admin/wxvl
1
0
Fork 0
mirror of https://github.com/gelusus/wxvl.git synced 2025-08-13 11:28:20 +00:00
Code Issues Packages Projects Releases Wiki Activity

VMware ESXi & vCenter 执行任意命令漏洞、一个高性能的目录扫描工具,专门检测和验证 Web 中的路径遍历漏洞,通过异步并发扫描和智能 WAF 绕过技术,快速发现漏洞、AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件、【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225)、【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术、漏洞挖掘—利用查询功能获取敏感信息(2)、发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE)、黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元、vLLM 曝高危远程代码漏洞,AI 服务器面临攻击风险、【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269)、车载网络通信“CAN总线”的安全与漏洞、

Browse Source
This commit is contained in:
test 2025-05-21 16:25:28 +00:00
parent f341b02923
commit a2d7385181
12 changed files with 1908 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

13
data.json
View File

@ -14331,5 +14331,16 @@
"https://mp.weixin.qq.com/s?__biz=Mzk0OTQzMDI4Mg==&mid=2247484855&idx=1&sn=fbd0408fe1e921d65adf6f736435cfa6": "安钥®「漏洞防治标准作业程序SOP」征文启示 [2025年第20期总第38期]",
"https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523082&idx=1&sn=1ddbeb4f3e454706eafa9900777eed09": "VMware 紧急修复多个漏洞",
"https://mp.weixin.qq.com/s?__biz=MzUzOTE2OTM5Mg==&mid=2247490397&idx=1&sn=d297b27606dab7d510399b202924f348": "【AI风险通告】vLLM存在远程代码执行漏洞CVE-2025-47277",
"https://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247506411&idx=1&sn=f203edbcf801302cc15cf12841f0ab3b": "我的第一个漏洞赏金计划:我如何赚到 1,000 美元"
"https://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247506411&idx=1&sn=f203edbcf801302cc15cf12841f0ab3b": "我的第一个漏洞赏金计划:我如何赚到 1,000 美元",
"https://mp.weixin.qq.com/s?__biz=MzI0NzE4ODk1Mw==&mid=2652096252&idx=1&sn=2f0f81d26d721040020ceab8d5bdf46e": "VMware ESXi & vCenter 执行任意命令漏洞",
"https://mp.weixin.qq.com/s?__biz=Mzg5NzUyNTI1Nw==&mid=2247497345&idx=1&sn=ce91a7ca3849f39847a2580b90e00d1d": "一个高性能的目录扫描工具,专门检测和验证 Web 中的路径遍历漏洞,通过异步并发扫描和智能 WAF 绕过技术,快速发现漏洞",
"https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491604&idx=1&sn=5c9fdbe2381fa02b0b113c2d4d1946e8": "AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件",
"https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486690&idx=1&sn=1edf88a3285d6b7f9ce75f4029eadb8e": "【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225)",
"https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247544884&idx=1&sn=82fe2afa774e253e020af6d28ecf0d9e": "【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术",
"https://mp.weixin.qq.com/s?__biz=MzkyNjczNzgzMA==&mid=2247484547&idx=1&sn=6e16e54e1a96a10f763626e990d0c081": "漏洞挖掘—利用查询功能获取敏感信息2",
"https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247529982&idx=3&sn=cd0ae68d9599ac5c66a1868fa35a2305": "发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE)",
"https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247492979&idx=1&sn=9a26d330e98f20f99a943d09bff5dbe7": "黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元",
"https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651321451&idx=3&sn=821456f16440650fb03a4c3b61a55746": "vLLM 曝高危远程代码漏洞AI 服务器面临攻击风险",
"https://mp.weixin.qq.com/s?__biz=Mzk0OTQzMDI4Mg==&mid=2247484855&idx=2&sn=8e23287c2d5da0a9ea4574bc7fb17b8f": "【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞CVE-2024-30269",
"https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247554991&idx=1&sn=349b4d22b12fcd3a515d02f35327005e": "车载网络通信“CAN总线”的安全与漏洞"
}

163
doc/2025-05/AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件.md Normal file
View File

