WEB漏洞分析与防范实战：卷2

（1）作者背景权威：知道创宇是中国网络安全领域头部企业，中国网络安全领域竞争力50强，中国网络安全领域创新能力10强，“专精特新”小巨人企业。
（2）作者经验丰富：知道创宇创始人兼CEO赵伟、CTO杨冀龙领衔撰写，知道创宇404实验室是业内知名网络安全团队。
（3）案例和方法并重：基于知道创宇404实验室的真实案例，全面剖析常见漏洞的形成原因、攻击方法和防御策略。
（4）思想和技术兼备：体现安全防御基本思想，从基础原理到技术全覆盖，重点介绍现代防御体系中具有代表性的领域的基本防御思路、防御效果和常用工具。

·内容简介·

知道创宇核心的安全研究部门，持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。
本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础，结合团队多年的网络安全研究和实践经验，延续了《Web漏洞分析与防范实战：卷1》的实战性和系统性，进一步深入探讨了Web安全领域中的高危漏洞类型及其防御策略。书中以实际漏洞案例为切入点，通过四个章节详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中的漏洞成因、攻击路径和防御策略，使读者能够直观地理解这些漏洞的危险性和应对方法。
本书主要由四大章节构成。
第1章通过实际漏洞案例介绍远程命令执行漏洞，并介绍漏洞补丁被绕过的原因、绕过方法及防护建议。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因、带来的影响及防护建议。
第3章介绍PHP、Java和.NET这三种常见语言中出现过的漏洞案例，以及各种反序列化漏洞利用技巧，同时给出了防护建议。
第4章从Web应用的后门开始，深入探究到PyPI库中的恶意库、phpStudy的后门，介绍后门代码的逻辑、相关事件所带来的影响及防护建议。
无论是初学者，还是追求进一步提升专业技能的从业人员，都能从中获得宝贵的知识和指导。

目　　录　Contents　
前言
第1章　命令执行漏洞1
1.1　PHPMailer中escapeshellarg +
　　 　 escapeshellcmd之殇（CVE-
　　 　 2016-10045）1
1.1.1　漏洞复现2
1.1.2　修复方案4
1.1.3　参考链接4
1.2　KDE 4/5命令执行漏洞（CVE-
　　2019-14744）简析5
1.2.1　漏洞复现5
1.2.2　漏洞原理简析8
1.2.3　修复方案10
1.2.4　小结10
1.2.5　参考链接11
1.3　Gitea远程命令执行漏洞（CVE-
　　2019-11229）详细分析11
1.3.1　分析补丁12
1.3.2　控制git config13
1.3.3　进一步利用14
1.3.4　通过写文件配合Git钩子
　　　功能来实现远程命令执行14
1.3.5　通过控制git config来实现
　　　　远程命令执行15
1.3.6　小结17
1.3.7　参考链接18
1.4　Redis基于主从复制的远程命令
　　执行漏洞利用方式18
1.4.1　通过文件写入实现Getshell18
1.4.2　通过主从复制实现Getshell19
1.4.3　防御措施20
1.4.4　参考链接21
1.5　Git子模块漏洞（CVE-2018-
　　 17456）分析21
1.5.1　收集资料21
1.5.2　研究分析22
1.5.3　修复方案26
1.5.4　小结26
1.5.5　参考链接27
1.6　YApi 远程命令执行漏洞分析27
1.6.1　漏洞复现27
1.6.2　漏洞分析28
1.6.3　修复方案30
1.6.4　参考链接30
1.7　Rocket.Chat 远程命令执行漏洞
　　分析30
1.7.1　漏洞复现31
1.7.2　漏洞分析31
1.7.3　漏洞利用32
1.7.4　修复方案35
1.7.5　参考链接35
1.8　F5 BIG-IP 未授权远程命令执行
　　漏洞（CVE-2022-1388）分析35
1.8.1　补丁分析35
1.8.2　漏洞分析38
