离别歌

昨天申请并通过了OpenAI的个人认证，加上前段时间以开源贡献者的身份申请了OpenAI和Anthropic的赞助，分别获取了两家的max会员半年，我会写几篇文章，分别分享一下Codex Security的使用体验、Codex和Claude Code的对比、GPT Cyber模型的使用体验等。为此，我还专门做了一份PPT给老板们介绍，我想我们做的这个东西既发展了大模型的特长，又规避了大模型的问题（这里的问题主要指的是在长上下文时的注意力问题），结合传统SAST效果确实不错。

我的显卡是NVIDIA GeForce GTX 1660 SUPER，已经属于比较老的显卡了，所以我选择下载“ggml-medium-q8_0.bin”这个模型，在medium的基础上再进行8 bit量化，缩小了体积和内存占用，但效果测试下来还不错。更好的方案是使用现在的大语言模型进行翻译，我这里就推荐Google Gemini，其在保证功能强大的基础上，还能做到非常低廉的价格，使用起来也很方便。的问题，这反应在Whisper中就是，当需要识别的语音太长时，前半部分的效果还可以，但后面可能就会变差。

其他环境的Jenkins的相关细节会有许多不同，比如，旧版本Jenkins用户密码是加密而不是哈希，可以利用诸如jenkins-decrypt这样的工具来解密密码，还可以利用一些插件来进一步攻击。本来是一个很常见的功能，但设计中神奇的是，用户使用jenkins-cli.jar时，命令行是传到服务端解析的，而不是在jenkins-cli.jar里解析。而正常来说，Linux系统下部署的Jenkins都是默认的UTF-8字符集，而部分Windows下部署的Jenkins可能会是其他字符集。

最后总结一下，这个文章分析了pgAdmin在同一个API上跨越了三年的三个漏洞（CVE-2022-4223、CVE-2023-5002、CVE-2024-3116）。所以，上述文章中给出的那个运行在Linux下的C程序（使用curl来验证漏洞是否存在），是肯定无法执行的，不知道作者是如何复现漏洞的。中命令列表的文件名位置，虽然无法继续进行命令注入了，但因为这里仍然执行了用户输入的文件，如果我们上传一个文件名是“psql”的可执行文件，是否可以仍然执行任意代码？所以，这个漏洞其实只能影响Windows环境。

再结合我们在0x02中学习到的setter方法，我们可以尝试在Java中找到一个接口或抽象类，其包含setter，我将这个setter重写成eval函数，就可以在执行赋值语句的时候执行任意代码了。本文介绍了如何在不使用小括号、中括号的情况下，利用Nashorn脚本特性构造了一个结合JavaScript和Java两门语言特点的Payload，最终执行任意代码和命令的方法。当然，Fastjson各个利用链都有自己的不足，有的需要连接外网，有的有Java版本限制，有的只能写文件，有的依赖第三方库。

这里分享一条我找到的不需要三方库的链, 注意虽然不需要三方库, 但只能在 openjdk >= 11 下利用, 因为只有这些版本没去掉符号信息. fastjson 在类没有无参数构造函数时, 如果其他构造函数是有符号信息的话也是可以调用的, 所以可以多利用一些内部类, 但是 openjdk 8, 包括 oracle jdk 都是不带这些信息的, 导致无法反序列化, 自然也就无法利用. 所以相对比较鸡肋, 仅供学习。在Java 8下，内部类没有符号信息，函数参数也就没有名称，导致这个利用链变得鸡肋。

我的显卡是NVIDIA GeForce GTX 1660 SUPER，已经属于比较老的显卡了，所以我选择下载“ggml-medium-q8_0.bin”这个模型，在medium的基础上再进行8 bit量化，缩小了体积和内存占用，但效果测试下来还不错。更好的方案是使用现在的大语言模型进行翻译，我这里就推荐Google Gemini，其在保证功能强大的基础上，还能做到非常低廉的价格，使用起来也很方便。的问题，这反应在Whisper中就是，当需要识别的语音太长时，前半部分的效果还可以，但后面可能就会变差。

如果当前环境是一个普通Tomcat，这里就可以直接写jsp了，但是我们的环境是Springboot，写文件后仍然需要通过ClassPathXmlApplicationContext来利用。由于本文集成了数人的研究成果，可能有所遗漏，或者我理解不到位导致的错误，存在问题的地方还请向我反馈。但对于单文件Springboot来说，此时Tomcat是嵌入式的并不存在安装目录，所以此时临时文件将会存储在系统临时目录下的一个子目录中的work目录下，比如上面图中的。，很明显这里对路径进行了一次环境变量的解析。

这里分享一条我找到的不需要三方库的链, 注意虽然不需要三方库, 但只能在 openjdk >= 11 下利用, 因为只有这些版本没去掉符号信息. fastjson 在类没有无参数构造函数时, 如果其他构造函数是有符号信息的话也是可以调用的, 所以可以多利用一些内部类, 但是 openjdk 8, 包括 oracle jdk 都是不带这些信息的, 导致无法反序列化, 自然也就无法利用. 所以相对比较鸡肋, 仅供学习。在Java 8下，内部类没有符号信息，函数参数也就没有名称，导致这个利用链变得鸡肋。

好久没有写文章了，今天就给大家汇报一下Vulhub项目最近的一些进展。最大的进展或者说变化，其实用下面这张图就可以反映出来：这是Vulhub项目组的Github首页，大家可以从这张图上看到两个亮点：1. Java Chains正式成为Vulhub项目组下的子项目2. Vulhub最近进行了大量更新，这是为什么呢？Java-Chains相信大家已经知道Java-Chains这个项目有一段时间了，项目...