@ -0,0 +1,163 @@
# AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件
hnking-star 渗透安全HackTwo 2025-05-21 16:01
0x01 工具介绍SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具用于检测无回显&全回显SSRF漏洞提供了多种功能供用户自定义包括但不限于关键字配置Payload配置以及检测字符串配置。注意现在只对常读和星标的公众号才展示大图推送建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!#渗透安全HackTwo
**下载地址在末尾**
0x02 功能简介### 插件功能配置
###
### 扫描流量配置
**(1) 被动扫描:**
不建议开启此功能Burpsuite
自带扫描器会触发企业SRC内部告警导致IP被封禁
**(2) HTTP history流量扫描**
扫描Proxy
中HTTP history
模块中的流量利用RequestResponseFilter
过滤器筛选出存在关键参数的流量进行SSRF
漏洞检测
**(3) Repeater流量扫描**
扫描Repeater
模块中发送过的数据包流量利用RequestResponseFilter
过滤器筛选出存在关键参数的流量进行SSRF
漏洞检测
#### 缓存文件配置
#### 用户可以自定义缓存文件位置,扫描过的流量信息会自动存储在缓存文件中,避免对某一流量包进行重复无效扫描
### 扫描参数配置
###
### 关键字配置
### 用户可以自定义添加/删除流量检测关键字以关键字url为例若某一流量包如下所示
```
GET /ssrf.php?url=/imgRes/user.pngHost: xxx.xx.xx.xxxCookie: PHPSESSID=xxxxxxxxxxxxReferer: xxx.xx.xx.xxx
```
### 则会匹配到url=/imgRes/user.png中的url参数并对此流量请求包进行SSRF漏洞检测
#### Payload 配置
#### 插件默认提供两种无回显SSRF漏洞自动化检测方式
**(1) collaborator**
利用Burpsuite
内置的Collaborator
模块进行无回显SSRF
漏洞检测但是很多厂商WAF
会将Collaborator
模块的Payload
写进黑名单,导致漏检,于是提供了第二种检测方式 -> DNSLog
**(2) dnslog**
利用广为人知dnslog
平台(http://dnslog.cn
)进行无回显SSRF
漏洞检测自动化获取dnslog
的Payload
和响应信息
#### 检测字符串配置
#### 用于证明全回显SSRF漏洞存在
用户在挖掘企业SRC进行黑盒测试时企业通常会提供全回显SSRF
测试靶机靶机的回显通常为一个标志性字符串如flag{tencent_ssrf_vuln}
二者起到对应关系
```
http://ssrf.tencent.com/flag.html ---> flag{tencent_ssrf_vuln}
```
于是可以在Payload
配置模块和检测字符串配置模块添加这种对应关系
![image-20250403140436720](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7KzKYPXolkvsK6XjtBe05icJl81gvfB5EMsmD9BsC9glbRdUBfqicCo75MwqUqFcPBAplWVBz3DKjg/640?wx_fmt=png&from=appmsg "")
### 扫描流量概览
### 这里会显示所有包含检测关键字的流量请求包
![image-20250403140712482](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7KzKYPXolkvsK6XjtBe05icb3TSj95uTln3PAa4QNrsu3diaH3tFgr0P9sXjvYpcibqm60bIwu5zoAw/640?wx_fmt=png&from=appmsg "")
### 疑似存在漏洞
### 若配置的Payloads列表中有任意大于等于1个Payload探测存在SSRF漏洞成功该流量数据包的状态(Status)就会自动更新为 "疑似漏洞",并在 "疑似存在漏洞" 列表中显示
每一个检测存在SSRF
漏洞的Payload
都会单独显示,如下所示
**(1) Collaborator payload检测存在SSRF漏洞**
![image-20250403141634651](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7KzKYPXolkvsK6XjtBe05icmdh3rtzWaJ6pTGAiaFwGD6IEPjDxfMiaBSf7Ik7hLicUnM0hrO2l4hLicQ/640?wx_fmt=png&from=appmsg "")
**(2) DNSLog payload检测存在SSRF漏洞**
![image-20250403141726178](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7KzKYPXolkvsK6XjtBe05icUxJu6DBBsLxMn5ap2JQo4wc7hmncjPn6MwsOp9wGc9AezrSjeq2UDg/640?wx_fmt=png&from=appmsg "")
**(3) 企业SRC 全回显SSRF靶机回显flag字符串**
![image-20250403142045779](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7KzKYPXolkvsK6XjtBe05ic0vDxThQRuegQPNEDZ14WRBo9o6PTNc3viceNalPIWg0hDcfmgb1TODQ/640?wx_fmt=png&from=appmsg "")
##
0x03 更新说明```
SSRF_Detector_v1.0.0为系列插件的第一个版本,提供以下功能:
(1) 用户自定义检测关键字
(2) 用户自定义检测payloads
(3) 在 Collaborator模块的基础上额外提供 dnslog测试提高检测容错率
(4) 提供自定义全回显SSRF验证字符串功能以供在企业SRC黑盒测试中检测全回显SSRF漏洞
(5) 缓存文件,避免重复无效检测
```
0x04 使用介绍## 📦jar下载后Burpsuite加载扩展即可使用
![](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq7OuEB2v6Ca1ymc8GQlbGMhkUpDyB2cIVCI0NYapN0pOEOWUAKtKib210diccrkwCoZVEf2ibiaiatqMKA/640?wx_fmt=png&from=appmsg "")
##
0x05 内部VIP星球介绍-V1.4(福利)        如果你想学习更多渗透测试技术/应急溯源/免杀/挖洞赚取漏洞赏金/红队打点欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群每1-2天更新1day/0day漏洞刷分上分(2025POC更新至3800+)包含网上一些付费工具及BurpSuite自动化漏洞探测插件AI代审工具等等。shadon\Quake\Fofa高级会员CTFshow等各种账号会员共享。详情直接点击下方链接进入了解觉得价格高的师傅可后台回复" 星球 "有优惠券名额有限先到先得全网资源最新最丰富🤙截止目前已有1700多位师傅选择加入❗早加入早享受
**👉****点击了解加入-->>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新**
结尾
# 免责声明
# 获取方法
**公众号回复20250522获取下载**
# 最后必看-免责声明
    
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如
用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。
本项目所有收录的poc均为漏洞的理论判断不存在漏洞利用过程不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。
如您在使用本工具或阅读文章的过程中存在任何非法行为您需自行承担相应后果我们将不承担任何法律及连带责任。本工具或文章或来源于网络若有侵权请联系作者删除请在24小时内删除请勿用于商业行为自行查验是否具有后门切勿相信软件内的广告
# 往期推荐
**1.内部VIP知识星球福利介绍V1.4AI自动化工具**
**2.CS4.8-CobaltStrike4.8汉化+插件版**
**3.最新BurpSuite2025.2.1专业版新增AI模块**
**4. 最新xray1.9.11高级版下载Windows/Linux**
**5. 最新HCL AppScan Standard**
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:
知识星球
扫码关注 了解更多
![](https://mmbiz.qpic.cn/sz_mmbiz_png/RjOvISzUFq6qFFAxdkV2tgPPqL76yNTw38UJ9vr5QJQE48ff1I4Gichw7adAcHQx8ePBPmwvouAhs4ArJFVdKkw/640?wx_fmt=png "二维码")
一款快速识别网站指纹3W+的Google插件|「指纹猎手」

46
doc/2025-05/VMware ESXi & vCenter 执行任意命令漏洞.md Normal file
View File

@ -0,0 +1,46 @@
# VMware ESXi & vCenter 执行任意命令漏洞
网安百色 2025-05-21 11:28
Broadcom 的 VMware 部门披露了其虚拟化产品中的关键安全漏洞,包括一个高严重性漏洞,该漏洞可能允许经过身份验证的用户在受影响的系统上执行任意命令。
今天的安全公告解决了影响多个 VMware 产品的四个不同漏洞,严重性等级从中等到重要不等。
## 关键命令执行漏洞
最严重的漏洞 CVE-2025-41225 会影响 VMware vCenter ServerCVSS 评分为 8.8。此经过身份验证的命令执行漏洞允许具有权限的恶意行为者创建或修改警报,并运行脚本作以在 vCenter Server 上执行任意命令。
安全专家认为此漏洞特别危险,因为它为攻击者提供了破坏核心虚拟化管理基础设施的直接途径。
“这个漏洞对 vCenter Server 管理关键工作负载的企业环境构成了重大风险”VMware 安全团队的一位发言人说。“组织应立即优先进行修补,以防止潜在的漏洞利用。”
## 修补的其他漏洞
该公告还解决了其他三个安全漏洞:
- **CVE-2025-41226**
 漏洞执行客户机作时ESXi 中存在拒绝服务漏洞CVSS 评分为 6.8)。此漏洞允许具有客户机作权限的攻击者创建拒绝服务条件,从而影响运行 VMware Tools 的虚拟机。
- **CVE-2025-41227**
Workstation、Fusion 和 ESXi 中由于某些客户机选项而存在拒绝服务漏洞CVSS 评分为 5.5)。来宾作系统中的非管理用户可以通过耗尽主机进程的内存资源来利用此问题。
- **漏洞 2025-41228**
ESXi 和 vCenter Server 登录页面中存在反射性的跨站点脚本漏洞CVSS 评分为 4.3)。对特定 URL 路径具有网络访问权限的攻击者可以利用此问题窃取 Cookie 或将用户重定向到恶意网站。
这些漏洞影响了广泛的 VMware 产品,包括 ESXi 7.0 和 8.0、vCenter Server 7.0 和 8.0,以及 Workstation 17.x、Fusion 13.x、VMware Cloud Foundation、Telco Cloud Platform 和 Telco Cloud Infrastructure。
VMware 已发布更新来解决这些漏洞。对于 vCenter Server用户应更新到版本 8.0 U3e 或 7.0 U3v具体取决于其当前版本。
ESXi 客户应应用修补程序 ESXi80U3se-24659227适用于版本 8.0)或 ESXi70U3sv-24723868适用于版本 7.0。VMware Workstation 和 Fusion 用户应分别更新到版本 17.6.3 和 13.6.3。
此公告发布之际,人们对 VMware 产品安全性的关注日益增加。本月早些时候Broadcom 解决了 VMware Cloud Foundation 平台中的其他三个重要漏洞,这些漏洞允许攻击者未经授权访问敏感信息和内部服务。
3 月Broadcom 发布了一份公告,解决了 VMware ESXi 中的三个关键漏洞,这些漏洞链接在一起后,允许攻击者通过运行虚拟机来访问虚拟机管理程序。
运行受影响的 VMware 产品的所有组织都应立即实施提供的补丁,因为没有针对这些漏洞的解决方法。
鉴于 VMware 在企业虚拟化领域的主导地位,这些漏洞对组织安全态势构成了重大风险。
**免责声明**
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
![图片](https://mmbiz.qpic.cn/mmbiz_jpg/1QIbxKfhZo5lNbibXUkeIxDGJmD2Md5vKicbNtIkdNvibicL87FjAOqGicuxcgBuRjjolLcGDOnfhMdykXibWuH6DV1g/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")

62
doc/2025-05/vLLM 曝高危远程代码漏洞,AI 服务器面临攻击风险.md Normal file
View File

@ -0,0 +1,62 @@
# vLLM 曝高危远程代码漏洞AI 服务器面临攻击风险
FreeBuf 2025-05-21 10:04
![](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR38jUokdlWSNlAjmEsO1rzv3srXShFRuTKBGDwkj4gvYy34iajd6zQiaKl77Wsy9mjC0xBCRg0YgDIWg/640?wx_fmt=gif "")
![vLLM 漏洞示意图](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR39k7uSGyL3DIRgUVQGujfQ1ATlRUObTcy2XEgWL73KJuaAOTJ4Qqkm5mgXp7BqNTct2NGPctEv3vg/640?wx_fmt=jpeg&from=appmsg "")
研究人员近日披露了大型语言模型LLM高性能推理与服务引擎 vLLM 中存在的一个高危漏洞(编号 CVE-2025-47277。该漏洞源于 PyNcclPipe 通信服务中存在的不安全反序列化缺陷可导致远程代码执行RCE其 CVSS 评分为 9.8 分。
### Part01
### 漏洞技术细节
vLLM 最初由加州大学伯克利分校 Sky Computing 实验室开发,现已成为社区驱动的开源项目,为 LLM 推理和服务提供快速易用的库。该工具支持分布式部署和先进的 KV 缓存管理,并能与工业级 LLM 基础设施集成。
漏洞存在于 PyNcclPipe 类中,该类通过点对点消息传递实现分布式节点间的 KV 缓存传输。其 CPU 端消息传递机制使用 Python 的 pickle 模块进行数据序列化和反序列化。
安全公告指出:"PyNcclPipe 实现中存在严重安全缺陷,它直接使用 pickle.loads 处理客户端提供的数据,形成了可导致远程代码执行的不安全反序列化漏洞。"
**Part02**
### 攻击影响分析
攻击者通过向运行的 PyNcclPipe 服务发送恶意构造的对象,即可利用该漏洞在主机上执行任意系统命令,从而完全控制服务器。
该问题的根源还与 PyTorch 的 TCPStore 绑定行为有关:"PyTorch 的默认行为是 TCPStore 接口会监听所有网络接口,无论提供的是何种 IP 地址。"
**Part03**
### 修复建议
vLLM 已实施临时解决方案,确保绑定到指定的私有接口以降低暴露风险。建议用户立即升级至 vLLM v0.8.5 版本。
**参考来源:**
**Critical CVSS 9.8 RCE Flaw in vLLM Exposes AI Hosts to Remote Attacks**
https://securityonline.info/critical-cvss-9-8-rce-flaw-in-vllm-exposes-ai-hosts-to-remote-attacks/
###
###
###
### 推荐阅读
[](https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651320917&idx=3&sn=7dc05cb9d3ab151bf6da222ec282fb34&scene=21#wechat_redirect)
### 电台讨论
****
![图片](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR3icF8RMnJbsqatMibR6OicVrUDaz0fyxNtBDpPlLfibJZILzHQcwaKkb4ia57xAShIJfQ54HjOG1oPXBew/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "")

633
doc/2025-05/【渗透实战系列】54-小程序渗透记录 通过细节挖掘漏洞的艺术.md Normal file
View File

@ -0,0 +1,633 @@
# 【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术
一天要喝八杯水 Hacking黑白红 2025-05-21 08:29
```
原文于https://forum.butian.net/share/4229
原文作者:一天要喝八杯水
奇怪安信攻防社区
如侵权请联系删除。
```
目录:
```
一、低价享受高价
二、0元购思路
三、输出点思考
四、全站收货地址泄露
  简单的0元
五、%模糊查询配合size 信息泄露
六、论坛渗透
七、帖子置顶0元购
八、文件上传泄露阿里云sts
九、越权让任意跑腿者主动接单
总结
```
近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!
免责声明:本文仅用于网络安全相关知识分享,请严格遵守网络安全相关法律法规。 未经授权利用本文相关技术从事违法活动的,一切后果由违法人自行承担!作者不承担任何法律责任
### 低价享受高价
锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4LY9WXZdSPv3YCGnpVGEhjYia3AZUt5Z2mVFHDPaVa0IQib2e4z6u9KVw/640?wx_fmt=png&from=appmsg "")
选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/createOrder 创建订单观察到并没有sign
校验字段,存在问题可能性较大。遂将这个接口发送到重发器进行修改测试
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4LRrcsolMZcRE1ng9PSxToCOkgHianqY7u1CXhpBsK9OiauA3drC5CR5A/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4fSgylz5msFSULkMnsoFxQTBsltegeHSk9adAWpqJEgfReI2XCicmJuQ/640?wx_fmt=png&from=appmsg "")
测试支付漏洞我喜欢搜索数据包price
价格 每个字段都改变为最小的数字,再逐一发包创建新订单 但并未起效,订单也还是正常票价, 说明决定订单总价的字段并不是price
 而是订单其他参数,目的地、票价类型、乘客类型都有可能,;而后开始对每个存在字段的数字增增改改 观察到底是哪个字段可以影响订单的生成
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4lX5A3d0xUXZIuzcoRpsGHsUk6dico2tTEdKjpxaE2rS7OwUY7pyMeVQ/640?wx_fmt=png&from=appmsg "")
修改到passengerType
字段为2响应包显示 价格不匹配 ,根据字段意思推测这里决定用户的类型身份,正常情况的1为成人,2则是其他的类型得到响应包线索后,现在我需要知道其他passenger Type
类型对应分别是哪些用户,业务提示很明显了,成人类型为1 那么ticketPrice
票价为100
业务推敲一下也就是对应下列
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4Ktx3PeicEGjDDWOjRKBP7FpVSTzGkNGxgcdsD9rtXy19iazuO4kXy16Q/640?wx_fmt=png&from=appmsg "")
经过测试passengerType
字段和ticketPrice
价格字段挂购,二者需要一起修改,单独修改为固定的价格则会响应价格不匹配, 两个字段需要一起满足才能达到对应身份的票价
```
ticketPrice=票价  passengerType=成人类型成人:  passengerType=1 && ticketPrice=100儿童:  passengerType=2 && ticketPrice=50长者:  passengerType=3 && ticketPrice=50
```
那么改两个字段为其他儿童类型所对应的价格,成功以成人身份证生成低价学生票订单,并且身份证还是原本成人
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4kBsFIycx4WsCJ1sJKCYmPZC8Y0kZL6UdibkVIXcpEwjSm9G3KicWjM0Q/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4GJq1zVgtcfYXGy1PyuOXtOs8MlTObrr9XQ2FPnVRicZqlZrhoDQWHDQ/640?wx_fmt=png&from=appmsg "")
这个时候我想再提高一下危害, 既然订单的价格是由用户类型所关联的价格决定了,我是否可以自主的再次修改增值的业务参数呢?享受到最高的优惠, 船票分为上等中等, 利用普通订单价格享受高等舱位服务,通过对比普通舱订单和头等舱位订单定位到seatId
字段决定了舱位等级
```
"seatId":1  # 普通舱"seatId":0  # 头等舱
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4wU0ic2eeYx5hYRSic1efWO6FUd6UzUiav4QLHvrNp5kgkd5A2uttgWp7g/640?wx_fmt=png&from=appmsg "")
在中等舱数据包中,当我把三个字段都修改好后,订单虽然可以创建成功,但是舱位的类型还是中等舱,价格反而变成了头等舱的价格, 思考一下,既然在中等舱无法直接修改成高等舱,那我生成高等舱的订单,把它的用户类型、票价、舱位3个字段为最低的层面尝试绕过
```
"seatId":0// 头等舱  passengerType=2// 儿童类型ticketPrice=50// 儿童票价
```
当这样修改后就可以成功创建高等舱位的低价订单,后端只是校验了 决定价格字段和类型字段间是否是一一对应,对当前舱位字段没有限制, 可以单独的去修改seatId
字段控制舱位价格
```
"seatId":1// 中等舱passengerType=2// 儿童类型ticketPrice=50// 儿童票价
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia42CCpribmib1xDow3ARH17ibqiae07uZkyNLRAORufO0odyR8dqAs0FKA5g/640?wx_fmt=png&from=appmsg "")
成功生成正常可以支付的订单
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia48iciaUl2mzRVlyyncLibyuibibzUG2mHnlyzwyuqCZlBHLMPln8icWahYOuQ/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4EnlfDibgRPkDx45qHflXHoKYJC8kia0ibiajWSicsp4qdNw4AO5y7ypLzSw/640?wx_fmt=jpeg&from=appmsg "")
### 0元购思路
同样还是这个业务站点,有的船票是存在携童免费措施的,有的没有,那么将我的身份伪造为更低的是不是就可以0元上船呢
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4VYFL31HWVDXAOTukM5ibKtGoOSXWlsdW79B75Z4CaLIlXW3vh4l82Rw/640?wx_fmt=png&from=appmsg "")
但是这里不能直接通过上面的手法修改类型、价格, 测试发现决定是否免费的关键是身份证的处理,身份证需要是儿童的出生年月,但是添加乘客接口是身份证大多是实名认证,我不清楚验证的原理是什么,按道理前端了身份证号对应的身份证,说明是后端查询到了, 但是我在BP里面拦截这个数据包又可以修改,说明并没有走后端,那么一开始的前端验证是什么逻辑呢,有懂的师傅可以解释一下,难道身份证认证的接口放到前端查询吗,可能是调用了身份证的接口
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4u5UE3WI6y9IEXibv2q3nj3ZpMeEr2kPHa3Yd8FHzJEjXJNAVscAoXwg/640?wx_fmt=png&from=appmsg "")
首先添加正常的乘客信息绕过验证,找到添加的数据包 修改身份证和日期为儿童的,往大了写就可以,这一步如果身份证有婴儿身份证的话可以不用,或者自己有牛逼的sgk
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4dxVhdUQ4icx2ON8x7GG35MdTNWWVj82BibmV32Y4S1Tje1PZbu1eyf4g/640?wx_fmt=png&from=appmsg "")
那么现在已经有了儿童的身份了,但是还需要在下单的时候把身份证修改回来,不然买的票身份证不是自己的买了也没用,找到一处可以携童免费的船票,选择上面添加的携带乘客信息,选择免费的票
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4iajR0eX4D87UZRpCu6gELpEtpNqGy7KAqFDIsfyjvIGr0RibV6TAjRCA/640?wx_fmt=png&from=appmsg "")
儿童免费票不能独立购买需要携带一名成人,正常添加一名成人乘客,然后正常下单记录接口
