皮皮网

1.远程代码执行漏洞远程命令执行漏洞原理
2.fastjson 1.2.24源码分析以及漏洞复现
3.宜信开源|漏洞管理平台『洞察』部署指南
4.四款源代码扫描工具
5.微信暗雷源码漏洞
6.CVE-2022-4510：Binwalk 远程代码执行漏洞

远程代码执行漏洞远程命令执行漏洞原理

       远程代码执行漏洞，漏洞漏洞亦称为远程命令执行漏洞，平台平台是源码一种安全漏洞，当开发人员在编写源代码时未对可执行的漏洞漏洞特殊函数入口进行过滤时，便可能导致客户端能够提交恶意构造的平台平台语句，并由服务器端执行。源码刷新ui源码

       在命令注入攻击中，漏洞漏洞WEB服务器未能过滤类似system(),平台平台 eval()，exec()等函数，源码往往成为该漏洞攻击成功的漏洞漏洞最关键因素。这些函数允许服务器执行外部命令，平台平台如果未正确验证用户输入，源码攻击者可以利用这些漏洞来执行任意命令，漏洞漏洞从而获取服务器的平台平台控制权。

       以system()函数为例，源码攻击者可以通过构造特定的输入参数，将恶意命令注入到系统调用中，进而执行任意命令。eval()函数则会将传入的字符串直接作为PHP代码执行，如果输入字符串为恶意代码，攻击者即可利用该函数执行任意代码。同样，exec()函数用于执行外部命令，攻击者通过构造恶意命令输入，同样可以利用该漏洞执行任意命令。

       综上所述，远程代码执行漏洞主要发生在开发人员未对特殊函数入口进行充分过滤的情况下。攻击者通过构造恶意输入，利用这些未过滤的函数执行任意命令，从而获得服务器的控制权。因此，开发人员在编写代码时，应充分注意对特殊函数入口的过滤，避免此类漏洞的分享源码是什么出现，以保障系统的安全。

扩展资料

       远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。

fastjson 1.2.源码分析以及漏洞复现

       反序列化，这个过程将字节序列恢复为Java对象。例如在使用Python做自动化测试时，通过字符串名字调用相同名字的方法。Fastjson的功能允许通过字符串引用如`@type":"com.sun.rowset.JdbcRowSetImpl`来执行内部方法。由此，我们能利用Fastjson提供的便利，通过调用对应的函数来验证漏洞。

       在渗透测试中，漏洞的验证通常需要满足几个条件：判断指纹和指纹回显，Fastjson的特性使得这一步变得简单。然而，在利用过程中，要考虑到Fastjson本身的限制、JDK的限制以及可能的安全配置限制。因此，POC验证方案需考虑这些限制的版本和配置。

       Fastjson通过JSON抽象类实现JSONAware接口，并提供两个常用方法：`toJSONString`用于对象转换为JsonString，`parseObject`用于将JSON字符串转换为对象。这次的漏洞主要与反序列化相关。

       反序列化的执行发生在`DefaultJSONParser.java`类中。关键代码中，固定键`@type`对应反序列化类的全路径，其中`typeName`为传入类的全路径。在Fastjson 1.2.版本中，`loadClass`方法未进行任何过滤，蓬莱离长岛源码允许传入任何JVM加载的类，并执行`setKey`方法，其中Key为可变参数。

       要利用这个反序列化漏洞，需要满足以下条件：JVM加载的类、有非静态set方法和传入一个参数。使用RPC远程执行代码的思路实现POC，此处使用了`com.sun.rowset.JdbcRowSetImpl`实现。

       JNDI全称为Java Naming and Directory Interface，主要提供应用程序资源命名与目录服务。其底层实现之一是RMI（Remote Method Invocation），用于Java环境的远程方法调用。在`com.sun.rowset.JdbcRowSetImpl`类中，关注点在于`getDataSourceName()`和`setAutoCommit()`方法。`getDataSourceName()`用于传值，`setAutoCommit()`用于确认调用set方法。

       实现过程包括引用`com.sun.rowset.JdbcRowSetImpl`类、设置`dataSourceName`传值以及通过`autoCommit`属性触发执行方法。完成方法确认后，使用`marshalsec`项目启动RMI服务并加载远程类。

       POC的实现步骤如下：首先确认目标是否使用Fastjson且存在漏洞；利用Fastjson的反序列化功能传输引用类和执行方法；使用`com.sun.rowset.JdbcRowSetImpl`执行验证POC的脚本，并观察回显结果；最后，完成漏洞利用。

       具体操作包括搭建环境，如使用CentOS虚拟机作为RMI服务器和远程调用服务，KALI机器作为靶机和抓包测试。进行指纹确认、安装maven、构建RMI服务器和客户端、调用测试文件，并观察DNS日志以验证漏洞成功利用。通过DNS日志确认漏洞利用成功后，可以进一步尝试反弹shell，网易云助手源码实现远程控制。

       综上所述，Fastjson的反序列化漏洞是一个可以被利用的安全问题，通过合理的利用，可以实现远程代码执行。了解和研究这类漏洞有助于增强对Fastjson以及类似技术的防御能力。