1.8.3　变种PoC的探讨40
1.8.4　修复方案40
1.8.5　参考链接40
1.9　Spring Security OAuth远程命令
　　执行漏洞（CVE-2016-4977）
　　分析40
1.9.1　漏洞复现41
1.9.2　修复方案44
1.9.3　参考链接45
1.10　Nexus Repository Manager 2.x
　　 　命令注入漏洞（CVE-2019-5475）
　　 　两次绕过45
1.10.1　原始漏洞分析46
1.10.2　第一次绕过分析48
1.10.3　第二次绕过分析51
1.10.4　第二次绕过分析补充55
1.10.5　最新版本下的分析57
1.10.6　修复方案59
1.10.7　参考链接59
第2章　代码执行漏洞60
2.1　ECShop 0day的攻击之路60
2.1.1　ECShop 2.7.3中的漏洞分析61
2.1.2　网络空间攻击行为分析70
2.1.3　漏洞影响范围72
2.1.4　修复方案73
2.1.5　参考链接73
2.2　PHPMailer 5.2.18及以下版本
　　远程代码执行漏洞（CVE-2016-
　　10033）分析74
2.2.1　漏洞分析74
2.2.2　修复方案79
2.2.3　参考链接79
2.3　PHP-FPM远程代码执行漏洞
　　（CVE-2019-11043）分析79
2.3.1　漏洞复现79
2.3.2　漏洞分析80
2.3.3　修复方案86
2.3.4　参考链接87
2.4　ThinkPHP 5远程代码执行漏洞
　　分析87
2.4.1　漏洞分析88
2.4.2　实际攻击分析91
2.4.3　小结93
2.4.4　修复方案93
2.4.5　参考链接93
2.5　Nagios Core代码执行漏洞
　　（CVE-2016-9565）分析93
2.5.1　漏洞复现94
2.5.2　修复方案97
2.5.3　参考链接97
2.6　Webmin远程代码执行漏洞
　　（CVE-2019-15107）之后门探究97
2.6.1　漏洞复现98
2.6.2　漏洞点分析100
2.6.3　深入探索103
2.6.4　验证想法105
2.6.5　修复方案105
2.6.6　参考链接106
2.7　聊聊WordPress 5.1.1 CSRF到
　　RCE 漏洞106
2.7.1　关于WordPress防护106
2.7.2　关于CSRF到RCE 漏洞107
2.7.3　漏洞要求108
2.7.4　漏洞复现108
2.7.5　从漏洞补丁看漏洞分析109
2.7.6　修复方案111
2.7.7　参考链接112
2.8　WordPress 4.6.1及以下版本
　　使用语言文件任意代码执行
　　漏洞分析112
2.8.1　漏洞复现113
2.8.2　修复方案114
2.8.3　参考链接115
2.9　WordPress 5.0 RCE漏洞（CVE-
　　2019-6977）详细分析116
2.9.1　漏洞要求116
2.9.2　漏洞复现116
2.9.3　详细分析120
2.9.4　漏洞利用120
2.9.5　修复方案127
2.9.6　参考链接127
2.10　Vim/Neovim 基于Modeline 的
　　　多个任意代码执行漏洞（CVE-
　　　2002-1377、CVE-2016-1248、
　　　CVE-2019-12735）分析128
2.10.1　Modeline 详解128
2.10.2　CVE-2002-1377漏洞131
2.10.3　CVE-2016-1248漏洞132
2.10.4　CVE-2019-12735漏洞134
2.10.5　修复方案135
2.10.6　参考链接136
2.11　GNU tar解压路径绕过漏洞
　　 （CVE-2016-6321）分析136
2.11.1　漏洞细节136
2.11.2　漏洞检测方法140
2.11.3　修复方案140
2.11.4　参考链接140
2.12　Typecho前台Getshell漏洞
　　　分析141
2.12.1　漏洞复现141
2.12.2　漏洞分析142
2.12.3　PoC146
2.12.4　修复方案147
2.12.5　参考链接147
2.13　空指针Web公开赛之Discuz!