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4O9shicAOjwGvtsnzzHvKKk4Wvb6AgiaJD4UfgtBb8vyMpuS8Wj0jHfiaw/640?wx_fmt=png&from=appmsg "")
抓取到创建订单接口发送重发器,上方为添加的成人,下面则是免费的儿童身份儿童身份证,出生年月为自己修改的2022年身份证
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4eZDkEKso0iaoy4q7VibLqQ394hSjw0KZVmVHvTff3KeuYPDJlW8x5LLg/640?wx_fmt=png&from=appmsg "")
朴实无华的将出生年月及其身份证号修改为自己本人的身份发包,成功创建订单
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia44hjnzPpw4LFEAhc7vpxQksZdUiaRjBvTTeRPkv5tENGpdmnicIibLmGjA/640?wx_fmt=png&from=appmsg "")
一份钱买两个成人的票 0元上船,但是无奈这个点后续虽然可以支付订单 但是会自动退票,或者会有人工客服打电话来,审核回应SRC
排查过这个点
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4HhOZQPYVxQHNEO1OzAkicyysA3anvhf4yIScKznYLeoeibGFvu8bIMCg/640?wx_fmt=png&from=appmsg "")
### 输出点思考
生成订单后出现的订单号,查询订单的接口会回显当前订单的乘客信息三要素,经过大小号替换订单号测试,是可以越权查询到他人的订单信息要素的,但是此订单号无法遍历,在网站其他功能点都没有找到可以出现订单号的地方,评论区 投诉 都没有
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia48TUkRzqKXicTrHEcpqIPoDcDI0rZ85E1QvCmh8GIwLs0YqezAwCZhHw/640?wx_fmt=png&from=appmsg "")
虽然无法利用,但是这个接口引发了另一种思考,订单号查询正常只返回订单对应乘客信息,但是这里却返回了用户的凭证字段
```
"openId" :  "xxxxx","unionId" : "xxxxx"
```
这两个字段都是鉴权字段,有了此字段的就可以跟替换Cookie一样替换别人的身份其他人的操作此小程序所有增删改查功能点,当前虽然开着Hae但并没有相关的规则字段正则所以匹配不到,真的是细心才能发现,如果这个订单接口可以继续利用遍历的话,再结合返回的这两个字段,整个小程序用户信息全部会被接管,所有乘客三要素包括小程序所有功能点
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4g7GTNDArefECmOCS0p0lxNatDAc20zQF14qKgWgsqX4BeT8PS7MYuQ/640?wx_fmt=png&from=appmsg "")
**总结**
虽然这个订单接口无法遍历继续的去利用,但却有了新的思考,不经意的响应包可能会带出其他的信息,发在攻防社区另一篇文章,
https://forum.butian.net/share/4163
介绍了这个情况,借鉴了L@2uR1te师傅的文章《如何寻找参数的蛛丝马迹》
[https://mp.weixin.qq.com/s/kSxl_VM2dQbkBQEE_DQrPQ](https://mp.weixin.qq.com/s?__biz=MzkzNTUwNTg2Ng==&mid=2247483882&idx=1&sn=7bec8923088f61f371bcd425f3067956&scene=21#wechat_redirect)
讲的很清楚,输出的参数拿到输入点去使用会有不一样的惊喜,只要一个点可以越权查看到别人的某些东西,把他人信息的铭感的参数收集下来替换到其他输出点使用,尝试是否能看到对应的信息,鉴权字段往往不是每一个功能都固定的,它可以接收某些其他参数发送请求, 在我看到输出订单号可以返回铭感信息后,第一时间就是找其他输出其他用户信息的功能,评论区 投诉这些,和这个思路是相同的
### 全站收货地址泄露
日常逛资产,挑选到功能点相对多的小程序,业务是购买商品,有很多的支付漏洞包括逻辑漏洞可以测试
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4nPMZZ2mNxHvDsxI1QAs2vF8lSU3dYMUTN69VDXB65h5aYHndiaKbicAA/640?wx_fmt=png&from=appmsg "")
测试到地址管理功能点下列是查看我自己的地址list
 出现了地址的id号 13313 13314
 不等,小程序功能点大多使用JWT
鉴权,对JWT
尝试了常见攻击手段均无法绕过,
```
/buyer/address/list/
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4qkt1ib7vR1p1aNON58UzACUvOt1Au9icWTOKricxFJqfiasulBj9CBMlww/640?wx_fmt=png&from=appmsg "")
测试小程序购买商品功能 正常选择收货地址,然后正常下单记录数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4iaItdrhDqyaFSsptnBxLXbTVvLba3icKT6bfhRHs0KWKzyeJ6tlDWib5g/640?wx_fmt=png&from=appmsg "")
buyer/product/retail/submitOrderPa接口记录的参数是商品的价格还有斤数,都是明文的信息 直接一手0元购测试没有效果都和后端做了校验
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4wxI4oGkyxTUW9fsW58hHwocremPQiat7ZrXMandzeQgFeuDiaCkicZFicQ/640?wx_fmt=png&from=appmsg "")
但是注意看这里的addrId
不就是对应了收货地址的id
嘛,都是可以遍历的收货id
 将它修改为其他地址的id
 那么再生成订单是不是可以成功看到别人的地址呢,修改为12000
,然后生成订单回到小程序看订单收货地址
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4gLtibqpbRaMBuVD0tgFZl9kQNjzS1Jdd7Bdx52OqCtspiaYqHp3qVwRA/640?wx_fmt=png&from=appmsg "")
成功的拿到他人收货地址包括手机号
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia41ZgFjXyeIorff2KbtZuMWiaLo9ZFlxeo8oJp3JO9eiboTlNicrcTcpWVw/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4D3wwsoC1KElVaXhL4Ft8pzYCYWl2H44rZq2bAgm8Nl2DHia5FSQdrOQ/640?wx_fmt=png&from=appmsg "")
手机号是脱敏的手机号,提上去肯定是危害没那么大的, 不过一般都是前端脱敏的,可以强开F12看看源代码因为在这个站测的比较久业务点也明白,利用一个查询订单号的接口就可以得到脱敏的信息,得到了别人的信息就可以利用其他的功能点扩展,这也是上文我也说的思路
通过这两个创建订单接口和查询订单接口拿下全站收货地址包括二要素信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4BOAK52e8n6Lra4TtGeV08ickQKdmeDgN0RKR07NqBDxFKzezuUD8UWA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4ZYb4icG1DI24D4zWDrWzjNic9GGvvq328iazibicJjK4ApKcmbCFJgL9sdg/640?wx_fmt=png&from=appmsg "")
### 简单的0元
经典日常补天找项目打猎(捡垃圾),公司名直接微小程序,名称对大多不会搜错(这里翻车),功能点文创商品可以购买
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4CskQxzEF5QBdAubt6CaXsIVDyRB0Ovq2M9icm6e87AUP6T0pa0OxqsA/640?wx_fmt=png&from=appmsg "")
选择一个最贵的商品选择下单支付 停留在待支付页面打开我们的BP
捕获后面的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4OH8GibKhDqUkkFg1SsiacgP2fiasIsfLXouvbjHtib09N5OFq8kTy1h8HQ/640?wx_fmt=png&from=appmsg "")
在支付界面打开BP
拦截,拦截每一步请求找到决定价格的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4wGyuJWbIySYZZ7WT8mSoAgZxq5eCjWVwydmYTzNahPT3p783k3zicUw/640?wx_fmt=png&from=appmsg "")
看到totalFee
 费用 直接修改totalFee
字段总费用为10
 也就是1分钱,放掉所有包直到出现扫码二维码
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4QSebcWmuPhU5Rf85ZrQvO4lpNdfwvtbich5g2OEUUJh7NiazdKoS28uA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4rerpwfKRmEPGg4k6esYosLygHaFRjuG1DwWEMIia30aoicF8cMnkicpZw/640?wx_fmt=png&from=appmsg "")
扫码支付成功0元
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4WFYFLkqxcgE8SJzm06ZicWpAno0JiaSjRiaUCgUFXqs1S5MnerGqcrXBA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4MSOJPwujCbIicp5DPrHJRMrIbpswtEJ61LPqpliaicgxOjPvgibHbT4wGg/640?wx_fmt=png&from=appmsg "")
难掩激活火速通知好基友 今晚摆两桌,这种改价格的洞被我捡到了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia46L4PrcaoQ27THzFRgvSIskiaBQmK4xFHiag2d9XzfwP8AHR8ZzDmtLuw/640?wx_fmt=png&from=appmsg "")
老实了 厂商限定了测试的域名当时没注意看,因为很多域名想着应该不会歪, 结果去资产列表CTRL+F
完全对不上host
,反应了前期信息收集的重要性,撤回摆两桌 只能恰两个馒头了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4QhiaSjLSllzgQWViabg6bLBlDJicxFRThha4PkQNAhLibv7qVXpv3PTwLQ/640?wx_fmt=png&from=appmsg "")
### %模糊查询配合size 信息泄露
经典小程序开局注册并登录.打开BP记录所有功能点数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4Ob6GgnibVBsVRTr4OCL2gJSM9QNAvt7hYAicL7KYWWJKS2ujLQYDdulw/640?wx_fmt=png&from=appmsg "")
输入一个符号*模糊查询 匹配到所有公司 BURP抓到了记录铭感信息的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4L52R3N4f0XibJJhwBy3TSceEmLAoEx3f1ianYyzRJIoh5FL9Llp9xS8Q/640?wx_fmt=png&from=appmsg "")
把这个包发送到发器 数据很少 只有十几条数据
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4EPRSOuRfP7iaSTIgut15cCACZZ3BHEzSTLY9ibpRJelBiaeCkHrS3g7Cw/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4wV2giaicRiae0az9JFibG9xib5juXvnsgO6WHDlzSsfQgEpZbQm8EMJGo9g/640?wx_fmt=png&from=appmsg "")
修改这个请求的size字段=9999 让显示的公司字节数据变多,使其显示更多的铭感信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia47b0EezwB0Gl0dwJWQQNGWshhxpx0ziadfgiczWFWupJiasv9ytT1yODLw/640?wx_fmt=png&from=appmsg "")
拿下推荐岗位功能所有公司联系人的二要素信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4owUqib8TtJBB9Dib8f0Y1y8qb9WX5qGtibTsndADUxcepAaYbdtMbcS4w/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia49JtQTEAOXHHjictr6TsYjmfaczxI9z5GZgAl87IIfI8f8NEiaGP74WLQ/640?wx_fmt=png&from=appmsg "")
其他功能点均存在此问题,大部分都是页面只能看到企业联系人姓名,打电话联系也是虚拟号码,但是在响应体中确会显示所有的手机号码和姓名,小程序业务也是求职里面包含大量的公司企业,通过响应包缺陷+模糊查询*+size字节+Hae神器匹配整站企业联系人二要素全部泄露,并未全部列出但目测2w+条
培训模块
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4iavO0RwB6K7pZ96Iws2UEibmqh08k59sX3TecU2U2tiaDsjs2no40Q8ew/640?wx_fmt=png&from=appmsg "")
大龄工作
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4icfrorQo4ANUtvWJx1yJWXXrxSkos9w38HtdGx9E5vBxZmN6AZHTTCg/640?wx_fmt=png&from=appmsg "")
社会招聘
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4c7ia7CzT7ibZffMTHP2oIBcrPVUIdZIPmE5d3Pta7Rib75901XEGc5GlQ/640?wx_fmt=png&from=appmsg "")
见习岗位
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4TbJTdIr8BWx67y2IUibWKmU0aOcbA2ocCibicXcytacia8s8ZjaLmia2eCA/640?wx_fmt=png&from=appmsg "")
..........
### 论坛渗透
经授权对一个社区论坛测试,不得不说 除了SRC外 互联网站点大多比较脆弱,如果有技术并且又不老实的 犯罪成本太低了,网络安全任重而道远,基本全是简单的鉴权问题,有的是压根没鉴权,有的鉴权字段写了但是并没有生效,简单记录几个有代表性的问题
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4hq2aVI7PfWEOADhXseBnYHsBmqS5tDFfuo5ibYCLmNVRdMrYoyDxvrw/640?wx_fmt=png&from=appmsg "")
#### 帖子置顶0元购
BURP渗透抓包工具抓取小程序的数据包 在主页点击发帖功能 ,下面有一个功能是花钱对帖子置顶
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4I6LbkYeMeQw2CnxA0bggfGzQ4BobRtZNGkf9fFWEXZmDmeJkSGdEEw/640?wx_fmt=png&from=appmsg "")
随意输入帖子的文案 然后点击发布后置顶[/api/client/topics/pay_configs] 接口显示出了对应的价格字段还有所持续的时间
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4cIDLv96lypbYc3jEIepWe8rHafwDia0CZdp25ydI9icgicYJKGjVdF49w/640?wx_fmt=png&from=appmsg "")
正常走发布帖子的流程,记录所有接口 这个接口数据包回显了对应的价格字段 并且没有对应的sing或者加密一类的东西和后端做校验,等于是前端校验价格还有置顶的时间,然后后端就返回了生成订单,那么我们篡改价格并且拉成时间就造成了漏洞问题了 /api/client/topic_top_orders
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4M8xLBHl6meC0p48G2mJXbytXee9LaFkWXmHnDmu0xLwAX4YyhN1icpg/640?wx_fmt=png&from=appmsg "")
修改对应的价格还有时间 会生成新的订单号,完全前端校验
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4j6IibKcNhrAdmAWl0ibSd6gzMRRYDnQVw3DIa24ze35rYKfXUkIRY8eA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia43CPQ8l7fF6ATBjsiaBvA97qeUqxrDZmetwspBWnzHFQLXuyGMLzIPLQ/640?wx_fmt=png&from=appmsg "")
发布帖子置顶付款的业务流程是这样的三个接口
```
/api/client/topics  帖子内容文字和标签/api/client/topic_top_orders  置顶的价格生成订单号 这里进行篡改payment/wechat/preorder/topictop/tp2025021408581339  请求后端付款
```
第三步接口利用第二步生成的订单号去跟后端请求,后端反馈加密还有付款的信息,但是这里加密完全没有作用,哪怕是一个空订单后端都会返回支付参数,加密完全是摆设,订单号也没有做比对
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4uCtQticleNnWIdkiaZmNWsHOxVEHialIfWyvfHklyqzgGgJyW766Ac5Zg/640?wx_fmt=png&from=appmsg "")
知晓了业务流程后续就是BP抓取生成订单的数据包 api/client/topic_top_orders 进行拦截篡改操作 价格改小就可以完成0元购,点击付费 就会拦截数据包修改价格然后一直放行就行了出现付款的选择 选择二维码支付 扫描付款就行了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4DIUX4icuQBZ7DHbqDEXP5iaxsaZZcql7Y90flnI02ZmqJnyxrUGY0yAw/640?wx_fmt=png&from=appmsg "")
#### 文件上传泄露阿里云sts
在每一个上传图片的功能点 头像 帖子 图片 上传会后端会返回阿里云的sts临时凭证 ak sk 还有存储桶的信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4vwl0C2FfsNr3icJ44HIyzH6mZIJQC5JOvULLmbibmqiab8WDkTGWcsPjA/640?wx_fmt=png&from=appmsg "")
有了这些信息最大是危害是利用凭证登录这个阿里云桶从而接管整个小程序里面存储的图片信息,或者是利用脚本来进行覆盖小程序内所有的图片
```
api/common/ali_oss/temp_sign?scenc=1
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4kDOuia15du45bOLKjImVW9YNdBpS1xXaz91eOJkQicoNyyd5TtKr7ibpA/640?wx_fmt=png&from=appmsg "")
#### 越权让任意跑腿者主动接单
小程序存在跑腿赚钱功能,用可以接单的骑手号去接一个没有被接单的订单, 记录接单的请求
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia45d3TQSu0hSOAXBqcia6iaTldEgeZAI41iaUPoe7tpXdzxziahGkT2mbxbw/640?wx_fmt=png&from=appmsg "")
操作这个接口,替换订单号为任意的,跑腿者身份为别人的,可以任意指定谁去接谁的单,经过测试替换别人身份是可行的,订单号以及跑腿者的身份利用其他功能点的输出就可以得到
```
errand_order_no  当前订单是什么errander_id   跑腿者的身份
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4neD1hFgExFc3IJe1ynob6QGyQEQtBd1OYfqcUEHq64j6dAAYRGNMiaA/640?wx_fmt=png&from=appmsg "")
最终也是打包报告并且辅助开发修复,美美结束
![](https://mmbiz.qpic.cn/sz_mmbiz_png/3ZX4O1QxGtNLIJYx23GKib5pJAuePlHia4TjpzpR1EGIRwwrcx1WWz4hn65pMJndEClyOicMyEgoyGwruciaCvQNbw/640?wx_fmt=png&from=appmsg "")
### 总结
很喜欢师傅们口口相传的一句话,"你越安静 你听到的就越多",学习网络安全以来漏洞挖掘从0到1,从无到有,从一点也不会到勉强能测试,一直忽略直到可以时不时挖掘有效漏洞....,其中的历程磕磕绊绊但也饶有趣味,见过许多天才选手,CTF国内外各种赛事前几大学生SRC年入几十,多场HW最佳攻击手安全研究各种最新CVE审计0day漏洞的.......,这些人让我望而却步但又无比渴望,心中只有一个疑问始终是他们为什么可以这么强,很想认识这样的人,很想成为这样的人,时间会诠释所有,学习任何技术知识都是孤独的,唯一慰藉的是做的是自己喜欢的事情以及许许多多志同道合的师傅在共同探讨,每当遇到问题网络上的师傅现实中的朋友都会给予指导,实战中前辈开发的工具插件,分享的安全公开笔记、漏洞挖掘思路都让我受益良多,从始至终都认为安全圈的学习氛围是非常好的,前人会把所学记录下来,后人站在前辈肩膀上又创造新的思路,天下万般绝学唯有恒心 希望我能在有限的时间内好好的提升自己,在未来为安全圈也能做出一些微不足道的贡献。
![图片](https://mmbiz.qpic.cn/sz_mmbiz_jpg/rf8EhNshONSgp1TKd5oeaGb76g5eMFibnANHNp30ic7NtpVnU12TNkBynw2ju7RDHbYtVZibm5rjDh7VKbAEyO8ZQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&retryload=1&tp=webp "")
**网络靶场思维导图**
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/rf8EhNshONSxos09ofR8rMosX8OyFTib6sCaMFtHB8ZqfGiaKKgfgEXCRJj6HYxLLABMHb2xELR2Uib4CUPIZlLTw/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
```
```
【Hacking藏经阁】知识星球致力于分享**技术**
和**认知**
**1、技术方面。**
主攻渗透测试web和内网、CTF比赛、逆向、护网行动等
400G渗透教学视频、80多本安全类电子书、50个渗透靶场资料主要来自本人总结、以及学习过程中购买的课程
**2、认知方面。**
副业经营、人设IP打造具体点公众号运营、抖*yin等自媒体运营目前主要在运营两个平台4个号
如果你也想像我一样不想35岁以后被动的去面试那么加入星球我们一起成长。
欢迎加入99米/年,平均每天
2毛7分
钱,学习网络安全一整年。
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/rf8EhNshONShDSbaaStARPj9t8BRl2VXu6r8XjAfoyWVLNtuibD8Dk6Wb0icpNFoUt3EKa27qXXpk5mJPkrkbXAw/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&retryload=1&tp=webp "")
渗透实战系列
[](https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247525667&idx=1&sn=5f79f7dedb2b96197cedf34b90136e0a&chksm=ce64cfbaf91346ac008d096dfc97eecf8cec0fa2e7d2f9f11783bc889fa99f4dc07ec581e323&token=1146059525&lang=zh_CN&scene=21#wechat_redirect)
[【渗透实战系列】|53-记一次3万多赏金的XSS漏洞挖掘经历](https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247544816&idx=1&sn=c0939d84fa90e622b43783f1d9b403a6&scene=21#wechat_redirect)
# ▶【渗透实战系列】|52-记一次"91"站点渗透
# ▶【渗透实战系列】51|- 一次BC站点的GetShell过程
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247521495&idx=1&sn=caac7e98e96267c6e24e740f1bcefd79&chksm=ce643e4ef913b7586a9525fe0ed4fa5e5b3114bc2d0fbc2b278387e860b1e55ca4c656adf70b&scene=21#wechat_redirect)