宜信开源|漏洞管理平台『洞察』部署指南

       『洞察』是集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。

       『洞察』使用Python语言开发，借助Flask框架、MySQL数据库与Docker容器技术实现部署。

       部署流程包括：

       一、部署与启动MySQL数据库

       二、创建数据库与权限配置

       三、部署并启动APP

       具体步骤如下：

       下载源码

       修改srcpm/config.py配置文件

       修改公司邮箱后缀

       调整邮件CC列表

       配置开发模式和生产模式的邮箱服务器与发件邮箱

       修改mail_sender.py配置

       调整srcpm/app/src/forms.py漏洞来源下拉列表

       项目根目录部署启动APP

       四、初始化数据库

       使用泊坞窗容器配置数据库初始化

       进入搬运工容器命令执行

       创建数据库表，添加超级管理员账号

       启动应用并登录，设置角色权限

       角色权限分配见GitHub开源链接。

       五、访问『洞察』

       主页：.0.0.1:/srcpm/

       登录页面：.0.0.1:/srcpm/au...

       开源地址：github.com/creditease-s...

       内容由宜信技术学院提供。

四款源代码扫描工具

       一、DMSCA-企业级静态源代码扫描分析服务平台

       DMSCA，端玛科技的企业级静态源代码扫描分析服务平台，专注于源代码安全漏洞、质量缺陷及逻辑缺陷的识别、跟踪与修复，为软件开发与测试团队提供专业建议，助力提升软件产品的可靠性与安全性。该平台兼容国际与国内行业合规标准，基于多年静态分析技术研发成果，与国内外知名大学和专家合作，深度分析全球静态分析技术优缺点，saas源码如何授权结合当前开发语言技术现状、源代码缺陷发展趋势与市场，推出新一代源代码企业级分析方案。DMSCA解决了传统静态分析工具的误报率高与漏报问题，为中国提供自主可控的高端源代码安全和质量扫描产品，并支持国家标准（GB/T- Java、GB/T- C/C++、GB/T- C#）。

       二、VeraCode静态源代码扫描分析服务平台

       VeraCode是全球领先的软件安全漏洞与质量缺陷发现平台，广受数千家软件科技公司青睐。

       三、Fortify Scan

       Fortify SCA是一款静态、白盒软件源代码安全测试工具，运用五大主要分析引擎，全面匹配、查找软件源代码中的安全漏洞，整理报告。

       四、Checkmarx

       Checkmarx的CxEnterprise是一款综合的源代码安全扫描与管理方案，提供用户、角色与团队管理、权限管理等企业级源代码安全扫描与管理功能。

微信暗雷源码漏洞

       微信暗雷源码漏洞问题引起广泛关注。在某些所谓的“加入不可描述微信群”的骗局中，用户在支付8元时，支付金额会被篡改为元，7元变元，8元变元。这些情况稍不留意就容易中招。

       在支付过程中，往往要求用户支付8元，许多人在认为金额不大时，被猎奇心理驱使而点击支付。然而，支付界面却显示要支付9元，甚至元！若用户不仔细审阅，便会遭受“偷鸡不成蚀把米”的后果。微信并无付费入群功能，用户实际点击的加群页面是一个欺诈链接。

       这些链接冒充微信入群界面，利用色情内容诱导点击。用户进入的实际上是一个外部链接，显示的9.元支付要求只是骗子篡改网页后的障眼法。骗子利用用户的猎奇心理误导他们支付巨额费用。并且，每次点击的二维码显示的群名称也不同，这在正常情况下不会发生。

       这些问题涉及源码漏洞，用户需提高警惕，仔细审阅支付信息，避免遭受欺诈。同时，平台方应加强安全审核，防止此类漏洞利用于欺诈行为。

CVE--：Binwalk 远程代码执行漏洞

       Binwalk是一款用于搜索二进制镜像文件以提取嵌入文件和代码的工具。

       Binwalk是一款固件分析工具，旨在帮助研究人员进行固件非分析、提取和逆向工程。它简单易用，支持完全自动化脚本，通过自定义签名、提取规则和插件模块进行扩展。

       Part1 漏洞状态

       Part2 漏洞描述

       分析环境:

       Kalix

       Binwalk v2.3.3

       Part3 漏洞复现

       1. 创建一个.pfs文件头，如下，然后打包成exp.zip。

       2. 正常binwalk执行后输出。

       3. 在kali中使用binwalk解析exp.zip，binwalk -M -e exp.zip，并查看结果。

       4. 看到在kali桌面生成了一个_exp.zip.extracted文件夹。文件夹下pfs-root目录下看到.py是我们pfs文件头写的文件名。

       5. 构造验证pfs并打包成exp.zip。

       6. 构造的pfs文件头如下。

       7. 再次在kali中使用binwalk解析exp.zip。

       8. 可以看到binwalk在正常输出之后又输出了rce...字段。证明复现成功！

       Part4 漏洞分析

       什么是PFS文件？

       PFS文件是由PhotoFiltre Studio（图像修饰程序）创建的选择文件。它包含图像编辑器的多边形选择工具使用的坐标，以便在给定坐标之间绘制线。PFS文件以纯文本格式存储。

