搜索到
15
篇与
的结果
-
从CVE-2025-30208看任意文件读取利用 0# 概述师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞。刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974 Kubernetes Ingress-Nginx Admission Controller RCE Escalation,是危害性极大的高危漏洞,在内网渗透中能直接击穿K8S集群。这些高危漏洞其实分析文章很多,看国内外众多大佬的分析都非常精彩,这里我也不献丑了。但引起我关注的漏洞是 CVE-2025-30208 Vite Development Server Arbitrary File Read 这个任意文件读取漏洞。其实我们很多时候都轻视了任意文件读取漏洞,特别是很多刚入行学习网安的师傅,往往瞧不上任意文件读取漏洞,其实这是一种偏见。今天就从 CVE-2025-30208 发散去讲任意文件读取漏洞,这种漏洞是有操作空间的,况且 CVE-2025-30208 利用简单、覆盖面广,那就有必要拎出来和大家交流一下,今天我就来抛砖引玉一下。 -
-
干货满满之2024广州补天城市沙龙有感 前言哈哈,好久没在博客上面更新文章了,许多朋友(不管是线上还是线下)都在问我是不是不更新博客了,也在催我赶紧更新一下博客的内容,在此也非常感谢各位师傅和朋友的关注和支持~近期不更新博客,原因如下:最近大家也知道emmmmm..我最近到深圳这边,这边项目的对抗程度很高,在这段时间学到很多知识,但工作强度也比较大,人也相比之前时间更少了,也累了不少;但能学到技术还是非常开心的,有时候工作确实太累了,导致我没啥精力来更新博客。后面我会在博客上面分享在项目上面的一些新的收获,一线攻防总能带来一线的技术,相信大家后面都能在我的博客上面收获良多!ψ(`∇´)ψ好了说回正题,正好补天城市沙龙在一个月前开在广东广州,补天的田总(田朋师傅)就诚挚的邀请我去参加,我就非常开心的过去了,确实收获了不少
-
感谢,渊龙三周年与龙年展望 1# 概述今天是2024年的第一天,很高兴能再次和大家见面,我是渊龙Sec安全团队的创始人——曾哥 @AabyssZG。首先,在这个日子里面祝各位师傅元旦快乐,在新的一年里面:事业如虎添翼,财运如虹贯日,家庭和谐美满,幸福安康常伴!也很感谢各位师傅,平时给予团队和我的关注和支持~同时,也非常感谢各位团队成员的共同建设和鼎力相助,团队正因为有了你们,才能走到今天!2# 关于渊龙三周年今年是渊龙Sec正式发展的第三个年头,从2020年到2024年,三年弹指一挥间。我其实也没想到这支团队能做的那么久,做的这么好,能有很多非常好的策划和想法。这些是我在组建这支团队的时候所没想到的,刚开始,我们就是想组建一支信息安全领域的技术团队,并不打算商业化运作的那种,就存粹技术交流和成长的团队。其实在三年前,我也是半摸索半实践的去做这支团队。中间也面临着不少的抉择,有遗憾同样也有庆幸,很幸运团队在不同的选择下,还能在三年后的今天茁壮成长,向着我们的宗旨前进:“为国之安全而奋斗,为信息安全而发声!”。至于团队在这几年的发展和贡献,各位师傅也有目共睹,我也不多说了。我今天就来总结和分享这几年做一支信息安全领域的技术团队,相关的经验之谈,之前也有不少师傅希望我能写一些相关的内容。也算是给现在许许多多的朋友和师傅解惑吧哈哈~2.1 关于团队发展这几年做技术过来,我是非常喜欢同别人交流和分享技术的,也碰到过形形色色的人。也看过许多团队的潮起潮落,内心其实颇有感慨。建立一支团队,首先要思考这支团队的主要方向和目的在哪,要做出什么样的成果,如何向这个目标前进和努力,这是非常重要的。没有核心目的,或者没有同一个前行的梦想,正所谓“道不同不相为谋”,这支团队最终会沦落为一盘散沙,不能称之为“团队”而只能叫做团伙。遇到不少技术团队,又想发展,又不干正事,天天在那边水群,这种团队注定做不长远。技术团队就要深耕于技术,用自己的技术创造价值,这才是对自己和对团队的价值所在。贡献不是靠嘴皮子说说,而是自己动手实践出来的,大家共建一个技术团队,才能共同走向未来。这里引用一位安全老师傅 @K0r4dji 的话:看着一些年轻的人,还在安全群里讨论要不要创建团队,谁当核心,谁当老大,网站开设等问题,突然看到他们在走我的老路~没办法,不好意思拦住,因为他们内心有一种热情…也许是短暂的,也许是长久的,可能只有失败的时候才会成长吧…如果一个团队没有任务,门槛,目标,更不会看到成绩,成长,发展。团队还没起来呢,八字没一撇,就惦记着由虚荣心/争强好胜心产生出不好的习惯,甚至下意识感觉该习惯或思维还是正确的,也并没有去考察和验证,总结下就是:别让跟着你后面奔跑或大力度支持你的兄弟们寒心。