[【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247521495&idx=1&sn=caac7e98e96267c6e24e740f1bcefd79&chksm=ce643e4ef913b7586a9525fe0ed4fa5e5b3114bc2d0fbc2b278387e860b1e55ca4c656adf70b&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247521254&idx=1&sn=608c7a604f2eb334aad40dd95c809950&chksm=ce64397ff913b069b5797aadd2933a14e79cb697a62924f0e5c0504a598d9926981f67702252&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[【渗透实战系列】|48-一次内网渗透](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247519585&idx=1&sn=8e735123122be046abb6913394dd1ced&chksm=ce6427f8f913aeee76227bebd93b269fb060788b78251b46380329146e015b43526f919b7fb6&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247516996&idx=1&sn=8dcfdef2ead8421b959a76786ef16f46&chksm=ce6429ddf913a0cb7cb0f2b5a86adb47c4fd57e66891e72bf6d7fdd3e0e9783597707420df99&scene=21#wechat_redirect)
[渗透实战系列】|47-记一次对某鱼骗子卖家的溯源](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247516996&idx=1&sn=8dcfdef2ead8421b959a76786ef16f46&chksm=ce6429ddf913a0cb7cb0f2b5a86adb47c4fd57e66891e72bf6d7fdd3e0e9783597707420df99&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[【渗透实战系列】|46-渗透测试从Web到内网](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247514122&idx=1&sn=43f49b48546886e346132edd28f0fffc&chksm=ce641293f9139b85847fd204bd522c0b3b9326136e355646c0916cd3f6d9fc3bc99aff0438ae&scene=21#wechat_redirect)
[【渗透实战系列】|45-记一次渗透实战-代码审计到getshell](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247513971&idx=1&sn=44217ebfc753e30f582f2da6fccb5fb3&chksm=ce641deaf91394fc238288ccdc3e21c6ff68e0b47c6516c41c66540af284e0469d263f7270dc&scene=21#wechat_redirect)
[【渗透实战系列】|44-记一次授权渗透实战过程曲折Java getshell](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247513739&idx=1&sn=25095394da2aa3621f3c30227139514c&chksm=ce641c12f91395042bda813b5e7ac491c81daa97d51b8988b3d1bc192b52976135b99de45a6e&scene=21#wechat_redirect)
[【渗透实战系列】|43-某次通用型漏洞挖掘思路分享](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247512229&idx=1&sn=de5f7a7fe64b77b8843a48049a7775a8&chksm=ce641a3cf913932a21032b326c654300d5b7a5eff960c6a2e27398e35456aa05833bb5439a90&scene=21#wechat_redirect)
[【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247510964&idx=1&sn=4b857ff3d26e56b291d18493232d0638&chksm=ce64012df913883b73fcf343810440eb9c19f523880337af0c9b622e61d67fcddce8f0a272f6&scene=21#wechat_redirect)
[【渗透实战系列】|41-记一次色*情app渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247509187&idx=1&sn=34722c6498eb7bbe372f2201bf908c1b&chksm=ce640e5af913874c23a060281b6d0d30a8cab97beeb4e1a03be251a4e08da9041a0720dcec0c&scene=21#wechat_redirect)
[【渗透实战系列】|40-APP渗透测试步骤环境、代理、抓包挖洞](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247507650&idx=2&sn=76005600d8c42ecb604536089fc4444e&chksm=ce64745bf913fd4d49a2055f9b1184967eaff3b6be6a07ea92022665331df84dbec2ed142833&scene=21#wechat_redirect)
[▶【渗透实战系列】|39-BC渗透的常见切入点总结](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247506967&idx=1&sn=571938dac191539a98b76c02203a8394&chksm=ce64768ef913ff980ea03760984c375b5103a649595b4794a8cc31514cec5669543241296bef&scene=21#wechat_redirect)
[【渗透实战系列】|38-对某色情直播渗透](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247506696&idx=1&sn=f6217101c0940b1e74c1d8715c1f3f0e&chksm=ce647191f913f887951f379c0aa305f818764b78f81edcd0a5517fe946c2bebacab7add3af70&scene=21#wechat_redirect)
[【渗透实战系列】|37-6年级小学生把学校的网站给搞了](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247506002&idx=1&sn=f6ba883a729ec9238ddac2354e3b0227&chksm=ce6472cbf913fbdd4dd1810297e06414fd1b1f5aaed37a662453a3a63202fad356f502652bfb&scene=21#wechat_redirect)
[【渗透实战系列】|36-一次bc推广渗透实战](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247502971&idx=1&sn=9f0793a2dd495d31d4c7f3888f408d93&chksm=ce6466e2f913eff421f3808538ee1e227c4797051a71509caa8d216e6ed6b56f51c3948e87f1&scene=21#wechat_redirect)
[【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247502760&idx=2&sn=32c3aac95cc15c84c42b071425d19f91&chksm=ce646131f913e8279797a39aa8f513d7907d0e7c06ed0e4352b7603cb2d014a4a17eeac548ce&scene=21#wechat_redirect)
[【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247502166&idx=1&sn=3fe78999b5b43a059e66975dd185b3cc&chksm=ce6463cff913ead9c3a448d7466b7c38ed593a709918265283387ad4bb787292bdd2979e7d64&scene=21#wechat_redirect)
[【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247501582&idx=1&sn=6c1f7e2d823e1534dfcd419bbd6269eb&chksm=ce646d97f913e481224810cb34eac51cfcbf4c898bf1a2c309295d24d06231f9984c743ae8d4&scene=21#wechat_redirect)
[【渗透实战系列】|32-FOFA寻找漏洞绕过杀软拿下目标站](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247500037&idx=1&sn=d59534ffc13b5dcbc64e93997ab3b485&chksm=ce646b9cf913e28a1c35e0f9919d48089bbb2e6b74ddb51ba27928c5cca0b361c4c80b0d03ea&scene=21#wechat_redirect)
[【渗透实战系列】|31-记一次对学校的渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247497185&idx=1&sn=10025ea64a53bd4cce9ac791f3dd5e20&chksm=ce645f78f913d66e4c3851afdb2a25a655f2d80a817cf417b8f3be0d498135eff98a16c9cf86&scene=21#wechat_redirect)
[【渗透实战系列】|30-从SQL注入渗透内网渗透的本质就是信息搜集](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247492600&idx=1&sn=96ffe18e7d13485dce4fce75863a3a3e&chksm=ce644961f913c077544775c87a3f6f5aa32c43424756a09806e715075e3f0479e1451b6ed114&scene=21#wechat_redirect)
[【渗透实战系列】|29-实战|对某勒索APP的Getshell](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247491951&idx=1&sn=38abc3e92e234e6cf9734c4f73537561&chksm=ce644bf6f913c2e0dea91966fc01a004ce9cff0e596ddfc5b64d5e9f44ab5f2649bb4b5060a3&scene=21#wechat_redirect)
[【渗透实战系列】|28-我是如何拿下BC站的服务器](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247491584&idx=1&sn=d7be0c7c6b7bce795fbf15d3ad781329&chksm=ce644a99f913c38f205db6560c11b32ad240c4e45795aa670b9edbd05f48c54069e04dbde329&scene=21#wechat_redirect)
[【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试成功获取管理员真实IP](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247491135&idx=1&sn=1fc02f90c8f4fc93a70600da5e6b74bd&chksm=ce67b4a6f9103db0b0dbe9aebb44b910bc5b9bcebebb53f2d71216de2772f434730f825d0aae&scene=21#wechat_redirect)
[【渗透实战系列】|26一记某cms审计过程(步骤详细)](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247490747&idx=1&sn=70a1e5cf68fd3c4f03737be331f93fd3&chksm=ce67b622f9103f34c2a4f150c2ea47aea01fc5ec3da10e45b36bc817ff54ffc0b013126f5f56&scene=21#wechat_redirect)
[【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247490236&idx=2&sn=2eddaa77b0e7910c67285a855efb1a05&chksm=ce67b025f9103933121b6df068aed6fd99feaac7a04183e0a773086633a7bd7f85339c5bd82e&scene=21#wechat_redirect)
[【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247488259&idx=2&sn=273a82e72fb6444bb146341005d1c08f&chksm=ce67b99af910308cc49e786e2da5fead40de6f0fb5eaf0a0204452603b3366c2bb5a78bb3410&scene=21#wechat_redirect)
[【渗透实战系列】|23-某菠菜网站渗透实战](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247487961&idx=2&sn=2f514d32e56179711d31a63954994cad&chksm=ce67bb40f9103256d21e10cfc1bcc5c2e8833303aa8fc48b750e3d90269100f91d6bbb05d5e3&scene=21#wechat_redirect)
[【渗透实战系列】|22-渗透系列之打击彩票站](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247487003&idx=1&sn=5c85b34ce6ffb400fdf858737e34df3d&chksm=ce67a482f9102d9405e838f34479dc8d1c6b793d3b6d4f40d9b3cec9cc87f14555d865cb3ddc&scene=21#wechat_redirect)
[【渗透实战系列】|21一次理财杀猪盘渗透测试案例](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486970&idx=1&sn=c03c523e8962b6a6487328d7581163fa&chksm=ce67a763f9102e751021376f0dd566b50094925852d5aefb7196c96456e16886ecc4e695860e&scene=21#wechat_redirect)
[【渗透实战系列】|20-渗透直播网站](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486897&idx=1&sn=4489b16f5ec0f25f7390d635e89d414e&chksm=ce67a728f9102e3e2469c23c3b4004dfd76d68f8f1f03b3d2ef948480a1d422ad16b67a8a7f6&scene=21#wechat_redirect)
[【渗透实战系列】|19-杀猪盘渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486570&idx=1&sn=0c20fbbf4adbeb5b555164438b3197f7&chksm=ce67a6f3f9102fe51b76482cd7d6bb644631ae469d8c1802956034077137ecd49ea56c8d2b1f&scene=21#wechat_redirect)
[【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486527&idx=1&sn=c1d4f51269e16d5dfdf110c91a8f19e4&chksm=ce67a6a6f9102fb07ad71789894824f553bd1207a3637da8a79b42868a9a9db900fb6d8aa358&scene=21#wechat_redirect)
[【渗透实战系列】|17-巧用fofa对目标网站进行getshell](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486499&idx=1&sn=7b8c8acc40e1281f1e388f799e7d2229&chksm=ce67a6baf9102facdd7d574719c51e33521308d9b76f53e5462c59674c9d38f18f213e8b1920&scene=21#wechat_redirect)
[【渗透实战系列】|16-裸聊APP渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486466&idx=1&sn=121b62ef2740e8474119c3914d363e4c&chksm=ce67a69bf9102f8deac87602cbb4504f9a59336fb0113f728164c65048d0962f92dd2dd66113&scene=21#wechat_redirect)
[【渗透实战系列】|15-博彩网站APP渗透的常见切入点](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486411&idx=1&sn=e5227a9f252f797bf170353d18222d6a&chksm=ce67a152f9102844551cf537356b85a6920abb084d5c6a26f7f8aea6870f51208782ac246ee2&scene=21#wechat_redirect)
[【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486388&idx=1&sn=cfc74ce3900b5ae89478bab819ede626&chksm=ce67a12df910283b8bc136f46ebd1d8ea59fcce80bce216bdf075481578c479fefa58973d7cb&scene=21#wechat_redirect)
[【渗透实战系列】|13-waf绕过拿下赌博网站](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486335&idx=1&sn=4cb172171dafd261c287f5bb90c35249&chksm=ce67a1e6f91028f08de759e1f8df8721f6c5a1e84d8c5f0948187c0c5b749fa2acdd4228b8e7&scene=21#wechat_redirect)
[【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486245&idx=1&sn=ebfcf540266643c0d618e5cd47396474&chksm=ce67a1bcf91028aa09435781e951926067dcf41532dacf9f6d3b522ca2df1be8a3c8551c1672&scene=21#wechat_redirect)
[【渗透实战系列】|11 - 赌博站人人得而诛之](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486232&idx=1&sn=301810a7ba60add83cdcb99498de8125&chksm=ce67a181f9102897905ffd677dafeb90087d996cd2e7965300094bd29cba8f68d69f675829be&scene=21#wechat_redirect)
[【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖修改价格提交订单](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486060&idx=1&sn=a4b977e9e3bbfe7b2c9ec479942e615c&chksm=ce67a0f5f91029e30c854eb2f71173efe925a38294fd39017708abcf4deea5c2b25dee518ebf&scene=21#wechat_redirect)
[【渗透实战系列】|9-对境外网站开展的一次web渗透测试非常详细适合打战练手](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486042&idx=1&sn=4022c7f001ca99dc6837d51b759d5104&chksm=ce67a0c3f91029d5f1ac9dc24d23cb390630db1cc3f8e76398cf097a50e29e0b98e9afcb600a&scene=21#wechat_redirect)
[【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程详细到无语](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486005&idx=3&sn=55aad92a300e5a6410aa194b521e11b2&chksm=ce67a0acf91029ba5cd51fbe7c5682fd3eab8a257cf1f6bae44fdaa871bbac7edd51440e4cf8&scene=21#wechat_redirect)
[【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485901&idx=1&sn=84b5dac005c838c1b6d22fc4207c81c1&chksm=ce67a354f9102a42260468d305734ed7ea437715ee508f2b3eeb8afa0727b7f4ae652909ff44&scene=21#wechat_redirect)
[【渗透实战系列】|6- BC杀猪盘渗透一条龙](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485861&idx=1&sn=39318b76da490ed2a8746134f685d454&chksm=ce67a33cf9102a2aa3793cafbd701c77f851ca9dac3f827524b5cfe093cbecb14892ee131400&scene=21#wechat_redirect)
[【渗透实战系列】|5-记一次内衣网站渗透测试](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485826&idx=2&sn=8f11b7cc12f6c5dfb5eeeb316f14f460&chksm=ce67a31bf9102a0d704877584dc3c49141a376cc1b35c0659f3ae72baa7e77e6de7e0f916db5&scene=21#wechat_redirect)
▶[【渗透实战系列】|4-看我如何拿下BC站的服务器](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485789&idx=2&sn=a1a3c9fc97eeab0b5e5bd3d311e3fae6&chksm=ce67a3c4f9102ad21ce5c895d364b4d094391d2369edfc3afce63ed0b155f8db1c86fa6924f1&scene=21#wechat_redirect)
▶[【渗透实战系列】|3-一次简单的渗透](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485778&idx=2&sn=997ecdc137f7ae88737e827b29db4e45&chksm=ce67a3cbf9102add52833faf5ad7346affc93589fc8babf72468997c2dbd88c25e8f06d8a7e0&scene=21#wechat_redirect)
▶[【渗透实战系列】|2-记一次后门爆破到提权实战案例](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485647&idx=2&sn=28a227ff21a6a99e323f6e27130a5ad5&chksm=ce67a256f9102b4030db2fc636ff1d454d46178fc2003368305cdc06ae2a4c81dd011dfcb361&scene=21#wechat_redirect)
▶[【渗透实战系列】|1一次对跨境赌博类APP的渗透实战getshell并获得全部数据](http://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247485589&idx=1&sn=f4f64ea923675c425f1de9e4e287fb07&chksm=ce67a20cf9102b1a1a171041745bd7c243156eaee575b444acc62d325e2cd2d9f72b2779cf01&scene=21#wechat_redirect)
![图片](https://mmbiz.qpic.cn/sz_mmbiz_jpg/rf8EhNshONSgp1TKd5oeaGb76g5eMFibnANHNp30ic7NtpVnU12TNkBynw2ju7RDHbYtVZibm5rjDh7VKbAEyO8ZQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&retryload=1&tp=webp "")
    
