|ur1:|path:|path:|path:|action?|data|params)】

三、逻辑类漏洞

3.1 《浅谈常见edu漏洞，逻辑漏洞、越权、接管、小白如何快速找准漏洞》

3.1.1 文章总结

微信地址：[https://mp.weixin.qq.com/s/JFtjPiaf-F9apHj9UrOtCQ]

这篇文章总结了作者在高校渗透测试中发现的多个典型漏洞，包括教务系统的短信轰炸（通过分离验证码校验与发送的数据包实现绕过）、校内实训平台的任意用户注册/登录/密码修改（利用参数拼接和验证码爆破）、越权查询个人信息（通过参数篡改获取敏感数据）、换绑手机号绕过（二次验证不严谨）、druid未授权访问导致的Session劫持（实现任意用户账号接管），以及某内部平台SQL注入引发的RCE（因接口直接暴露SQL语句并结合PostgreSQL特性），揭示了教育系统常见的安全隐患，同时强调渗透测试需合法授权的重要性。

3.1.2 核心技术点总结

• 1）短信轰炸
• 2）任意用户注册、任意用户登录、修改任意用户密码、验证码爆破
• 3）越权查询数据
• 4）手机号任意换绑
• 5）druid未授权访问session泄漏导致接管账号
• 6）PostgreSQL 数据库注入及RCE

四、RuoYi漏洞

4.1 《若依(RuoYi)框架漏洞战争手册》

4.1.1 文章总结

微信地址：[https://mp.weixin.qq.com/s/2spNw73jKrXoFALur3XkYg]

这篇文章详细剖析了若依（RuoYi）框架存在的多个高危安全漏洞，包括Shiro默认密钥导致的远程代码执行（RCE）、多接口SQL注入、任意文件下载、定时任务未授权命令执行、Fastjson反序列化攻击、SSTI模板注入，以及高版本中通过畸形类名绕过白名单的定时任务RCE等。攻击者可通过弱口令（如admin/123456）进入后台，利用Shiro固定密钥反弹Shell，或通过注入点接管数据库，甚至结合文件上传和JNI机制加载恶意动态库实现系统级控制。文章还提供了环境搭建、漏洞复现步骤、工具利用（如ShiroAttack2、JNDI注入工具）及修复方案（升级版本、权限校验、路径白名单等），强调开发者需重视组件安全配置与代码审计，避免因默认配置和逻辑缺陷引发系统性风险。

4.1.2 核心技术点总结

• 1）ruoyi弱口令
• 2）Shiro默认密钥
• 3）sql注入
• 4）CNVD-2021-01931任意文件下载
• 5）CVE-2023-27025 若依任意文件下载
• 6）定时任务RCE
• 7）fastjson反序列化
• 8）SSTI模版注入漏洞
• 9）若依4.8.0版本计划任务RCE

4.2 《RuoYi历史漏洞》

4.2.1 文章总结

地址：[https://blog.takake.com/posts/7219/]

这篇文章详细分析了RuoYi框架多个历史版本中存在的安全漏洞，包括Shiro反序列化漏洞（影响4.6.2之前版本，因默认AES密钥导致远程代码执行）、SSTI模板注入漏洞（4.7.1版本Thymeleaf未过滤导致命令执行）、多个接口的SQL注入漏洞（影响4.6.2之前版本，利用参数拼接执行恶意SQL）、任意文件下载漏洞（4.5.1前版本通过路径遍历获取系统文件）、定时任务功能远程代码执行漏洞（利用SnakeYaml反序列化或JNDI注入攻击），以及全版本存在的默认凭证风险（admin/admin123）。文章结合代码审计与复现过程，阐述了漏洞原理、利用方式及修复方案，为RuoYi框架的安全防护提供了全面参考。

五、SpringBoot漏洞

5.1 《对于Spring Boot的渗透姿势》

5.1.1 文章总结

地址：[https://blog.zgsec.cn/archives/129.html]

这篇文章介绍了Spring Boot框架的简化开发特性及其内置监控模块Actuator的安全风险，重点分析了如何通过Fofa搜索引擎识别Spring Boot资产（如特定图标哈希或错误页面特征），并指出渗透测试中常见的敏感信息泄露和未授权访问漏洞，尤其是Actuator端点管理不当可能导致的数据泄露和服务器沦陷问题。