前段时间看到群友问了这样一个问题：ldap:和rmi:关键字被拦截了，是否还可以进行JNDI注入。方法很简单，就是使用ldaps，但后来发现很多人并不知道怎么搭建LDAPS服务器，正好CoNote里有这个功能，写篇简单的文章讲讲。0x01 LDAPs是什么在Java JNDI注入的过程中，用户传入一个URL，Java会根据URL的scheme来判断具体使用哪个包来处理，这些包的位置在com.sun...

昨天『代码审计』知识星球里有同学向我提了一个有趣的问题：简单来说就是，在Java的Nashorn脚本中，如果不允许使用小括号(、)和中括号[、]，如何执行任意命令？0x01 浏览器JavaScript无括号XSS我们知道，Nashorn脚本本质上是JavaScript，而无括号的XSS Payload其实是一个老问题了。因为JavaScript在执行函数的时候需要使用括号，所以解决问题的核心其实就...

前几天看到pgAdmin发布了新漏洞，《CVE-2024-3116 – Remote Code Execution Vulnerability in pgAdmin - PostgreSQL Tools (<=8.4): Detailed Analysis Report》。看了这个漏洞利用的过程，我总感觉有所不对，我也在『代码审计』知识星球里发表了相关疑问。随后，我研究了一下这个漏洞的来龙去...

「代码审计」知识星球中@1ue 发表了一篇有趣的文章《探索Java反序列化绕WAF新姿势》，深入研究了一下其中的原理，我发现这是一个对我来说很“新”，但实际上年纪已经很大的Trick。0x01 UTF-8编码原理UTF-8是现在最流行的编码方式，它可以将unicode码表里的所有字符，用某种计算方式转换成长度是1到4位字节的字符。参考这个表格，我们就可以很轻松地将unicode码转换成UTF-8编...

Jenkins 未授权文件读取漏洞（CVE-2024-23897）上周闹得沸沸扬扬，我也来简单分析一下这个漏洞，并看看这个文件读取如何利用。首先说的是，由于Jenkins存在版本和插件差异，所以利用时可能也有不一样之处，本文内容不一定适用于所有Jenkins server。我们这里使用Vulhub的环境（2.441）来做分析和演示：https://github.com/vulhub/vulhub/...

最新的Apache OFBiz XML-RPC 反序列化漏洞，讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架，它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年，Apache OFBiz就曾出现过一个反序列化漏洞（CVE-2020-9496），问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目，但基本上在2010年前后就不更新了，...

大家都知道，2023年不管是对于国内还是国外的互联网公司都是不容易的一年，对于我们Shopee安全团队来说也是充满挑战和机遇的一年——我们仍在不停地成长。这个月我们新增加了几个与安全运营、漏洞攻防相关的岗位，面向全球安全从业者开放申请。这几个岗位的工作地点都在新加坡，我们可以提供：新加坡工作签证和在新加坡本地具有较强竞争力的待遇为海外员工提供安置费用（Relocation Package）超多的假...

今天下午在v2ex上看到一个帖子，讲述自己因为忘记加分布式锁导致了公司的损失：我曾在《从Pwnhub诞生聊Django安全编码》一文中描述过关于商城逻辑所涉及的安全问题，其中就包含并发漏洞（Race Condition）的防御，但当时说的比较简洁，也没有演示实际的攻击过程与危害。今天就以v2ex上这个帖子的场景来讲讲，常见的存在漏洞的Django代码，与我们如何正确防御竞争漏洞的方法。0x01 P...

相信大部分人也知道了，最近我作为作者之一的新书《Web漏洞解析与攻防实战》出版了：这本书其实是王放和大家2019年在长亭时候就牵头做的一个事情了，虽然放师傅后来离开了长亭，但他仍然在坚持完成编写，推动图书的出版，最终让《Web漏洞解析与攻防实战》在2023年能与大家见面。说来惭愧，我在其中的贡献不算太多，但很高兴的是我们成功让Vulhub作为了本书实战案例演示的平台。大部分章节后面都配有至少一个V...

Jumpserver是中国国内公司开发的一个开源项目，在开源堡垒机领域一家独大。在2023年9月官方集中修复了一系列安全问题，其中涉及到如下安全漏洞：JumpServer 重置密码验证码可被计算推演的漏洞，CVE编号为CVE-2023-42820JumpServer 重置密码验证码可被暴力破解的漏洞，CVE编号为CVE-2023-43650JumpServer 认证用户跨目录任意文件读取漏洞，CV...