**长按-识别-关注**
![图片](https://mmbiz.qpic.cn/sz_mmbiz_jpg/rf8EhNshONTgEGpyZx7OiaI1JkST23pJPIIgiaejD1CAyicricZQeBtf4rYlib4NmVKjiah6icBHjWwOu54zq6Wvib0HIg/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&retryload=1&tp=webp "")
**Hacking黑白红**
一个专注信息安全技术的学习平台
![图片](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWiaWs5g9QGias3uHL9Uf0LibiaBDEU5hJAFfap4mBBAnI4BIic2GAuYgDwUzqwIb9wicGiaCyopAyJEKapgA/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&tp=webp "")
点分享
![图片](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWiaWs5g9QGias3uHL9Uf0LibiaBRJ4tRlk9QKMxMAMticVia5ia8bcewCtM3W67zSrFPyjHuSKmeESESE1Ig/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&tp=webp "")
点收藏
![图片](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWiaWs5g9QGias3uHL9Uf0LibiaBnTO2pb7hEqNd7bAykePEibP0Xw7mJTJ7JnFkHuQR9vHE7tNJyHIibodA/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&tp=webp "")
点点赞
![图片](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWiaWs5g9QGias3uHL9Uf0LibiaBhibuWXia5pNqBfUReATI6GO6sYibzMvj8ibQM6rOo2ULshCrbaM0mJYEqw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&tp=webp "")
点在看

