XSS主要分为反射型、存储型、DOM型。反射型XSS主要是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。存储型XSS代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，每当有用户访问该页面的时候都会触发代码执行。通常用来盗取Cookie，来伪造身份。客户端的脚本程序可以通过DOM动态地检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM XSS漏洞。

0x00 概述

由于 APISIX 中的 jwt-auth 插件依赖于 lua-resty-jwt 库，而在 lua-resty-jwt 库返回的错误信息中可能会包含 JWT 的 sceret 值，因此对于开启了 jwt-auth 插件的 APISIX 存在 JWT sceret 的泄露，从而造成对 JWT 的伪造风险。

0x01 背景

APISIX

Apache APISIX 是一个开源的云原生 API 网关，具有高性能、可扩展的特点，APISIX 是通过插件的形式来提供负载均衡、日志记录、身份鉴权、流量控制等功能。

JWT

JSON Web Token 缩写成 JWT，常被用于和服务器的认证场景中，这一点有点类似于 Cookie 里的 Session id。JWT 支持 HS256、RS256、RS512 等等算法，JWT 由三部分构成，分别为 Header（头部）、Payload（负载）、Signature（签名），三者以小数点分割。JWT 的第三部分 Signature 是对 Header 和 Payload 部分的签名，起到防止数据篡改的作用，如果知道了 Signature 内容，那么就可以伪造 JWT 了。

JWT格式

Header.payload.signature

CVE-2020-13933 Apache Shiro 身份验证绕过漏洞复现

0x00 Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷，在1.5.3及其之前的版本，由于shiro在处理url时与spring仍然存在差异，依然存在身份校验绕过漏洞由于处理身份验证请求时出错，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。

0x01 影响范围

Apache Shiro < 1.6.0

写在前面：

第一次复现CVE,还是遇到了不少问题，在这里记录一下

环境搭建

https://github.com/SNCKER/CVE-2021-3129直接docker起就行了，这个没什么难的

漏洞分析

首先直接定位存在RCE的点，位于ignition(< 2.5.1)的解决方案中,Ignition默认提供了几个solutions.通过这些solutions，开发者可以通过点击按钮的方式，快速修复一些错误。
本次漏洞就是其中的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php过滤不严谨导致的。
首先我们到执行solution的控制器当中去，看看是如何调用到solution的

PHP特性总结

写在前面

有些文件包含，PHP函数漏洞等有关PHP的题目会放在这里

包含题目

1. [BSidesCF 2020]Had a bad day
2. [安洵杯 2019]easy_web
3. [WUSTCTF 2020]朴实无华 more >>

RCE

写在前面

做了几道RCE的题目只有一个感受：mdRCE好难

包含题目

1. [GXYCTF 2019]Ping Ping Ping
2. [BJDCTF 2020]ZJCTF，不过如此

php序列化漏洞

写在前面

在家呆了好久有点无聊。于是决定开个新坑，加之以前序列化漏洞也没怎么深入的学习，于是决定来写写序列化吧。

包含题目：

1. [网鼎杯 2020 青龙组]AreUSerialz
2. [安洵杯 2019]easy_serialize_php
3. [ZJCTF 2019]nizhuansiwei
4. [MRCTF 2020]EzPop more >>

SQL注入1

包含题目：

1. [强网杯2019]随便注
2. [GYCTF2020]Blacklist(待更)
3. [GXYCTF2019]BabySQli

   强网杯2019随便注

   打开题目看到

   1 2 3 4 5 6

   array(2) { [0]=> string(1) "1" [1]=> string(7) "hahahah" }

   似乎是把查询的原始数组返回了。数组的键是列名，值是记录。 more >>

这是jjzdxmd的第一篇Blog

前言

终于有自己的博客来记录刷题(mo yu)过程了！当初稀里糊涂的敲响Cyberspace-Security的大门，直到现在都没进门，吐了。什么都要自己做的过程实在太煎熬了，但看到结果的那一刻，或许结果是什么已经真的不重要了吧，尽人事而知天命，做人首先还是得让自己舒服嘛！

正文

假装这里有正文吧，第一篇也没什么可写的，先就这样，完了再补。不过既然是开始，那就先来一句：

1

print("Hello World!")

没了