CrushFTP 认证绕过（CVE-2025-2825）

置顶 | 发表于 2025-04-28 更新于 2025-07-29 分类于漏洞分析
本文字数： 355 阅读时长 ≈ 1 分钟

漏洞成因

在crushftp.server.ServerSessionHTTP.handle_http_requests方法中对用户名有特殊处理。
当用户名中不包含~的时候 lookup_user_pass的值为true

boolean lookup_user_pass = true;
                if (s3_username.indexOf("~") >= 0) {
                    user_pass = s3_username.substring(s3_username.indexOf("~") + 1);
                    user_name = s3_username.substring(0, s3_username.indexOf("~"));
                    lookup_user_pass = false;
                }

后面在调用 login_user_pass 方法的时候传入的第一个参数就是lookup_user_pass

1	this.thisSession.login_user_pass(lookup_user_pass, false, user_name, user_pass))

阅读全文 »

Apache Struts2 S2-066 任意文件上传漏洞（CVE-2023-50164）

置顶 | 发表于 2025-04-25 更新于 2025-07-29 分类于漏洞分析
本文字数： 2k 阅读时长 ≈ 7 分钟

本文介绍了 Apache Struts2 S2-066 任意文件上传漏洞（CVE-2023-50164）的漏洞成因及修复方案

阅读全文 »

Tomcat 条件竞争导致远程代码执行（CVE-2024-50379/CVE-2024-56337）

置顶 | 发表于 2025-04-24 更新于 2025-07-29 分类于漏洞分析
本文字数： 3k 阅读时长 ≈ 11 分钟

本文分析了 Tomcat 条件竞争导致远程代码执行（CVE-2024-50379/CVE-2024-56337）的漏洞成因以及修复方案

阅读全文 »

WebFlux集成Spring-Security受限静态资源访问授权绕过（CVE-2024-38821）

置顶 | 发表于 2025-04-23 更新于 2025-07-29 分类于漏洞分析
本文字数： 2.3k 阅读时长 ≈ 9 分钟

本文分析了WebFlux集成Spring-Security受限静态资源访问授权绕过（CVE-2024-38821）的漏洞成因以及修复方案

阅读全文 »

Spring-Security-EnableMethodSecurity注解授权绕过（CVE-2025-22223）

置顶 | 发表于 2025-04-22 更新于 2025-07-29 分类于漏洞分析， spring
本文字数： 1.7k 阅读时长 ≈ 6 分钟

本文介绍了CVE-2025-22223: Spring Security authorization bypass for method security annotations on parameterized types 漏洞的漏洞原理以及修复措施

阅读全文 »

Spring-Security大小写敏感比较授权绕过（CVE-2024-38827）

置顶 | 发表于 2025-04-23 更新于 2025-07-29 分类于漏洞分析
本文字数： 801 阅读时长 ≈ 3 分钟

Spring-Security大小写敏感比较授权绕过（CVE-2024-38827）

阅读全文 »

Java-Gadgets搜索工具是如何工作的-Gadget Inspector

置顶 | 发表于 2025-04-11 更新于 2025-07-29 分类于漏挖工具
本文字数： 9.8k 阅读时长 ≈ 36 分钟

Java Gadgets 搜索工具是如何工作的（Gadget Inspector）

Gadget Inspector 由 Ian Haken 于 2018 年 8 月在 DEF CON 上发布，其发布开创了Gadget 自动化挖掘的先河。Gadget Inspector 依靠Java ASM
技术，通过静态模拟 Java 程序运行过程中操作数栈以及局部变量表的动态变化来进行数据流跟踪从而实现污点分析进而进行Gadgets探测。

检测原理

Gadget Inspector 的核心逻辑包含5个步骤，分别是类信息分析、数据传播分析、调用图构造、入口探测以及Gadgets串联。
在第一步中 Gadget Inspector 利用 MethodDiscovery 类对当前环境中所有类的方法、成员、继承结构进行解析并集中存储在特定的数据结构中以便后续进行
数据传播分析以及调用图构造。
在第二步中 Gadget Inspector 利用 PassthroughDiscovery 类运用深度优先算法、逆拓扑排序等方式进行数据流分析从而确认方法入参与返回值的关系，
即入参是否能够污染到返回值，其根本目的在于确认关键参数是否可以被攻击者控制。
在第三步中 Gadget Inspector 通过 Java ASM 技术构造方法调用图，其目的在于确认主调方法与被调用方法参数之间的关系。
第四步中 Gadget Inspector 通过 SourceDiscovery 针对不同的夫序列化类型进行分发，通过对比第一步中形成的methodMap中存储的方法信息与预定义
的反序列化 Gadget Source点进行比较，从而确定当前项目中可被使用的反序列化入口方法。
在第五步中 Gadget Inspector 开始从Source点开始遍历调用图，直到找到一个方法与预定义的sink点相匹配则说明Gadget Inspector 找到了一条可以
使用的反序列化调用链。

阅读全文 »

Scala代码审计从入门到入坟

置顶 | 发表于 2025-04-11 更新于 2025-07-29 分类于漏洞原理，代码审计
本文字数： 8.9k 阅读时长 ≈ 32 分钟

Scala代码审计从入门到入坟

引言

Scala 是一门多范式的编程语言，集成了面向对象编程和函数式编程的多种特性。函数式编程抽象的理论基础也让这门语言变得抽象起来，初学者需要花更多的时间去理解其特有概念以及众多的语法糖。Scala是一门运行在JVM平台上的语言，其源码编译结果符合Java字节码规范，所以可以被反编译为Java代码。在进行Scala代码审计的过程中，审计者很少有机会直面其源码，大多数时候都是被反编译为Java的代码所支配。Scala与Java毕竟是两门语言，反编译成Java代码的后果便是丧失了动态调试的能力（这为审计者带来了不小的麻烦），反编译后产生的中间代码、临时变量等辅助结构更是极大得降低了代码的可读性。本文将带领诸位抽丝剥茧逐步梳理出Scala各语法结构与Java语法结构对应关系，然后以两个漏洞的分析结尾。

阅读全文 »

Spring Kafka 消息头反序列化漏洞（CVE-2023-34040）

置顶 | 发表于 2025-04-10 更新于 2025-07-29 分类于漏洞分析，安全技术
本文字数： 2.2k 阅读时长 ≈ 8 分钟

Spring Kafka消息头反序列化漏洞（CVE-2023-34040）

产品介绍

Spring for Apache Kafka (Spring - Kafka)项目将Spring的核心概念应用于基于Kafka的消息传递解决方案的开发。它提供了一个“template”作为发送消息的高级抽象。它还支持带有@KafkaListener注解和“listener container”的消息驱动POJOs 。这些库提倡使用依赖注入和声明式的使用方式。所有这些例子都与Spring框架的JMS支持和Spring AMQP对RabbitMQ的支持有相似之处。

漏洞概述

当Kafka应用服务器允许一个不受信任的源的生产消息的时候，若其能够控制消息的headers，则可能导致一个反序列化漏洞的发生。

阅读全文 »

Nacos 文件上传功能条件竞争RCE

发表于 2025-05-15 更新于 2025-07-29
本文字数： 9 阅读时长 ≈ 1 分钟

https://uzzju.com/post/87.java
https://rivers.chaitin.cn/blog/cqcu0eh0lnee0vjd59i0