5.1.2 核心技术点总结

• 1）Spring Boot Actuator概述
• 2）Spring Boot框架的识别
• 3）Spring Boot框架敏感信息泄露
• 4）SpringBoot-Scan的使用

六、API漏洞挖掘

6.1 《API漏洞挖掘指北-APISandbox靶场通关.1》

6.1.1 文章总结

地址：[https://mp.weixin.qq.com/s/NxAJjKYvNZ381Zr19P1tRA]

这篇文章介绍了如何利用APIKit插件在BurpSuite中检测API漏洞，并详细讲解了APISandbox靶场多个漏洞场景的实战通关方法，包括环境搭建（基于Docker）、OWASP API Top 10漏洞利用（如未授权访问、水平/垂直越权、暴力破解）以及4ASystem弱口令和接口平行越权漏洞的分析。

6.1.2 核心技术点总结

• 1）APIKit的安装使用 [https://github.com/API-Security/APIKit]
• 2）APISandbox靶场 [https://github.com/API-Security/APISandbox/]

七、Hook

7.1 《hook的本质是什么》

7.1.1 文章总结

地址：[https://mp.weixin.qq.com/s/Bpw-D6NAyBnDcRLWFTeXcg]

这篇文章介绍了hook（钩子）的本质是一种程序拦截机制，通过在不修改原始代码的前提下插入自定义逻辑，改变程序执行流程，常用于测试、逆向分析等场景，并以JavaScript示例演示了如何通过重写函数实现调用前后的拦截和结果篡改，同时提及Java动态代理作为类似机制的应用。

7.1.2 核心技术点总结

• 1）什么是Hook
• 2）Hook代码例子

八、云安全

8.1 《etcd未授权到控制k8s集群》

8.1.1 文章总结

地址：[https://mp.weixin.qq.com/s/F-jQER9YXBwNazGpMEtN0A]

这篇文章阐述了Kubernetes集群中etcd组件未授权访问的安全风险：由于etcd默认存储集群全量未加密数据且可能开放2379端口未启用认证，攻击者可直接读取敏感信息（如高权限Service Account的token），通过提取/registry/secrets路径下的密钥数据验证后，即可利用kubectl工具接管集群执行任意命令，最终实现对整个Kubernetes环境的控制。

8.1.2 核心技术点总结

• 1）etcd在k8s集群中的重要性

• 2）etcd未授权访问，获取token，验证token有效性，获取集群操作权限。

九、绕WAF

9.1 《绕 waf 这么简单吗？》

9.1.1 文章总结

地址：[https://mp.weixin.qq.com/s/GTwdVwS4jAiFcLimxmVV2g]

这篇文章myh0st分享了一款名为nowafpls的绕WAF插件，其原理是通过在POST请求中填充大量无意义数据（如8KB冗余内容），利用WAF为防止性能过载而放弃检测大数据包的特性，从而绕过安全拦截；实战测试验证了该方法有效性，并指出安全从业者可通过此方式提升渗透测试效果，同时提醒WAF运营者需警惕此类恶意请求的数据处理漏洞。

9.1.2 核心技术点总结

• 1）BP插件-nowafpls绕WAF技巧

十、提权

10.1 《znlinux linux全架构全漏洞提权程序》

10.1.1 文章总结

地址：[https://mp.weixin.qq.com/s/UFzc1hM8w9y2txCY3O1bKg]

这篇文章介绍了一款名为“znlinux”的Linux全架构全漏洞提权程序（项目地址：https://github.com/twowb/znlinux），支持通过参数检测并利用漏洞提权（如 -a 参数立即尝试利用漏洞获取Shell，-p 支持密码输入），作者声明该工具仅供合法安全研究，使用者需自行承担非法滥用风险，且项目未提供源码仅发布编译版本，用户需自行检测潜在安全问题。测试者在Ubuntu虚拟机上验证了提权功能成功，并展示了程序的基本用法和提权结果。

10.1.2 核心技术点总结

• 1）全架构全漏洞提权 https://github.com/twowb/znlinux