186
doc/2025-05/【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269).md Normal file
View File

@ -0,0 +1,186 @@
# 【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞CVE-2024-30269
原创 just4fun 方桥安全漏洞防治中心 2025-05-21 10:02
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxZnU8BpuS53Mww62KSk2UKamgDcLUAQaoWUjbM317yKL2x1NYmCicKxQ/640?wx_fmt=png&from=appmsg "")
# 01 SOP基本信息
- **SOP名称飞致云DataEase未授权访问控制不当漏洞CVE-2024-30269处置标准作业程序SOP**
- **版本:**
1.0
- **发布日期:**
2025-04-09
- **作者just4fun**
- **审核人:**
T小组
- **修订记录:**
- **初始版本:**
创建SOP
# 02 SOP的用途
本SOP旨在指导系统管理员安全、高效地处置飞致云DataEase未授权访问控制不当漏洞CVE-2024-30269确保在规定时间内完成漏洞修复并提交给安全部门验证保障系统安全。
# 03 SOP的目标用户技能要求
- 熟悉飞致云DataEase程序的安装配置和管理
- 了解基本的系统管理和更新操作
- 具备基本的网络安全知识
# 04 漏洞详细信息
- 漏洞名称:
飞致云DataEase未授权访问控制不当漏洞CVE-2024-30269
- CVE编号
CVE-2024-30269
- 漏洞类型:
未授权访问控制不当
- 风险等级:
中危
- CVSS评分
5.3
- 漏洞描述:
DataEase是一个开源数据可视化和分析工具在2.5.0版本之前存在数据库配置信息暴露漏洞。访问/de2api/engine/getEngine;.js通过浏览器的路径显示返回了平台的数据库配置该漏洞已在v2.5.0中修复。
- 影响范围:
DataEase < 2.5.0
**05**
**漏洞处置方案**
升级至当前最新安全稳定版本
DataEase 2.10.6
2025年3月发布
# 【注意事项】
- 在应用补丁或升级版本之前,请确保进行充分的备份。
- 遵循官方提供的安装和配置指南进行操作。
- 在生产环境中升级前,最好在测试环境中先进行测试。
- 修复漏洞前进行充分测试,以确保系统稳定性和安全性。
- 不同版本系列尽量升级到本系列版本无漏洞的版本,尽量不要版本跨度太大,避免出现一些不兼容情况。
# 06 漏洞修补详细步骤
## 1. 识别漏洞确认当前版本和配置存在漏洞使用POC辅助验证
以Ubuntu 20.04为例IP地址为192.168.128.144安装的DataEase 版本为2.4.0。
首先检查是否安装了漏洞版本。打开命令行,输入以下命令可显示版本号。
```
dectl version
dectl version
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxGgUzUmGBhOLbmGgklJMRyvM4gWwB5UwHW8eYIxIrDBGaGcdzVjibibLA/640?wx_fmt=png&from=appmsg "")
结果显示当前环境安装版本是2.4.0,为漏洞版本。
接下来使用POC进行辅助漏洞验证使用浏览器访问
http://192.168.128.144:8100/de2api/engine/getEngine;.js
页面返回了配置敏感信息例如username、password等验证漏洞存在。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxggsUbTSWh32Cs8ujVuuhEJJqzggF2p7cptibBbP7Mb8pdlSkAQTJWmA/640?wx_fmt=png&from=appmsg "")
## 2. 实施修复目标是安装DataEase 的 安全版本2.10.6。
首先进行备份数据Shell中执行以下命令。
```
sudo dectl stop  # 停止服务# 打包安装目录,默认 /opt/dataease2.0cd /opt sudo tar -cf dataease2.0.bak.tar dataease2.0/
sudo dectl stop  # 停止服务
# 打包安装目录,默认 /opt/dataease2.0
cd /opt 
sudo tar -cf dataease2.0.bak.tar dataease2.0/
```
**方式1在线升级需要具备互联网。**
打开命令行,切换到老版本安装目录,输入以下命令进行在线升级。
```
sudo dectl upgrade
sudo dectl upgrade
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxkLnRykFblnVSQsaomlWGsAzKLANWcNQcU7Z46ZKu3qgXMEVT8gC59g/640?wx_fmt=png&from=appmsg "")
由于网络原因无法访问github.com的情况下会升级失败选择离线升级的方式。
**方式2离线升级。**
首先卸载旧版本。打开命令行,切换到老版本安装目录,输入以下命令进行卸载。
```
sudo ./uninstall.sh
sudo ./uninstall.sh
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxwTwyWyicZ6T4KSpCwjct99sN6zYLrlaN9BehqbDiaicowqW8dTY55N6tA/640?wx_fmt=png&from=appmsg "")
以社区版为例到官网下载当前最新的版本2.10.6的安装包https://community.fit2cloud.com/#/products/dataease/downloads下载之后的文件为dataease-offline-installer-v2.10.6-ce.tar.gz将其放置到待修复的环境中。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxD4iaFIzyvopO5Fb4fPzRxcTI1lm4E2oWqYtzx4gxWiccUy2PiagqhorBg/640?wx_fmt=png&from=appmsg "")
执行如下命令进行解压缩与安装:
```
tar zxvf dataease-offline-installer-v2.10.6-ce.tar.gz sudo /bin/bash install.sh
tar zxvf dataease-offline-installer-v2.10.6-ce.tar.gz 
sudo /bin/bash install.sh
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxbYJd00S08wBwNYfLEnicu2znluBQoPItWcTNI75lGkE3BmkCS1EhbtQ/640?wx_fmt=png&from=appmsg "")
## 3. 验证修复:查看当前版本是否为安全版本
打开命令行,输入以下命令可显示版本号。
```
dectl version
dectl version
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxVuJtxicbLBmXP47TR7aGicxOnf7SXQibP5wVzT4ztDk9e0mhwFltXz9eA/640?wx_fmt=png&from=appmsg "")
结果显示当前环境安装版本是2.10.6,为安全版本。
接下来使用POC进行辅助漏洞验证使用浏览器访问
http://192.168.128.144:8100/de2api/engine/getEngine;.js
,页面未返回敏感信息,证明漏洞已修复。
![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/2JVOUiaJORTsWY02VaUarHFdnj5spMkNxAOySbIV18VWavheudYZzQt7hDJ8gpSXhzv2NqpxBQN0TC6h0tnRLgw/640?wx_fmt=jpeg "")
## 4.参考链接:
[1] 
https://dataease.io/docs/v2/installation/offline_INSTL_and_UPG/#41
[2] 
https://nvd.nist.gov/vuln/detail/CVE-2024-30269
##
- End -
欢迎投稿或扫码添加运营助手获取附件
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/2JVOUiaJORTs0BYdgedlDZlsLV4xZ0ibUnRljKAMsTq37lxLQCBBuo5pgf5iahvEaL4rAfHY9wR2fyE2M8e9V2k4g/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
欢迎关注公众号

159
doc/2025-05/【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225).md Normal file
View File

@ -0,0 +1,159 @@
# 【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225)
原创 聚焦网络安全情报 安全聚 2025-05-21 12:44
![](https://mmbiz.qpic.cn/sz_mmbiz_gif/Icw1mW4eH3fGjq28SHy79SEcdRGT7ZsCxicdkcJevVicIVGdZBR0dYjze8G3YwUEkcH9WgQ1KhficepoIpSk64Atw/640?wx_fmt=gif&from=appmsg "")
**高**
**危**
**公**
**告**
近日,安全聚实验室监测到 VMware VCenter Server 存在命令执行漏洞 ,编号为:
CVE-2025-41225CVSS:8.8  具有创建或修改警报权限的攻击者通过构造恶意警报并绑定脚本动作,可在 vCenter Server 的管理平面中注入未授权指令,触发远程命令执行。
**01 漏洞描述**
**VULNERABILITY DESC.**
VMware vCenter Server是一款领先的虚拟化管理平台为企业提供了集中管理和自动化虚拟化环境的功能。作为VMware vSphere虚拟化平台的核心组件vCenter Server可以实现对虚拟机、存储、网络和其他虚拟化资源的全面管理和监控。它提供了高级的虚拟机管理功能、灵活的资源调度和性能优化工具同时支持自动化任务和虚拟化环境的安全性管理。该漏洞在于权限校验不充分的情况下允许具有创建或修改警报权限的认证用户通过脚本操作执行任意命令。
**02 影响范围**
**IMPACT SCOPE**
7.0 <= VMware vCenter Server < 7.0U3v
8.0 <= VMware vCenter Server < 8.0U3e
5.x <= VMware Cloud Foundation (vCenter) < 8.0U3e
4.5.x <= VMware Cloud Foundation (vCenter) < 7.0U3v
5.x/4.x/3.x/2.x <= VMware Telco Cloud Platform (vCenter)  < 8.0 U3e
3.x <= VMware Telco Cloud Infrastructure (vCenter) < 8.0 U3e
2.x <= VMware Telco Cloud Infrastructure (vCenter) < 7.0 U3v
**03 安全措施**
**SECURITY MEASURES**
目前厂商已发布可更新版本,建议用户尽快更新至 
VMware 产品的修复版本或更高的版本:
VMware vCenter Server >= 7.0U3v
VMware vCenter Server >= 8.0U3e
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x >= 7.0 U3v
下载链接:
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5826
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5849
**04 参考链接**
**REFERENCE LINK**
1.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717
**05 技术支持**
**TECHNICAL SUPPORT**
长按识别二维码,关注 **"安全聚"**
 公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/Icw1mW4eH3fGjq28SHy79SEcdRGT7ZsCBTiaicF2ia4P7iaZMaM3OPbrLG64Lia2tjS9TrSyn4FOS5D2o1vIfCEf8Cw/640?wx_fmt=jpeg&from=appmsg "")
**联系我们**
微信号SecGat
关注安全聚,获取更多精彩文章。
![](https://mmbiz.qpic.cn/sz_mmbiz_gif/Icw1mW4eH3fGjq28SHy79SEcdRGT7ZsCRtb8nIoYiadnGwptIJHdeGVOEEFuibuXZBhMvw8OmlsMJB7kG0zuazgA/640?wx_fmt=gif&from=appmsg "")
**END**
**HISTORY**
/
**往期推荐**
[【漏洞库支撑单位】成为CNNVD漏洞库支撑单位助力网络安全申请全流程解读专业团队助您高效通过](https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486661&idx=1&sn=bde83cb31639f48a4db14ef0d3d49291&scene=21#wechat_redirect)
[【漏洞预警 | 已复现】Vite 任意文件读取漏洞CVE-2025-31486](https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486667&idx=1&sn=0aa6e0b666110b7eb82210b769e8e216&scene=21#wechat_redirect)
[【漏洞预警 | 已复现】Windows TCP/IP 远程执行代码漏洞CVE-2024-38063](https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486614&idx=1&sn=dc1e21747d876cf3bf58ade5a6b64cab&scene=21#wechat_redirect)
[【漏洞预警 | 已复现】FOGPROJECT 文件名命令注入漏洞CVE-2024-39914](https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486405&idx=1&sn=dfa7ce2bc783c81365d21815a76f39c7&scene=21#wechat_redirect)
[【漏洞预警 | 已复现】Next.js Middleware权限绕过漏洞CVE-2025-29927](https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486651&idx=1&sn=debd2daa82821a0e5c0217ad2d5bfee2&scene=21#wechat_redirect)

91
doc/2025-05/一个高性能的目录扫描工具,专门检测和验证 Web 中的路径遍历漏洞,通过异步并发扫描和智能 WAF 绕过技术,快速发现漏洞.md Normal file
View File

@ -0,0 +1,91 @@
# 一个高性能的目录扫描工具,专门检测和验证 Web 中的路径遍历漏洞,通过异步并发扫描和智能 WAF 绕过技术,快速发现漏洞
kingjly 无影安全实验室 2025-05-21 10:03
免责声明:
本篇文章仅用于技术交流,
请勿利用文章内的相关技术从事非法测试
由于传播、利用本公众号无影安全
实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!
如有侵权烦请告知,我们会立即删除并致歉。谢谢!
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把"**无影安全实验室**
"设为星标,这样更新文章也能第一时间推送!
![](https://mmbiz.qpic.cn/mmbiz_gif/3GHDOauYyUGbiaHXGx1ib5UxkKzSNtpMzY5tbbGdibG7icBSxlH783x1YTF0icAv8MWrmanB4u5qjyKfmYo1dDf7YbA/640?&wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1 "")
安全工具
## 0x01 工具介绍
Directory Traversal Scanner 是一个高性能的目录遍历漏洞扫描工具,专门用于检测和验证 Web 应用程序中的路径遍历漏洞。通过异步并发扫描和智能 WAF 绕过技术,帮助安全研究人员快速发现潜在的安全隐患。## 0x02 工具特点
- 🚄 异步并发扫描,支持大规模目标检测
- 🛡️ 内置 WAF 绕过技术
- 🎯 智能参数识别和目标提取
- 📊 实时扫描进度展示
- 📝 自动生成详细扫描报告
- 🔄 支持自定义 payload
- 🌈 美观的命令行界面
## 0x03 工具使用
### 先决条件
- Python 3.8 或更高版本
- pip 包管理器
### 📦 安装
```
# 克隆仓库git clone https://github.com/yourusername/directory-traversal-scanner.git# 进入项目目录cd directory-traversal-scanner# 安装依赖pip install -r requirements.txt
```
### 🎮 基本使用
```
# 扫描单个 URLpython scanner.py -u "http://example.com/page.php?file=test.txt"# 扫描多个 URL启用 WAF 绕过python scanner.py -u "http://example1.com" "http://example2.com" --waf# 自定义并发数和超时时间python scanner.py -u "http://example.com" -c 200 -t 10
```
## 0x04 命令行参数
```
-u, --urls        目标 URL必需支持多个-d, --depth       最大遍历深度默认4--waf            启用 WAF 绕过技术-c, --concurrency 最大并发请求数默认20-t, --timeout     请求超时时间默认5秒-o, --output      输出报告文件名默认scan_report.json
```
## 0x05 扫描报告
扫描完成后会在 results
 目录下生成详细的扫描报告,包含:
- 扫描配置信息
- 目标 URL 列表
- 扫描统计数据
- 发现的漏洞详情
- 完整的扫描命令
## 0x06 工具下载
**点****击关注**
**下方名片****进入公众号**
**回复关键字【250521****】获取**
**下载链接**
最后推荐一下内部
密圈,干货满满,物超所值,**内部圈子每增加100人价格将上涨20元越早进越优惠**
****

236
doc/2025-05/发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE).md Normal file
View File

@ -0,0 +1,236 @@
# 发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE)
Ots安全 2025-05-21 11:19
![](https://mmbiz.qpic.cn/mmbiz_gif/bL2iaicTYdZn7gtxSFZlfuCW6AdQib8Q1onbR0U2h9icP1eRO6wH0AcyJmqZ7USD0uOYncCYIH7ZEE8IicAOPxyb9IA/640?wx_fmt=gif "")
本文将介绍在 IXON VPN 客户端中发现的三个新漏洞 CVE-2025-ZZZ-01、CVE-2025-ZZZ-02 和 CVE-2025-ZZZ-03。这些漏洞会导致 Windows 和 Linux 系统上的本地权限提升,此外还有一个相当有趣的 [已编辑]。
已为这些漏洞申请 CVE ID但由于资金有限且 MITRE 工作积压目前尚未分配。CVE ID 分配完成后,本文将立即更新。
请继续关注以获取完整披露信息。
背景
欢迎光临祝您咖啡温暖当地天气宜人等等。在最近的一次安全评估中Shelltrail 通过云 VPN 提供商 IXON 获得了访问环境的权限。IXON 是一家荷兰公司,专门从事工业系统设备和远程访问。
要使用 IXON VPN用户必须购买物理远程访问设备并通过以太网将其连接到网络。IXON 设备通过以太网或移动数据提供的互联网连接到云环境。安装和设置完成后,用户可以访问云门户建立 VPN 连接,从而安全地访问部署设备的本地网络。
至少对于渗透测试人员来说,现在需要解答许多问题,然后才能安然入睡。
引擎盖下
因此,为了连接到 IXON VPN 设备,必须安装其专有的 VPN 客户端。此客户端的下载地址与https://ixon.cloud用户启动 VPN 连接的位置相同。此云门户要求用户提供用户名和密码(以及额外的 MFA并且必须邀请用户访问特定的 IXON VPN 设备。
https://ixon.cloud 所以我们现在知道网页和本地安装的 VPN 客户端之间必须发生某种交互。
通过枚举已安装的VPN客户端我们发现一个本地Web服务器正在运行https://localhost:9250。我们发现这是一个自定义编译的C二进制文件它为VPN客户端启用了本地用户配置选项。
```
$ file /etc/ixon/vpn_client/vpn_client/etc/ixon/vpn_client/vpn_client: ELF 64-bit LSB pie executable, x86-64, version1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=032477110a2d9103328159ac17cbf0bdf18f9b91, stripped
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/rWGOWg48taeE4A70ZJcGMWKhyvy6SjkWjTegU5KlJibx4r5ExWiborAfR2hD7olsyWe3HLTUbwcPZo3J0doZia8Tg/640?wx_fmt=png&from=appmsg "")
这vpn_client至少在 Linux 上作为 systemd 服务运行:
```
$ systemctl status ixon_vpn_client.service? ixon_vpn_client.service - VPN Client (IXON Remote Service)     Loaded: loaded (/etc/systemd/system/ixon_vpn_client.service; enabled; preset: disabled)     Active: active (running) since Tue 2025-01-2810:17:54 CET; 3 weeks 0 days agoInvocation:5ccedc9d3ed4485983755fcba25deae0   Main PID:113045 (vpn_client)      Tasks:8 (limit:16628)     Memory:10.8M (peak:13.6M)        CPU:645ms     CGroup: /system.slice/ixon_vpn_client.service             ??113045 /etc/ixon/vpn_client/vpn_client
```
并且它以 root 身份运行:
```
$ ps auxww | grep vpn_clientroot 113045  0.0  0.174784416976 ? Ssl 00:22   0:00 /etc/ixon/vpn_client/vpn_client
```
例如,此 Web UI 允许本地用户设置代理服务器、指定 VPN 连接类型、修改 OpenVPN TAP 适配器设置或更改 Web 服务器应使用的证书。
这很好地说明了如何
https://ixon.cloud与本地安装的 VPN 客户端进行交互,以及我们将 OpenVPN 作为我们的底层 VPN 软件。
建立连接
因此单击connectVPN 设备后,
https://ixon.cloud JavaScript 会从用户浏览器向 Web 服务发送 XHR 请求
https://localhost:9250
```
POST/connect HTTP/1.1Host: localhost:9250Api-Access-Token: a[..REDACTED_ACCESS_TOKEN..]bApi-Version: 2Vpn-Client-Controller-Identifier: a[..REDACTED..]bUser-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36Content-Type: application/jsonOrigin: https://portal.ixon.cloudReferer: https://portal.ixon.cloud/{    "companyId":"a[..REDACTED..]b",    "agentId":"a[..REDACTED..]b"}
```
这个请求包含三个重要的条目:
Api-Access-Token、
companyId 
agentId。这三部分构成了是否允许连接的身份验证和授权。
Api-Access-Token与 中使用的身份验证承载相同, 并且
https://ixon.cloud指
agentId的是应建立连接的 IXON VPN 设备。
当本地 Web 服务器收到此请求时,它会将其转发到
https://ixon.cloud 本地 VPN 客户端并附加其配置详细信息:
```
POST/api/users/me/vpn-configs?fields=agent(publicId,name,activeVpnSession(rscServer.name,vpnAddress),config(routerLan(network,netMask),routerAdditionalSubnets(networkAddress,networkMask))),company(publicId,name) HTTP/2Host: portal.ixon.cloudAuthorization: Bearer a[..REDACTED_ACCESS_TOKEN]bApi-Company: a[.:REDACTED..]Accept: application/jsonApi-Version: 2User-Agent: VPN Client/1.4.2 (Linux x86_64 (Kernel 6.11.2-amd64)){    "type":"openvpn"    "networkLayer":"tap"    "transportProtocol":"tcp"    "agent":{"publicId":"[..REDACTED..]"}    "addRoutes":"true"    "rsaPubKey":"-----BEGIN RSA PUBLIC KEY-----\n[..REDACTED..]\n-----END RSA PUBLIC KEY-----\n"}
```
该请求的响应是 OpenVPN 配置(.ovpnIXON 提供的本地 OpenVPN 二进制文件使用它作为连接。
CVE-2025-ZZZ-01 - [已编辑]
我们已决定在公开修复程序发布之前不会披露此漏洞。IXON 已意识到此问题;然而,修复此漏洞可能需要进行一些可能影响深远的配置更改。该攻击类型较为特殊,虽然 IXON 已接受此漏洞可能被披露,但 Shelltrail 认为,在目前尚未得到适当修复的情况下公开此漏洞是不负责任的。
CVE-2025-ZZZ-02 - IXON VPN 客户端本地权限提升 Linux
好的。现在我们对 IXON VPN 客户端的内部工作原理有了相当深入的了解。如果你还记得的话,当 VPN 连接即将建立时,本地二进制文件会收到一个 OpenVPN 配置。回顾这次交接时,我们注意到 OpenVPN 配置会临时存储在磁盘上。
通过观察文件写入
vpn_client情况发现 OpenVPN conf 存储在/tmp目录中并且名称可预测
/tmp/vpn_client_openvpn_configuration.ovpn。渗透测试人员的大脑开始全速运转。
此外,一旦建立 VPN 连接,临时的 OpenVPN conf 就会被删除。
OpenVPN 以能够在连接过程中执行 shell 脚本而闻名(如果用户提供)
up
pre或者
tls-verify在配置中附带
script-security级别 2。
```
scriptsecurity 2tlsverify /tmp/script.sh[...]
```
因此,如果我们成功将
tls-verify和
script-security参数偷运到 OpenVPN conf我们将以 root 身份执行代码。
最初的想法是使用代理功能
vpn_client来替换传输过程中的 OpenVPN conf但是由于 TLS 传输中的证书验证,这是不可能的。
第二个想法是预先配置一个 OpenVPN 配置文件,
/tmp/vpn_client_openvpn_configuration.ovpn 并使其不可更改chattr +i <file>这样就vpn_client无法覆盖它。这个方法行不通因为vpn_client如果配置文件没有正确的文件权限进程就会停滞。
chown所有类型的符号链接和针对文件位置的特技都会出现同样的问题。
几天过去了,这个看似教科书式的权限提升问题仍未得到解决。
直到……我们想到了管道!
> mkfifo 命令用于在 Linux 中创建命名管道 (FIFO)。FIFO先进先出是一种特殊类型的文件允许进程间通信 (IPC),其中一个进程将数据写入管道,另一个进程从中读取数据。
如果该位置存在预先创建的 FIFO 命名管道
/tmp/vpn_client_openvpn_configuration.ovpn 并且激活了 VPN 连接,则该连接
vpn_client将会暂停直到将 OpenVPN 写入管道。
下图显示了以下步骤:
1. 打印/tmp/script.sh 的内容
1. 打印正在运行的 OpenVPN 配置的前 4 行
1. 在临时存储的 VPN 配置的已知位置创建 FIFO 命名管道
1. 显示文件 /tmp/root 不存在
1. 现在用户登录portal.ixon.cloud并连接到VPN设备
1. 二进制文件vpn_client暂停并等待 OpenVPN 配置
1. 恶意的 OpenVPN 配置被写入命名管道,并以 root 身份执行提供的脚本,并将证据打印到名为
 /tmp/root 的文件中
![](https://mmbiz.qpic.cn/sz_mmbiz_png/rWGOWg48taeE4A70ZJcGMWKhyvy6SjkW5BUcmKeLkpEzafY5Fa0tMlVUmgvJIBovBqIDNibqYVqZ8ZoXO8Up4fg/640?wx_fmt=png&from=appmsg "")
这里需要强调的是OpenVPN conf 需要成功连接才能
tls-verify执行脚本。同样的要求也适用于 
up。为了
down执行 ,首先需要建立连接,然后关闭连接。
运行预连接脚本早在 12 年前就被讨论过但由于存在安全风险而被拒绝https://community.openvpn.net/openvpn/ticket/284
这项提议之前已经提出过,但由于此方法存在安全问题,我拒绝了它。
如果有人有绕过连接建立警告的想法,请随时给我们留言。
CVE-2025-ZZZ-03 - IXON VPN 客户端本地权限提升 Windows
哦——很高兴你问这个问题。当然有Windows客户端可以看看。
建立 VPN 连接的过程与 Linux 相同。
作为服务运行
vpn_client的内容如下
NT Authority\SYSTEM
![](https://mmbiz.qpic.cn/sz_mmbiz_png/rWGOWg48taeE4A70ZJcGMWKhyvy6SjkWGBP8eGUt7g9DOhSoicqGtgtOXg950sE8Egof9ibmTXZibVSK0l18cf74A/640?wx_fmt=png&from=appmsg "")
当与 IXON VPN 客户端连接时OpenVPN conf 会临时存储在
C:\Windows\Temp。啊就像一位老同事说的那样%TEMP% 的故事真幸福。
以下是我们关于 %TEMP% 的 5 个有趣事实,您可以在无聊的晚宴上讨论:
1. NT Authroity\SYSTEM的环境变量 %TEMP% 指的是
C:\Windows\Temp
1. 标准用户,
%TEMP% 指向
C:\Users\<username>\AppData\Local\Temp
1. 标准用户无法列出内容
C:\Windows\Temp
1. 标准用户可以在
C:\Windows\Temp
1. 文件或子文件夹的创建者获得完全权限。
因此,我们知道了将在 中创建和删除的文件名。并且,我们可以在服务将 OpenVPN conf 写入该位置之前控制路径。如果能像https://www.zerodayinitiative.com/blog/2022/3/16/abusing-arbitrary-file-deletes-to-escalate-privilege-and-other-great-tricks 
C:\Windows\Temp中描述的那样通过 Windows 安装程序回滚来使用任意文件删除权限提升技术,那岂不是很酷?
当然这很酷,但是这要求创建符号链接的文件夹为空 - 而这是不可能的
C:\Windows\Temp。
有时,并非每个想法都必须很复杂......也许while 以低权限用户身份在 Powershell 中进行循环,不断将我们的恶意 OpenVPN conf 复制到可预测的文件位置,将导致竞争条件和脚本的执行。
让我们来找出答案:
巨大的成功。
概括
IXON 在漏洞沟通和修复方面反应非常迅速。两次权限提升问题都通过简单地将临时 OpenVPN conf 文件移动到只有高权限用户才能访问的文件夹来解决。
[删除] 尚未修复。
IXON 在https://support.ixon.cloud/s/article/Security-advisories上跟踪了这些漏洞 ID 为 ADV-2025-03-17。
IXON 建议客户升级到 VPN 客户端 1.4.4 或更高版本。
感谢您抽出
![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycNnFvFYVgXoExRy0gqCkqvrAghf8KPXnwQaYq77HMsjcVka7kPcBDQw/640?wx_fmt=gif "")
.
![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycd5KMTutPwNWA97H5MPISWXLTXp0ibK5LXCBAXX388gY0ibXhWOxoEKBA/640?wx_fmt=gif "")
.
![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycU99fZEhvngeeAhFOvhTibttSplYbBpeeLZGgZt41El4icmrBibojkvLNw/640?wx_fmt=gif "")
来阅读本文
![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWge7Mibiad1tV0iaF8zSD5gzicbxDmfZCEL7vuOevN97CwUoUM5MLeKWibWlibSMwbpJ28lVg1yj1rQflyQ/640?wx_fmt=gif "")
**点它,分享点赞在看都在这里**

