phith0n的小站,长期存在与分享关于网络安全与各种编程的原创文章。
2025年12月初,React Server Components和Next.js出现核弹级漏洞React2Shell(CVE-2025-55182),这几个周末我陆陆续续在「代码审计知识星球」里写了5篇相关文章: 《1. Thenable的由来》 《2. Next.js调试环境配置》 《3. RSC是怎样解析数据包的?》 《4. React2Shell漏洞原理》 《5. 价值15万美元的...
Whisper是OpenAI发布的一个开源自动语音识别(ASR)系统,它于 2022 年发布,目的是提供一个强大、通用、易于使用的语音转文本工具。 自从Whisper发布以后,市面上就涌现出大量“视频生成字幕”工具,但大部分工具都是要付费的,而且能在Windows和Linux下使用的较少。其实这部分工具就是将Whisper包装一层以后使用,我们完全可以直接在本地电脑上运行Whisper模型,...
前两天在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》这篇文章里说JDBC注入的时候提到H2 Database Web Console的RCE,我曾在Vulhub中对这个漏洞有一段描述: 1.4.198版本及以后的H2控制台中,添加了新的-ifNotExists选项,默认禁用远程数据库创建,这将导致攻击者必须找到一个已存在的H2数据库才能执行上述JDBC攻...
我在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》末尾留了一个问题,也是「代码审计知识星球」里发布的Springboot Code-Breaking 2025小挑战的核心考点:https://t.zsxq.com/tSBBZ,代码如下: @Controller public class IndexController { @ResponseBody ...
上周日联合@Ar3h 师傅一起,在【代码审计知识星球】里发布了一个Springboot的小挑战:https://t.zsxq.com/tSBBZ,这个小挑战的核心目标是在无法连接外网的情况下,如何利用PSQL JDBC注入漏洞。我会分两篇文章来讲讲所谓的“不出网利用”,第一篇文章会介绍最近遇到的一个实际案例,也就是Vulhub里的Apache Hertzbeat的后台代码执行漏洞(CVE-2...
前段时间看到群友问了这样一个问题: ldap:和rmi:关键字被拦截了,是否还可以进行JNDI注入。方法很简单,就是使用ldaps,但后来发现很多人并不知道怎么搭建LDAPS服务器,正好CoNote里有这个功能,写篇简单的文章讲讲。 0x01 LDAPs是什么 在Java JNDI注入的过程中,用户传入一个URL,Java会根据URL的scheme来判断具体使用哪个包来处理,这些包的位置在...
虽然离开中国已经快三年了,但是我现在仍然在用国内时候购买的国行iPhone 12手机。我在《2022年欧洲游记》这篇文章里也提到过,实体sim卡导致我出门旅游很不方便,每次都要提前至少一个月时间在淘宝买到旅游卡,然后海运来新加坡。如果在Shopee上买,时间虽然短一点,但价格会贵很多。 去年10月去印尼bromo火山,我尝试了另一种方案,因为当时在公司申请了一台pixel 4xl测试机,这台...
昨天『代码审计』知识星球里有同学向我提了一个有趣的问题: 简单来说就是,在Java的Nashorn脚本中,如果不允许使用小括号(、)和中括号[、],如何执行任意命令? 0x01 浏览器JavaScript无括号XSS 我们知道,Nashorn脚本本质上是JavaScript,而无括号的XSS Payload其实是一个老问题了。因为JavaScript在执行函数的时候需要使用括号,所以解决问...
「代码审计」知识星球中@1ue 发表了一篇有趣的文章《探索Java反序列化绕WAF新姿势》,深入研究了一下其中的原理,我发现这是一个对我来说很“新”,但实际上年纪已经很大的Trick。 0x01 UTF-8编码原理 UTF-8是现在最流行的编码方式,它可以将unicode码表里的所有字符,用某种计算方式转换成长度是1到4位字节的字符。 参考这个表格,我们就可以很轻松地将unicode码转换成...