　　　3.4实战渗透148
2.13.1　Authkey的作用148
2.13.2　Windows短文件名安全
　　　　问题149
2.13.3　uc.php文件提供的API
　　　　利用149
2.13.4　如何进入Discuz!后台150
2.13.5　后台Getshell155
2.13.6　防御措施156
2.13.7　参考链接157
2.14　Apache Struts 2远程命令执行
　　　漏洞（CVE-2017-5638）分析157
2.14.1　漏洞分析158
2.14.2　动态分析159
2.14.3　修复方案163
2.14.4　参考链接163
2.15　Apache Solr DataImportHandler
　　　远程代码执行漏洞(CVE-2019-
　　　0193) 分析163
2.15.1　测试环境163
2.15.2　相关概念164
2.15.3　PoC进化历程169
2.15.4　修复方案175
2.15.5　参考链接175
2.16　Confluence未授权远程代码执行
　　　漏洞（CVE-2019-3396）分析175
2.16.1　漏洞分析175
2.16.2　漏洞影响190
2.16.3　漏洞检测191
2.16.4　修复方案193
2.16.5　参考链接193
2.17　Adobe ColdFusion远程代码执行
　　　漏洞（CVE-2019-7839）分析193
2.17.1　漏洞影响193
2.17.2　漏洞分析193
2.17.3　修复方案199
2.18　Nexus Repository Manager 3
　　　表达式解析漏洞199
2.18.1　测试环境200
2.18.2　漏洞补丁对比200
2.18.3　路由以及对应的处理类201
2.18.4　buildConstraintViolation-
　　　WithTemplate造成的Java
　　　 EL漏洞203
2.18.5　JXEL造成的漏洞（CVE-
　　　　2019-7238）214
2.18.6　修复方案215
2.19　通达OA 代码审计篇一：11.7
　　　版本有条件的任意代码执行
　　　漏洞216
2.19.1　有条件的任意用户登录216
2.19.2　低权限文件上传+低权限
　　　　目录穿越217
2.19.3　任意文件包含漏洞221
2.19.4　修复方案222
2.20　通达OA 代码审计篇二：11.8
　　　版本后台Getshell漏洞222
2.20.1　后台Getshell223
2.20.2　漏洞验证225
2.20.3　修复方案226
第3章　反序列化漏洞227
3.1　SugarCRM 6.5.23中PHP反
　　　序列化对象注入漏洞分析227
3.1.1　漏洞复现227
3.1.2　修复方案232
3.1.3　参考链接232
3.2　利用Phar拓展PHP反序列化
　　　漏洞攻击面233
3.2.1　原理分析233
3.2.2　实际利用236
3.2.3　修复方案241
3.2.4　参考链接241
3.3　ThinkPHP 反序列化利用链
　　　深入分析241
3.3.1　漏洞挖掘思路242
3.3.2　漏洞分析242
3.3.3　代码执行漏洞点分析246
3.3.4　修复方案251
3.3.5　参考链接252
3.4　从反序列化到类型混淆漏洞—
　ECShop 实例利用252
3.4.1　GMP类型混淆漏洞252
3.4.2　案例256
3.4.3　修复方案260
3.4.4　参考链接260
3.5　TYPO3反序列化漏洞（CVE-
　　2019-12747）分析260
3.5.1　测试环境简述261
3.5.2　TCA261
3.5.3　漏洞分析262
3.5.4　修复方案277
3.5.5　参考链接277
3.6　F5 BIG-IP HSQLDB远程代码
　　执行漏洞（CVE-2020-5902）
　　分析278
3.6.1　利用源码搭建一个HSQLDB
　　　HTTP Servlet278
3.6.2　利用requests发包模拟
　　　HSQLDB远程代码执行
　　　漏洞282
3.6.3　反序列化触发位置283
3.6.4　F5 BIG-IP HSQLDB调试283
3.6.5　F5 BIG-IP HSQLDB回显284
3.6.6　HSQLDB的连接安全隐患284
3.6.7　修复方案284
3.6.8　参考链接284
3.7　Apache Dubbo Hessian2 异常处
　　理时反序列化漏洞（CVE-2021-
　　43297）分析285
3.7.1　补丁分析285
3.7.2　漏洞环境286
3.7.3　漏洞分析286
3.7.4　修复方案296
3.7.5　参考链接296
3.8　Shiro RememberMe 1.2.4反序列
　　化导致的代码执行漏洞分析296
3.8.1　漏洞还原296
3.8.2　漏洞分析297
3.8.3　修复方案302
3.8.4　参考链接302
3.9　Fastjson 反序列化漏洞分析303
3.9.1　Fastjson漏洞解析流程303
3.9.2　Fastjson 样例测试304
3.9.3　Fastjson漏洞版本线313