55
doc/2025-05/漏洞挖掘—利用查询功能获取敏感信息(2).md Normal file
View File

@ -0,0 +1,55 @@
# 漏洞挖掘—利用查询功能获取敏感信息2
原创 haosha 网安日记本 2025-05-21 08:31
**免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。**
前言
    本篇文章是接着上一篇文章继续分享的一篇案例,利用了同样的思路,但是本次情况又有所不同,只用到了学号+姓名,但是利用了同一个学校的两个不同的系统。
一、信息收集
    这里其实是先收集的系统资产,个人习惯每次收集资产之后都会点开看一眼,大概了解一下信息,如果后面有什么思路也能想得起来。
    在收集资产的时候发现了两个类似通过身份证号进行查询功能的系统,先留意一下,两个都是可以通过姓名+学号或身份证号进行查询,但同时两个系统也都各自存在问题。
    一个系统无法爆破爆破后会锁定IP导致无法正常登录
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIMCCOWzpzdmyEAfotqHqgy4NiaJIgJNpJRYxJXDjX1DUialQbb8UeHPf4w/640?wx_fmt=png&from=appmsg "")
    另一个通过姓名+学号登录后,无法获取身份证号信息(不能通过同一个系统利用,同时也没有收集到网上有泄露的部分身份证号信息);
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIMQ2Z4QZickQxpkXnCHTLCZuufHfTNRCoNuIaSoaEPTueEpb8H7Gv0pFA/640?wx_fmt=png&from=appmsg "")
    但是将两个系统的功能结合之后就刚刚好弥补了两个问题,剩下的就是收集学号信息,直接通过谷歌语法进行搜索 
“site:xxx.edu.cn 学号” ,获取学生姓名和学号信息。
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIM1nYNTBg0ib2fadwMzmBwwiaAIUJgcvsh94DNoBacKnfCRnWA8yeaHrFA/640?wx_fmt=png&from=appmsg "")
二、通过电子票据获取部分敏感信息
    第一个系统登录后是一个缴费系统,可以查看票据信息。
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIMXU8XTJwoWfQcXTnHRJ7LpOmpud8GTa6yX2xJQIxothMeQNRmQ6swcA/640?wx_fmt=png&from=appmsg "")
    在预览电子票据时存在“交款人统一社会信用代码”这个统一社会信用代码与个人身份证号码是相同的其中的7-14位被打码正好对应了出生年月日部分。
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIM5CZ8AEUaQOgP7U6VMSSI6tOLhfBrhDickfIuu6r4T0wic6lbwEP7WZBw/640?wx_fmt=png&from=appmsg "")
三、通过爆破获取完整敏感信息
    此时就用到了第二个系统,这个系统进入后只能查看到学生的学号、专业、院系等基本信息,但也正是利用了他会校验学生身份证号的特点,通过爆破获取完整身份证号信息。
    因为前面已经获取到了部分加密的身份证号而加密部分刚好是出生年月日正常来说8位加密是无法爆破的但我们可以利用学号的逻辑进行反推。
    学号的前两位代表了入学年份假设一个学生是21年入学而且他是正常上完小学、初中、高中的那他大概率是2002年或2003年出生的那我们只需要爆破出生月日即可只365组数字即使爆破两次也才730次。
    通过爆破补全身份证号信息(因为有多个相同身份证号参数所以需要同时进行爆破)。
![](https://mmbiz.qpic.cn/mmbiz_png/Un8INe529cicHzhuA4Z1j5gWzMrHJcHIMf2kEJB4c8UQ247MVsF12K4LSzQAOqphGea71XDx6Uc1Yg3s8Lscchw/640?wx_fmt=png&from=appmsg "")
结尾
    本篇文章主要是补全一下上一篇文章的思路,同时也可以发现,其实有时候并不是只有写明为“身份证号”才是身份证号码,个人的“
统一社会信用代码”和“社保编号”与身份证号码是相同的,有时候信息收集的时候就会忽略掉这些信息。

230
doc/2025-05/车载网络通信“CAN总线”的安全与漏洞.md Normal file
View File

@ -0,0 +1,230 @@
# 车载网络通信“CAN总线”的安全与漏洞
谈思实验室 2025-05-21 09:53
点击上方蓝字
谈思实验室
获取更多汽车网络安全资讯
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247554243&idx=3&sn=fab53947e22c2ffc8e6a2e44cbbb0b12&scene=21#wechat_redirect)
**01**
**引言**
CAN 总线中没有目的地址,每个节点可以根据预定义的节点(此处指 ECU配置发布和接收特定消息。这种通信技术提高了网络的弹性这意味着如果要向当前网络添加新的 ECU它可以轻松配置并且无需对网络基础设施和其他节点进行任何更改。CAN 总线是事件触发协议即消息是在网络中响应事件或请求的生成而产生的。CAN 总线被视为多主协议,它定义了如果通信总线空闲,任何节点都可以在总线上发布 / 接收消息,并且延迟时间也有保障。
控制器局域网CAN 总线)协议由罗伯特・博世有限公司于 1983 年推出,已广泛应用于汽车通信领域,甚至在家用电器、医疗设备和娱乐领域也有应用。与 TCP/IP 协议不同TCP/IP 协议在每个数据包中定义了源地址和目的地址,而 CAN 总线消息没有源地址和目的地址,而是采用广播通信技术,网络中的每个节点都可以向总线发送数据包或从总线接收数据包。
车载网络带来了诸多优点如在很大程度上减少了线束实现了数据共享显著提高了车辆的智能控制水平如先进驾驶辅助系统ADAS增强了故障诊断和修复能力等。
为了满足实时系统的期限要求每个消息都被分配了一个标识符帧用于定义消息优先级。消息标识值的数字越小获得总线的优先级越高。这种优先级排序功能还解决了总线访问冲突问题即如果两个节点想要同时发送数据ID 值较低的每个 ECU 将首先发布消息因为优先级更高。这种技术也称为消息仲裁。一般来说CAN 以可预测且高效的方式管理仲裁。图 1 展示了三个节点(第一个节点:二进制 11001011111第二个节点二进制 110011111111第三个节点 110010110010试图同时传输消息的情况。为了防止总线冲突ID 最低的给定节点(在这种情况下是第三个节点)将传输信息,因为它的值最低,优先级比其他两个节点高。图 1 描绘了这种场景下的消息仲裁。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRD6WxXlyPu7a30RiaaR22DGoPQiaFLN3iaFsYpicugFQias7CjalPH2XCfnzw/640?wx_fmt=other&from=appmsg "")
图1.CAN总线协议中的仲裁条件
**02**
**CAN总线协议概述**
在讨论 CAN 总线协议的安全漏洞之前,本节先对 CAN 总线协议进行概述。一般来说CAN 总线有两种格式:标准格式(标识符为 11 位)和扩展格式(包含 29 位标识符帧。数据帧、远程帧、过载帧和错误帧是控制器局域网CAN 总线)中的四种主要帧类型。数据帧用于将数据从发送方传输到接收方,它由以下位字段组成:帧起始(一个显性位)、仲裁字段(由 12 位组成、控制字段6 位、数据字段0 到 64 字节、CRC 字段16 位、ACK 字段2 位和帧结束7 位)。数据帧的完整图示如图 2 所示。仲裁字段定义每个消息的优先级并且该字段中有一个单独的位用于定义这是数据帧还是远程帧。远程帧用于使接收方能够向发送方请求其他数据。数据帧的长度可以为零远程帧到八个字节控制字段指定数据帧的长度。CRC 帧CRC 帧总共由 16 位组成15 位用于循环冗余校验算法以进行错误检测还有一个隐性位作为分隔符。ACK 字段:接收节点重新计算 CRC如果匹配它会向发送方报告已正确接收有效消息。这是通过将 ACK 时隙中的隐性位(逻辑 1覆盖为显性位逻辑 0来实现的。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRDsD5XcXwQFBymiatxAJzRf27yZYjibRGDg5Ff9cBcuHPu3iamRPssbrVaw/640?wx_fmt=other&from=appmsg "")
图2.CAN总线数据帧
CAN 总线采用位填充技术,即如果在总线上连续传输六个相同的位,则被视为错误,因为违反了位填充规则。位填充可应用于 CAN 总线的不同帧,如仲裁字段、控制字段和 CRC 字段,这意味着当发送方发现连续有五个相同的位时,会向帧中添加一个互补位。因此,在传输过程中连续出现六个相同的位被视为位填充违规,检测到这种情况的每个节点都将传输错误帧。图 3 展示了 CAN 帧以及位填充是如何应用于该帧的。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRD8eIVrtWE2lZpf8b1P0W6dNQHLolQQ2V1czxHibFw9PZ906Rsk3X2O0A/640?wx_fmt=other&from=appmsg "")
图3.CAN总线中的位填充技术
CAN 总线由三个主要层组成,即物理层、传输层和对象层。物理层包括不同节点之间的实际位传输、传输的电气特性以及用于通信的介质。
**03**
**CAN总线协议漏洞**
CAN 总线通信通道由称为 CAN-High 和 CAN-Low 的双绞线组成。位传输有两种不同的状态,即隐性逻辑 “1” 和显性逻辑 “0”。CAN 数据包从 CAN 接口传出后CAN 收发器(发送器 / 接收器)将数据包转换为差分信号,通过双绞线进行传输。大多数汽车通信协议采用 ISO 11898 - 2 中规定的物理差分信号 —— 高速 CAN最高速率可达 1Mbps。当传输隐性位逻辑 1CAN-High 和 CAN-Low 线都承载 2.5V 电压,这意味着电压差为零。另一方面,在传输显性(逻辑 0位时CAN-High 的电压增加 1V达到 3.5VCAN-Low 的电压降低 1V变为 1.5V,这意味着 CAN-High 和 CAN-Low 之间的电压差变为 2 伏。图 4 展示了 CAN 总线的电压电平。通过这种方式,总线上的平均电压始终为 2.5V,使 CAN 总线对电磁干扰具有很强的抵抗力。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRDYjGQffYzdyRwe1bK15EWUjaZBOuRHHMibQRvaXTficLtMbRvcvOeK4sw/640?wx_fmt=other&from=appmsg "")
图4.CAN总线差分信号图示
CAN 总线协议被设计为轻量级、稳健且快速的协议因为它需要在实时环境中具有令人满意的性能并满足时间限制。然而CAN 总线在设计上存在一些漏洞,为攻击者访问网络并出于不同目的注入恶意消息创造了条件。从安全解决方案的角度来看,安全通信应满足协议或系统安全设计者提出的以下五个标准:
- 数据完整性:接收方接收到的信息应与发送方在信道中发送的信息完全相同,没有任何更改。
- 认证应检测所有参与方CAN 总线中的 ECU是否经过认证。
- 保密性:授权方之间的通信应受到保护,防止未经授权的方获取。
- 不可否认性:安全解决方案应证明通信中的各方不能否认所组织消息的真实性。
- 可用性:安全解决方案应确保在不同情况下系统的可用性得到保证。
CAN 总线的固有局限性之一是每个 CAN 消息中缺乏消息认证这使得网络中的节点容易受到攻击。顾名思义CAN 总线是一个由具有不同功能的不同控制器组成的网络。例如,发动机控制单元不断向总线发送 RPM 数据,该数据对 CAN 总线中的所有节点都可用无论总线上的节点是否请求了该消息。其他节点不断监听总线以获取它们特定的消息这些消息可以通过消息标识符识别。在正常情况下CAN 总线架构运行良好。然而,它在设计上没有提供安全措施来防止未经授权的节点加入通信并向其他节点广播恶意消息。这些固有漏洞为攻击者在了解 CAN 总线的合法格式后发送伪造消息提供了潜在途径,并且每个 ECU 都可以模拟其他 ECU 进行重放攻击,这可能会对车辆乘客造成有害后果。攻击者可以被动监听总线,记录不同功能的合法消息内容,然后注入自己的消息来操纵车辆功能。
将车载网络连接到不同的环境包括内部网络和无线网络在效率、成本和安全性方面为汽车行业创造了出色的服务如车对车V2V、车对基础设施V2I通信、空中固件更新FOTA和远程诊断。远程诊断使嵌入式软件组件能够远程重新编程为驾驶员提供了便利他们无需将车辆送到经销商处进行诊断服务。然而这些功能也带来了新的挑战因为内部和外部通信都需要得到妥善保护否则攻击者可能会完全控制车辆从而危及乘客的生命。
CAN 总线协议的另一个漏洞是通信过程中的流量未加密。在协议设计阶段从未应用加密技术,因为这会给实时通信带来开销,这与协议的性质(轻量级和快速)相悖。这个问题使得攻击者可以轻易地通过购买一个低价硬件连接到 CAN 总线并被动嗅探数据,显然,没有某种形式的加密,消息的真实性和完整性无法得到保证,攻击者就能够进行恶意活动。因此,需要在当前协议中增加一定的安全级别或插件来避免这些情况。
协议的滥用是黑客可以利用的另一个原因。例如如前所述当多个节点试图发送数据时CAN 总线使用消息仲裁来赢得总线进行数据广播。攻击者可以利用消息仲裁技术发起拒绝服务DoS攻击即不断发送具有最高优先级最低 ID的恶意消息。因此数据总线将一直被受攻击的节点占用可能导致系统故障。如今随着机器学习和智能算法的出现在各种工程应用中提出了多种方法如工业机器人的智能控制器设计、入侵检测系统IDS、自适应优化算法等。机器学习算法已被广泛用作开发车载网络安全解决方案的强大数学工具。
**04**
**相关工作**
在这部分,我们进行了前沿综述,以讨论研究人员为使车载通信更安全而提出的不同方法和解决方案。研究人员在 CAN 总线的不同层开展工作,以引入安全解决方案。
赵和申提出了一种基于时钟偏移的 ECU 指纹识别框架并将其用于开发基于时钟的入侵检测系统IDS。所提出的基于时钟的指纹识别方法利用了所有数字系统中都存在的时钟特性“称为时钟偏移的微小定时误差”。时钟偏移识别利用时钟偏移和时钟偏差的唯一性根据发送 ECU 的时钟属性来识别给定的 ECU。该方法测量并利用 CAN 总线消息的周期性行为对网络中的每个 ECU 进行指纹识别然后使用递归最小二乘RLS算法构建每个 ECU 的参考时钟行为。基于开发的参考行为与基线时钟行为的偏差将被视为异常行为ECU 受到攻击),误报率低至 0.055%。赵和申为所提出的 IDS 开发了一个原型,并在本田雅阁、丰田凯美瑞和道奇公羊三款不同的车辆上展示了所提出的 CIDS 的有效性。
王等人提出了一种实用的车辆系统安全框架VeCure它可以从根本上解决 CAN 总线的消息认证问题。他们使用飞思卡尔汽车开发板开发了一个概念验证原型来验证所提出的方法。在他们的方法中,每个发送 CAN 数据包的节点还需要发送消息认证码数据包8 字节)。他们将 ECU 分为两类,即低信任组和高信任组。具有外部接口(如 OBD - II 或远程信息处理)的 ECU 被放入低信任组。高信任组共享一个秘密对称密钥,用于认证每个传入和传出的消息,这样低信任组中不知道密钥的 ECU 就无法向高信任组中的关键 ECU 发送消息。王等人使用了 SHA - 3 哈希函数,但他们通过预计算重负载加密函数提高了系统吞吐量。与没有消息认证技术的系统相比,所提出的方法会增加 2000 个额外的时钟周期(在 40MHz 处理器上运行相当于 50 微秒)。通过离线预计算哈希函数,他们的方法在计算上比其他使用消息认证解决方案的方法快 20 倍。图 5 展示了所提出的方法、没有消息认证的 CAN 总线以及经典 SHA - 3 哈希函数在消耗的 CPU 时钟周期数方面的对比。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRDALBrLIzVzZgEfPC4kPbK6dICZxMibbHqChVuaAgO0EyJOcWgTsmv6rg/640?wx_fmt=other&from=appmsg "")
图5.没有消息认证、VeCure和经典SHA-3哈希函数的CAN总线的CPU周期数
Koscher 等人对车辆攻击面展开了全面的实验分析。他们剖析了不同的威胁模型,以及涉及不同范围向量的漏洞,比如在诊断机制会话场景中,攻击者可通过 OBD-II 端口物理接入总线,借助在笔记本电脑上运行程序向 CAN 总线注入恶意软件。现代汽车的信息娱乐系统带来了许多有趣的功能如连接互联网、手机将手机中的联系人列表等日志信息导入信息娱乐屏幕等。这些功能为攻击者在音频文件中注入恶意软件创造了新途径一旦受害者车辆播放经过修改的音频文件信息娱乐系统就可能被攻破攻击者便能窃取存储在其中的日志数据。Koscher 等人还研究了蓝牙、远程无钥匙进入、RFID 等短距离无线接入,以及 GPS 和卫星广播等长距离无线通信。他们利用这些攻击面实施了多种攻击。例如,他们对 WMA 音频文件进行处理,使其在个人电脑上能正常播放,但在受害者车辆播放 CD 时,该文件会在后台发送 CAN 总线消息。人们可能会疑惑,汽车制造商在开发 CAN 总线时为何没有考虑这些漏洞Koscher 等人解释称过去车辆并非这类攻击的目标而且当时的通信方式也不像如今这般多样。然而如今的车辆与多种短距离和长距离无线网络相连随着车对车V2V和车对基础设施V2I通信的普及这种趋势还在持续发展这无疑为攻击者提供了更多机会车载网络的漏洞也随之增多。
德国的 Paar 等人指出,现代车辆中越来越普遍的远程无钥匙进入功能存在被攻破的风险,他们基于 Keeloq RFID 技术破解了该系统。这种漏洞适用于所有采用 Keeloq 作为加密方式的远程无钥匙进入系统或其他远程建筑门禁系统。他们发现,无钥匙远程访问在距离车辆 100 米处就可能被攻击。理论上,汽车会生成随机值,由远程无钥匙模块进行处理,当计算结果匹配时,车门便会解锁。安全协议通常禁止重放攻击,即便攻击者记录了双方之间的所有通信,并试图在之后冒充其中一方,重放日志文件也无法打开车门。但 Paar 等人针对这些系统发起了侧信道攻击。
Hoppe 等人对车窗升降控制、警示灯、安全气囊控制系统和中央网关进行了四项不同测试。他们在 CERT 分类法中对每个部分的安全渗透和漏洞测试结果进行分类总结并分析了两种选定的应对措施。他们提出了一些短期和长期解决方案认为短期方案可应用于当前的车辆电子系统而长期方案则需要对协议设计进行重大修改。例如入侵检测系统IDS和数据分析被作为短期安全解决方案。在第一个场景中他们在 CANoeVector CANTech 公司的仿真软件)中模拟车载网络,针对电动车窗升降进行攻击。当满足预设条件(车速超过 200km/h通过添加恶意代码电动车窗会自动打开且在攻击结束前无法关闭。这种攻击采用 “读取” 和 “伪造” 手段监控当前流量,当达到特定条件时,伪造电动车窗升降指令,最终实施拒绝服务攻击,且在攻击过程中驾驶员无法停止攻击。黑客正是利用了 CAN 总线通信中消息未经认证的漏洞,从未经授权的 ECU 发送恶意代码。
在第二个场景中Hoppe 等人针对警示灯(指示器)展开攻击。正常情况下,车门未经授权打开时,相应的车门传感器会向 ECU 发送消息,触发诸如警示灯亮起、喇叭鸣响数秒等事件。在这个场景里,黑客打开车门时,触发的 “开启” 警报会立即被设置为 “关闭”,导致警示灯熄灭、喇叭停止鸣响,小偷便能在毫无警报的情况下偷走汽车或车内物品。同样,该漏洞源于 CAN 总线架构通信(缺乏消息认证),属于 “读取” 和 “伪造” 攻击行为也是拒绝服务DoS攻击。在第三个场景中Hoppe 等人分析安全气囊控制系统。在这次攻击场景中,安全气囊模块被从系统中移除,这在车祸发生时会造成严重后果(安全气囊在紧急情况下无法弹出)。他们认为这种攻击的动机可能是经济利益,因为安全气囊在事故中弹出后,更换成本较高。这种攻击可通过被入侵的动力车子网络 ECU或连接硬件到 OBD-II 端口来实现。此外,他们还控制了安全气囊控制器的指示灯,使其不再显示安全气囊故障。表 1 总结了上述三个场景的 CERT 分类。
![](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9TwibgEvKOy5MAuvk8S0uvBBRD91bZpKHOUo5n8iclicG7rWts5z2fqp72Ev8TeT2NiagOWPVGodhRqC49Q/640?wx_fmt=other&from=appmsg "")
表1.CERT对三种攻击场景的分类
短期应对措施之一是开发入侵检测系统IDS。当智能检测系统检测到恶意活动或异常网络模式时应发出警报以降低攻击造成的后果比如让车辆在下一个安全位置停下。IDS 的一项功能是检测消息频率。例如,在场景 1 和场景 2 中,特定标识符会以恒定频率发送相应消息。攻击者通常会尝试发送相同标识符但内容不同的消息。由于删除现有消息难以实现,攻击者会试图以更高频率发送修改后的相同标识符消息。因此,如果 IDS 能够检测到可疑活动的高频率,就能向驾驶员发出相应警报。
**05**
**结论**
本研究介绍了车载网络通信协议 CAN 总线及其相关漏洞。已有不少研究揭示了其在网络渗透方面的弱点。尽管部分研究人员针对当前协议提出了安全解决方案,但该领域的大部分工作仅停留在指出现有问题上,所提解决方案并不全面。与在传输层开发安全机制相比,在物理层开发安全解决方案更具优势,因为在传输层应用消息认证码面临的挑战之一,是微控制器的计算能力和内存有限,难以在实时环境中为 CAN 总线开发加密算法。为提升用户体验和驾驶安全性现代计算和通信技术正融入汽车领域推动车辆变革。因此过去封闭的车载系统如今开放了蓝牙、3G/4G、GPS 等多种外部接口。CAN 总线的根本漏洞之一在于通信中缺乏消息认证码,这为攻击者渗透总线提供了可乘之机。随着 V2V 和 V2I 通信的发展,外部接口不断增加,车载网络通信协议似乎需要重新设计以增强安全性,或者更多地采用以太网等更安全的协议用于车载网络通信。
来源:
https://i-newcar.com/index.php?m=home&c=View&a=index&aid=4079
**end**
![图片](https://mmbiz.qpic.cn/mmbiz_jpg/3g8Dklb9Tw8HZVjn7iagiafDIbic2Se5Pib0H7ILiaEJTVXC73vwiaibOE9qujplXjwE40W7ORv050WAkn4F3WTVzQUfA/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
**精品活动推荐**
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247554243&idx=3&sn=fab53947e22c2ffc8e6a2e44cbbb0b12&scene=21#wechat_redirect)
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247550227&idx=2&sn=544f67cb3a1221819012825152b360da&scene=21#wechat_redirect)
**AutoSec中国行系列沙龙**
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247548574&idx=1&sn=11f37456b4f45c0fdbf795c21e201c03&scene=21#wechat_redirect)
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247551934&idx=2&sn=50785b76c512a88b30455fc1e8fa188c&scene=21#wechat_redirect)
**专业社群**
[](https://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247535223&idx=1&sn=e30e07a44accd5b0e9ada3d8b537f977&scene=21#wechat_redirect)
**部分入群专家来自:**
**新势力车企:**
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......
**外资传统主流车企代表:**
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......
**内资传统主流车企:**
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......
**全球领先一级供应商:**
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......
**二级供应商(500+以上)**
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、中科数测固源科技、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......
**人员占比**
![图片](https://mmbiz.qpic.cn/mmbiz_png/3g8Dklb9Tw8HZVjn7iagiafDIbic2Se5Pib0RT6OzSA4O0F8F36otWdvrQxwl9XIt26G3yjOQLcZoODodPdkmbezgQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
**公司类型占比**
![图片](https://mmbiz.qpic.cn/mmbiz_png/3g8Dklb9Tw8HZVjn7iagiafDIbic2Se5Pib0j2QAibNSg60w1I1YRyibFjDD1aBIzdGCZeGibMiaJ9HgMSLr9vQFZbzlkg/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
**更多文章**
# 不要错过哦,这可能是汽车网络安全产业最大的专属社区!
[关于涉嫌仿冒AutoSec会议品牌的律师声明](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247531034&idx=2&sn=e466ca3e7c2927a91dd9a81be705afe1&chksm=e9273ec1de50b7d7f540ae2e4c255bfb42f842228a87f7dbc65297027a878544a9e796e09cf6&scene=21#wechat_redirect)
[一文带你了解智能汽车车载网络通信安全架构](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247517280&idx=2&sn=8bfafb17871598c9cc0041bc9ee5f65d&chksm=e927c0bbde5049ad8cdb3647f6cdfce00c2db7a7b484941027bb7edf3128e4eaa74d6727dd46&scene=21#wechat_redirect)
[网络安全TARA方法、工具与案例](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247502093&idx=1&sn=ec4b373a33ca04d79afbb0b0b880bd4e&chksm=e9278dd6de5004c01bdd83ad0dd89c3549c7ae2ceb362959dbcb159324b2593d70bce78d82a9&scene=21#wechat_redirect)
[汽车数据安全合规重点分析](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247519068&idx=1&sn=78c66e13bd8798afd46c766b8f18abe7&chksm=e927cf87de504691c816f78b55daf93bdfb72fc1cb870d926de8b471eb3e1be61058498327b1&scene=21#wechat_redirect)
[浅析汽车芯片信息安全之安全启动](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247512151&idx=1&sn=7fabbeeec206ce615a5a3c574bed4c43&chksm=e927f48cde507d9ab6bfd4b8389b5eafea37586707682bfe60f294feb54e1c36cb07bad4d26d&scene=21#wechat_redirect)
[域集中式架构的汽车车载通信安全方案探究](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247519952&idx=2&sn=709860de942501f20e923d15330ced9a&chksm=e927ca0bde50431df0b47ad1a2da63bf98ee637c9c00482145fbdb8755851b61421357aab4bf&scene=21#wechat_redirect)
[系统安全架构之车辆网络安全架构](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247520446&idx=1&sn=27e10e455264cecb2a1b49d91484d036&chksm=e927d465de505d73c59a6fb4cb066c7c7d07a96ef49a841ffe598c23d28be545c5874dec7de4&scene=21#wechat_redirect)
[车联网中的隐私保护问题](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247521010&idx=1&sn=94ef379e2b877551093a869cf9d4897e&chksm=e927d629de505f3f3cbc102682f7a21a82372108776d3484d8ce619f7db1aae0ab0a001b9b41&scene=21#wechat_redirect)
[智能网联汽车网络安全技术研究](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247521302&idx=1&sn=01e9311cb2c84f3e64902abf5f6e7a9e&chksm=e927d0cdde5059db5fe18c5e27f830bbb6ea6df327088082e7844aa056b05f840ad4cf6e3b5a&scene=21#wechat_redirect)
[AUTOSAR 信息安全框架和关键技术分析](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247521661&idx=1&sn=a72381e326e3a226059954c74698e0dd&chksm=e927d1a6de5058b0297b91ba77fcf34bd3c581476a0790c5e0cfbcbe026b5a7c27d700bfb1ca&scene=21#wechat_redirect)
[AUTOSAR 信息安全机制有哪些?](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247522056&idx=1&sn=bbd03def212d085f533e0301f8c86f18&chksm=e927d3d3de505ac57099d5e42fb6726cf152de9aaa9590b095895874e7a4cc806abc84cc4ebf&scene=21#wechat_redirect)
[信息安全的底层机制](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247522886&idx=1&sn=77103702d98e3788beae34b8ea3c31d0&chksm=e927de9dde50578b3dce0bba65599da38844310edd8554f43c9f1c354eaa0487b7c8b4f65c3c&scene=21#wechat_redirect)
[汽车网络安全](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247523567&idx=1&sn=1b1d83f339de81a0dc396dd0bd6e6893&chksm=e927d834de50512246f63e47a32f7b934e64eb2b6138053ef43485b871736a122db1340bc437&scene=21#wechat_redirect)
[Autosar硬件安全模块HSM的使用](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247527177&idx=1&sn=984bfc845ef51ec1f32cd12d37430621&chksm=e9272fd2de50a6c4013f84ed2257f634a505a04a27b4b27c30e5af4492d5fc3b0099216b1f7d&scene=21#wechat_redirect)
[首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议](http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247519331&idx=1&sn=925d48164f1c7d2d109ee433cde6805b&chksm=e927c8b8de5041aea58f73aed311cdd3bf913bbb73d8e175ac80ae643d944709e06ec418fb52&scene=21#wechat_redirect)