Jenkins 未授权文件读取漏洞(CVE-2024-23897)今天闹得沸沸扬扬,我也来简单分析一下这个漏洞,并看看这个文件读取如何利用。 首先说的是,由于Jenkins存在版本和插件差异,所以利用时可能也有不一样之处,本文内容不一定适用于所有Jenkins server。我们这里使用Vulhub的环境(2.441)来做分析和演示:https://github.com/vulhub/vul...
phith0n的小站,长期存在与分享关于网络安全与各种编程的原创文章。
2025年12月初,React Server Components和Next.js出现核弹级漏洞React2Shell(CVE-2025-55182),这几个周末我陆陆续续在「代码审计知识星球」里写了5篇相关文章: 《1. Thenable的由来》 《2. Next.js调试环境配置》 《3. RSC是怎样解析数据包的?》 《4. React2Shell漏洞原理》 《5. 价值15万美元的...
Whisper是OpenAI发布的一个开源自动语音识别(ASR)系统,它于 2022 年发布,目的是提供一个强大、通用、易于使用的语音转文本工具。 自从Whisper发布以后,市面上就涌现出大量“视频生成字幕”工具,但大部分工具都是要付费的,而且能在Windows和Linux下使用的较少。其实这部分工具就是将Whisper包装一层以后使用,我们完全可以直接在本地电脑上运行Whisper模型,...
前两天在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》这篇文章里说JDBC注入的时候提到H2 Database Web Console的RCE,我曾在Vulhub中对这个漏洞有一段描述: 1.4.198版本及以后的H2控制台中,添加了新的-ifNotExists选项,默认禁用远程数据库创建,这将导致攻击者必须找到一个已存在的H2数据库才能执行上述JDBC攻...
我在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》末尾留了一个问题,也是「代码审计知识星球」里发布的Springboot Code-Breaking 2025小挑战的核心考点:https://t.zsxq.com/tSBBZ,代码如下: @Controller public class IndexController { @ResponseBody ...
上周日联合@Ar3h 师傅一起,在【代码审计知识星球】里发布了一个Springboot的小挑战:https://t.zsxq.com/tSBBZ,这个小挑战的核心目标是在无法连接外网的情况下,如何利用PSQL JDBC注入漏洞。我会分两篇文章来讲讲所谓的“不出网利用”,第一篇文章会介绍最近遇到的一个实际案例,也就是Vulhub里的Apache Hertzbeat的后台代码执行漏洞(CVE-2...
前段时间看到群友问了这样一个问题: ldap:和rmi:关键字被拦截了,是否还可以进行JNDI注入。方法很简单,就是使用ldaps,但后来发现很多人并不知道怎么搭建LDAPS服务器,正好CoNote里有这个功能,写篇简单的文章讲讲。 0x01 LDAPs是什么 在Java JNDI注入的过程中,用户传入一个URL,Java会根据URL的scheme来判断具体使用哪个包来处理,这些包的位置在...
虽然离开中国已经快三年了,但是我现在仍然在用国内时候购买的国行iPhone 12手机。我在《2022年欧洲游记》这篇文章里也提到过,实体sim卡导致我出门旅游很不方便,每次都要提前至少一个月时间在淘宝买到旅游卡,然后海运来新加坡。如果在Shopee上买,时间虽然短一点,但价格会贵很多。 去年10月去印尼bromo火山,我尝试了另一种方案,因为当时在公司申请了一台pixel 4xl测试机,这台...
昨天『代码审计』知识星球里有同学向我提了一个有趣的问题: 简单来说就是,在Java的Nashorn脚本中,如果不允许使用小括号(、)和中括号[、],如何执行任意命令? 0x01 浏览器JavaScript无括号XSS 我们知道,Nashorn脚本本质上是JavaScript,而无括号的XSS Payload其实是一个老问题了。因为JavaScript在执行函数的时候需要使用括号,所以解决问...
「代码审计」知识星球中@1ue 发表了一篇有趣的文章《探索Java反序列化绕WAF新姿势》,深入研究了一下其中的原理,我发现这是一个对我来说很“新”,但实际上年纪已经很大的Trick。 0x01 UTF-8编码原理 UTF-8是现在最流行的编码方式,它可以将unicode码表里的所有字符,用某种计算方式转换成长度是1到4位字节的字符。 参考这个表格,我们就可以很轻松地将unicode码转换成...
Jenkins 未授权文件读取漏洞(CVE-2024-23897)今天闹得沸沸扬扬,我也来简单分析一下这个漏洞,并看看这个文件读取如何利用。 首先说的是,由于Jenkins存在版本和插件差异,所以利用时可能也有不一样之处,本文内容不一定适用于所有Jenkins server。我们这里使用Vulhub的环境(2.441)来做分析和演示:https://github.com/vulhub/vul...