2.2 技术团队的选择用我们团队自己举例,其实刚开始组建团队也是非常困惑的,在团队发展的道路上,还是会面临着不少的抉择。那我这里就列举几个抉择吧:第一个问题,刚开始组建信息安全的一支团队,信息安全有那么多方向你要做哪块?是传统的红蓝攻防,还是CTF,还是二进制安全,亦或者其他安全领域的团队?这个问题,我们刚开始遇到就非常苦恼,但后面我们想通了,怎么解决的呢?因为团队有不少师傅已经在一线安全岗位上工作了,我们就针对于工作、实战遇到的痛点、难点、短缺的部分,进行深入的学习和发展。所以,渊龙Sec安全团队从最开始的红蓝攻防、CTF,到后面的无线电安全、云安全等等领域,逐步发展起来了。第二个问题,团队组建刚开始缺人,要靠什么方式或者什么回报来招揽团队所需求的人才?通过亲身实践和观察别的队伍,这个问题实际上非常重要,前期乱招人,特别是招那种天天混群啥也不会的人进来,后期头痛的就是你自己了。非常多影响不好的“瓜”,以及后期引发的一些事端,其实从前期招人不严格开始,就埋下了导火索。我之所以有这方面的经验,完全是因为之前吃过这方面的亏,所以现在渊龙Sec安全团队的招人,都是由我来亲自把关,技术和人品缺一不可。第三个问题,团队是否要商业化?或者通俗点,要不要赚钱割韭菜之类?这个其实看每个团队自己的选择了,我们团队只是想做一个存粹的技术团队,所以从团队创立到现在,有几家公司和其他人士找到我们想要进行商业化,我们都谢绝了。包括团队公众号和开源项目,除了发合作伙伴(补天漏洞平台、Goby等)的相关文章之外,都没有任何恰饭,我们以后也会坚持运营下去。我们团队一部分资金来源于团队内部众筹,比如大家在工作或者学习上有共同的一个痛点或者需求,我们能不能开发出一个内部的共用平台解决这个痛点呢?那能解决,大家一起众筹一点钱来运行维护这个平台,大家都能一起用,这个模式不是很好嘛?还有一部分资金,是团队不定期会接一些远程渗透、代码审计的项目,根据项目成果的奖金进行分配和调整。第四个问题,技术团队的粉丝数量是否要非常在意,有必要马上刷起来吗?这个问题,在我看来,其实粉丝数量没有什么在意的必要。既然是做一个技术团队,那技术就是根本,首先要深耕于技术领域,能做出真正解决实际问题、实际痛点的东西来。这才是技术本身的意义,技术是工具,本质上是来解决问题而不是用来炫技的。现在观察下来,有些团队急于求成,甚至天天发一些“博眼球”的文章和内容,在一线的安全从业者眼中,其实对于这些团队都是不屑一顾的。甚至还有的公众号特别不要脸,把人家老外的文章照搬过来,直接写的“原创文章”,我是真佩服这些人,脸皮子真厚。。。一支技术团队想要发展的长久,能真正想做到行业级目的那种目标,那就不能急躁,脚踏实地的一步步前行,只有真正能有技术产出的能力,才能真正的创造价值。靠“博眼球、发段子”成长起来的所谓“团队”,也只是过眼云烟,很快就会消逝在历史的长河之中了。可能可以赚许多钱,但注定无法做大、做长远、做牛逼。这里其实可以提一嘴乌云老白帽子 @猪猪侠 说的话:聚焦问题,有效解决问题不要做屌用没有的工具和产品同样,做一支技术团队(不管是商业化还是不商业化的团队)也是如此3# 关于龙年展望今年是非常奇妙的一年,团队的发展和前行也取得了一些进展。在新的2024年,我希望我自己能带领渊龙Sec安全团队实现以下几点:更好的利用好团队内部平台,增加信息流动度,持续优化解决内部平台的相关问题团队的技术交流氛围挺浓厚的,在新的一年继续加大保持和成长完善团队的漏洞武器库,建立团队的一整套攻击链,给项目上的输出做后勤保障持续进行优胜劣汰的制度,团队将连续两年没有任何贡献的人清理出去(团队本质上还是很轻松的,但两年都没怎么在群里面技术交流,也没做任何方面的贡献,那说不过去了吧,不欢迎占着茅坑不拉屎的人)团队还在持续招人中,2024年,我们欢迎新鲜血液加入我们,我们专注于信息安全的技术领域,来我们这里,一起用技术来创造价值吧~最后,在新年的第一天,向大家再说一句:元旦快乐哦~
-
-
-
2023成都CCS大会&&补天城市沙龙有感 前言今年很巧,8月23日项目结束后,24号2023成都CCS网络安全大会就召开了。我今年刚好在武汉做项目,想了想,结束直接一个飞机飞往成都,开启了本次成都安全之旅。成都的师傅们都很热情,也结识了不少新的朋友,参加了成都CCS大会以及补天城市沙龙,感觉收获颇多,故写本文记录一下。由于参加项目和大会的缘故,博客已经一个半月还未更新了,直到今日才有闲暇之时来落笔本文,各位师傅见谅哈哈。补天城市沙龙合照:在补天城市沙龙上,有幸和网络尖刀安全团队的创始人曲子龙师傅(右四)重磅面基,在交流中学习到了很多东西CCS网络安全大会合影:由衷感谢无糖信息的HZEX师傅,给了我很多礼物哈哈~
-
-