3.9.4　探测Fastjson327
3.9.5　一些可以实现RCE的
　　　Fastjson Payload328
3.9.6　修复方案332
3.9.7　参考链接332
3.10　Liferay Portal JSON Web
　　　Service反序列化漏洞
　　　（CVE-2020-7961）分析333
3.10.1　JODD序列化与反序列化333
3.10.2　Liferay对JODD的包装337
3.10.3　Liferay 漏洞分析340
3.10.4　补丁分析344
3.10.5　修复方案346
3.10.6　参考链接346
3.11　Oracle WebLogic反序列化漏洞
　　（CVE-2018-2628）漫谈346
3.11.1　漏洞影响版本347
3.11.2　WebLogic反序列化漏洞
　　　　历程347
3.11.3　CVE-2018-2628 漏洞分析348
3.11.4　另外一种绕过CVE-2017-
　　　　3248漏洞补丁的方式350
3.11.5　CVE-2018-2628补丁分析351
3.11.6　修复方案351
3.11.7　参考链接352
3.12　WebLogic远程代码执行漏洞
　　　（CVE-2019-2725）分析352
3.12.1　漏洞分析352
3.12.2　修复方案367
3.12.3　参考链接367
3.13　WebLogic Coherence
　　　UniversalExtractor
　　　反序列化漏洞（CVE-
　　　2020-14645）分析367
3.13.1　CVE-2020-2883漏洞368
3.13.2　CVE-2020-14645漏洞368
3.13.3　修复方案378
3.13.4　参考链接379
3.14　WebLogic 12C T3 协议入口远程
　　　代码执行漏洞漫谈379
3.14.1　环境搭建379
3.14.2　漏洞影响版本379
3.14.3　漏洞成因380
3.14.4　T3协议380
3.14.5　CVE-2020-2555漏洞382
3.14.6　CVE-2020-2555漏洞补丁390
3.14.7　CVE-2020-2883漏洞391
3.14.8　CVE-2020-2883漏洞补丁394
3.14.9　CVE-2020-14645漏洞394
3.14.10　CVE-2020-14645漏洞防护
　　　　方案398
3.14.11　参考链接399
3.15　.NET反序列化原理学习399
3.15.1　TypeConfuseDelegate工具链399
3.15.2　ActivitySurrogateSelector-
　　　　Generator 工具链407
3.15.3　ObjectDataProvider工具链422
3.15.4　TextFormattingRunProperties
　 　　　工具链433
3.15.5　防护建议437
3.15.6　参考链接437
3.16　.NET 反序列化漏洞之
　　　ViewState 利用437
3.16.1　调试.NET框架438
3.16.2　ViewState基础知识440
3.16.3　web.config 中关于ViewState
　　　　的配置442
3.16.4　ViewState的生成和解析流程443
3.16.5　 GetEncodedData 签名函数448
3.16.6　EncryptOrDecryptData加/
　　　　解密函数452
3.16.7　modifier 的来历457
3.16.8　伪造ViewState459
3.16.9　防护建议459
3.16.10　参考链接460
3.17　.NET反序列化学习之
　　　DataContractSerializer460
3.17.1　DataContractSerializer 的
　　　　两种漏洞情形460
3.17.2　DataContractResolver类461
3.17.3　测试程序464
3.17.4　防护建议466
3.17.5　参考链接466
第4章　供应链攻击467
4.1　WordPress functions.php 主题
　　文件后门分析467
4.1.1　漏洞详解467
4.1.2　漏洞影响及溯源470
4.1.3　受感染主机数据分析471
4.1.4　防护建议474
4.1.5　参考链接474
4.2　Python包钓鱼474
4.2.1　Python包钓鱼简析475
4.2.2　钓鱼数据分析477
4.2.3　后续钓鱼事件482
4.2.4　防护建议483
4.2.5　参考链接483
4.3　phpStudy 后门分析483
4.3.1　后门分析483
4.3.2　知道创宇云防御数据489
4.3.3　防护建议490
4.3.4　参考链接490
4.4　判定依赖中的暗影“幽灵”490
4.4.1　隐秘角落的“幽灵”490
4.4.2　捕捉与判定“幽灵”491
4.4.3　Source项目依赖管理494
4.4.4　对检测出的漏洞依赖进行
　　　分组497
4.4.5　整体检测架构497
4.4.6　Demo测试497
4.4.7　防护建议497