35
doc/2025-05/黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元.md Normal file
View File

@ -0,0 +1,35 @@
# 黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元
Rhinoer 犀牛安全 2025-05-21 16:03
![](https://mmbiz.qpic.cn/mmbiz_png/qvpgicaewUBlkqb2UwXDnXb0MYfKajE4rrSaDb5275IfIVaaicMILCElicibIYZkrzwwbwTkPQS7dsYtk5AtVgDXIQ/640?wx_fmt=png&from=appmsg "")
Pwn2Own 柏林 2025 黑客大赛已经结束,安全研究人员在利用 29 个零日漏洞并遇到一些错误碰撞后获得了 1,078,750 美元的奖金。
在整个比赛过程中,他们瞄准了人工智能、网络浏览器、虚拟化、本地权限提升、服务器、企业应用程序、云原生/容器和汽车类别的企业技术。
根据Pwn2Own 的规则,所有目标设备都安装了所有安全更新并运行最新的操作系统版本。
虽然特斯拉还提供了两台 2025 款特斯拉 Model Y 和 2024 款特斯拉 Model 3 台式机,但参加比赛的安全研究人员在 Pwn2Own 开始之前尚未在此类别中进行过任何尝试。
参赛选手在第一天就获得了 26 万美元的现金奖励,第二天凭借 20 个零日漏洞又获得了 43.5 万美元的奖励。Pwn2Own 比赛第三天,他们又凭借 8 个零日漏洞获得了 38.375 万美元的奖励。
在 Pwn2Own 活动期间演示这些漏洞后,供应商有 90 天的时间发布安全更新,之后 TrendMicro 的零日计划才会公开披露这些漏洞。
![](https://mmbiz.qpic.cn/mmbiz_png/qvpgicaewUBlkqb2UwXDnXb0MYfKajE4rME6GGf05ubqsicic6ibg9dZOiaFuH4PdEkFje3vUCnKj2fjmNMQPntv6icw/640?wx_fmt=png&from=appmsg "")
STAR Labs SG 团队在破解 Red Hat Enterprise Linux、Docker Desktop、Windows 11、VMware ESXi 和 Oracle VirtualBox 后,在为期三天的比赛中赢得了今年的 Pwn2Own 柏林站,获得 35 个 Master of Pwn 积分和 320,000 美元奖金。
STAR Labs 的 Nguyen Hoang Thach 利用整数溢出漏洞破解 VMware ESXi 虚拟机管理程序软件,赢得了比赛的最高奖金 150,000 美元。
Viettel 网络安全团队获得了第二名,他们展示了零日漏洞,这些漏洞可以让攻击者从 Oracle VirtualBox 客户机逃到主机系统,并使用结合了身份验证绕过和不安全反序列化的漏洞链来攻击 Microsoft SharePoint。
第三天Reverse Tactics 团队再次利用滥用整数溢出和未初始化变量错误的漏洞链攻击 VMware 的虚拟机管理程序软件,赢得 112,500 美元并获得排名第三。
Mozilla已于上周末发布了 Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1 和适用于 Android 的新版 Firefox 来解决竞赛期间演示的两个 Firefox 零日漏洞CVE-2025-4918 和CVE-2025-4919 )。
2024 年 3 月,在安全研究员 Manfred Paul 在 2024 年 Pwn2Own Vancouver 大会上利用并报告了Firefox 网络浏览器中的另外两个零日漏洞( CVE-2024-29943 和CVE-2024-29944 Mozilla 修复了这些漏洞。
信息来源B
leepingComputer