       漏洞源代码

       问题出现在红框内部的代码。

       在解析pfs文件头时，会把pfs文件头内部的文件名和out_dir拼接。拼接之后默认走else代码分支，并且对特殊符号没有校验，导致可以使用../符号路径穿越。再利用binwalk的plugins功能，就可以释放py文件到binwalk的plugins目录下，从而实现代码执行。

       Part5 修复建议

       1. 将Binwalk软件升级到最新的2.3.4版本。

       2. 代码要检测特殊符号，防止路径穿越。

干货 | 一款开源自动化安全漏洞利用和测试工具Metasploit超详细快速入门指南

       Metasploit框架详解：自动化安全漏洞利用与测试的入门教程

       Metasploit，全称为Metasploit Framework，是一个高度模块化的开源工具，因其在安全漏洞利用和测试中的广泛应用而广受欢迎。它集成了一系列常见平台的溢出漏洞和流行的shellcode，并持续更新，覆盖渗透测试的整个过程，能通过内置的Payload执行渗透测试。

       作为一款免费的开源项目，Metasploit的核心代码大部分由Rudy实现，部分使用汇编和C语言。你可以从github.com/rapid7/metaspo...下载它的源代码。在Kali Linux等安全工具中，Metasploit默认预装，其文件结构位于/usr/share/metasploit-framework/，包括exploits（渗透攻击模块）、payloads（攻击载荷）、auxiliary（辅助功能）、nops（空指令）、encoders（编码器）和post（后渗透攻击）等模块。

       在Metasploit中，exploits模块用于执行渗透攻击，auxiliary模块则提供扫描和指纹识别等辅助功能，而post模块则在控制目标系统后进行进一步操作，如数据获取、权限提升等。例如，你可以通过ms-漏洞利用模块，使用Nmap扫描工具检测目标机是否存在漏洞，然后通过设置payload和执行攻击来获取目标机的shell控制。

       Meterpreter是Metasploit V4后的关键组件，提供后渗透攻击的执行通道，支持多种操作，如屏幕截图、系统信息收集、权限提升等。通过执行不同的脚本，你可以进行远程桌面连接、内存迁移等操作，以保持对目标系统的持续控制。

常见的Web源码泄漏及其利用

       Web源码泄漏漏洞及利用方法

       Git源码泄露是由于在执行git init初始化目录时，会在当前目录下自动创建一个.git目录，用于记录代码变更等信息。若未将.git目录删除即发布到服务器，攻击者可通过此目录恢复源代码。修复建议：删除.git目录或修改中间件配置以隐藏.git隐藏文件夹。

       SVN源码泄露源于其使用过程中自动生成的.svn隐藏文件夹，包含重要源代码信息。若网站管理员直接复制代码文件夹至WEB服务器，暴露.svn隐藏文件夹，攻击者可利用.svn/entries文件获取服务器源码。修复方法：删除web目录中的所有.svn隐藏文件夹，严格使用SVN导出功能，避免直接复制代码。

       Mercurial（hg）源码泄露通过生成的.hg文件暴露，漏洞利用工具为dvcs-ripper。运行示例需具体说明。

       CVS泄露主要针对CVS/Root和CVS/Entries目录，直接暴露泄露信息。修复工具为dvcs-ripper，运行示例同样需具体说明。

       Bazaar/bzr泄露为版本控制工具泄露问题，因其不常见但多平台支持，同样存在通过特定目录暴露源码的风险。具体修复方法与运行示例需进一步说明。

       网站备份压缩文件泄露是管理员将备份文件直接存放于Web目录，攻击者通过猜测文件路径下载，导致源代码泄露。常见备份文件后缀需具体列出，利用工具御剑用于这类漏洞的利用。

       WEB-INF/web.xml泄露暴露了Java WEB应用的安全目录，若直接访问其中文件需通过web.xml文件映射。WEB-INF目录主要包括文件或目录，通过web.xml文件推断类文件路径，最后直接访问类文件，通过反编译得到网站源码。

       .DS_Store文件泄露源于Mac系统中Finder保存文件展示数据的文件，每个文件夹下对应一个。若上传部署到服务器，可能造成文件目录结构泄漏，特别是备份文件、源代码文件的泄露。利用工具为github.com/lijiejie/ds_...

       SWP文件泄露为编辑文件时产生的临时文件，是隐藏文件，若程序意外退出则保留。直接访问并下载.swp文件，删除末尾的.swp后，可获得源码文件。

       GitHub源码泄露通过关键词搜索功能，容易找到目标站点的敏感信息，甚至下载网站源码。此类泄露源自代码托管平台，需注意个人代码管理安全。

       总结，Web源码泄漏涉及多个环节，从代码版本控制到备份存储，再到代码托管平台，每个环节都可能成为攻击点。修复策略包括删除隐藏文件、严格使用版本控制功能、加强代码备份安全措施以及提高代码托管平台安全意识。