@@ -35,7 +35,7 @@ userInput: 'javascript:alert(1)'
```
### v-on 与用户控制的处理程序
-`v-on` 使用 `new Function` 编译其值;如果该值来自用户,您就将代码执行的权利直接交给他们。
+`v-on` 使用 `new Function` 编译其值;如果该值来自用户,您就将代码执行的权限直接交给他们。
```html
@@ -86,7 +86,7 @@ merge({}, JSON.parse('{ "__proto__": { "polluted": true } }'))
this.$router.push(this.$route.query.next) // DANGER
```
### CSRF in Axios / fetch
-单页应用仍然需要服务器端的 CSRF 令牌;仅使用 SameSite cookies 无法阻止自动提交的跨源 POST 请求。
+单页应用仍然需要服务器端的CSRF令牌;仅使用SameSite cookies无法阻止自动提交的跨源POST请求。
```js
axios.post('/api/transfer', data, {
headers: { 'X-CSRF-TOKEN': token }
@@ -99,7 +99,7 @@ X-Frame-Options: DENY
Content-Security-Policy: frame-ancestors 'none';
```
### Content-Security-Policy pitfalls
-完整的 Vue 构建需要 `unsafe-eval`;切换到运行时构建或预编译模板,以便您可以去掉那个危险的源。
+完整的 Vue 构建需要 `unsafe-eval`;切换到运行时构建或预编译模板,以便您可以去掉这个危险的源。
```http
Content-Security-Policy: default-src 'self'; script-src 'self';
```
@@ -119,7 +119,7 @@ npm ci --ignore-scripts # safer install
5. **发送强大的 HTTP 头** (CSP, HSTS, XFO, CSRF)。
6. **通过审计、锁定文件和签名提交来锁定你的供应链**。
-## 参考文献
+## 参考资料
- [https://www.stackhawk.com/blog/vue-xss-guide-examples-and-prevention/](https://www.stackhawk.com/blog/vue-xss-guide-examples-and-prevention/)
- [https://medium.com/@isaacwangethi30/vue-js-security-6e246a7613da](https://medium.com/@isaacwangethi30/vue-js-security-6e246a7613da)
diff --git a/src/pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md b/src/pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
index 23c4bc196..b4463f686 100644
--- a/src/pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
+++ b/src/pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
@@ -47,4 +47,4 @@ if **name** == "**main**": print('\[DEBUG] Creating requests session') requests\
```
```
-
+{{#include /banners/hacktricks-training.md}}
diff --git a/src/pentesting-web/json-xml-yaml-hacking.md b/src/pentesting-web/json-xml-yaml-hacking.md
new file mode 100644
index 000000000..766d593b7
--- /dev/null
+++ b/src/pentesting-web/json-xml-yaml-hacking.md
@@ -0,0 +1,128 @@
+# JSON, XML & Yaml Hacking & Issues
+
+{{#include ../banners/hacktricks-training.md}}
+
+## Go JSON 解码器
+
+在 Go JSON 中检测到以下问题,尽管这些问题也可能出现在其他语言中。这些问题已在 [**这篇博客文章**](https://blog.trailofbits.com/2025/06/17/unexpected-security-footguns-in-gos-parsers/) 中发布。
+
+Go 的 JSON、XML 和 YAML 解析器存在许多不一致和不安全的默认设置,这些设置可能被滥用以 **绕过身份验证**、**提升权限** 或 **外泄敏感数据**。
+
+### (反)序列化意外数据
+
+目标是利用允许攻击者读取/写入敏感字段(例如,`IsAdmin`、`Password`)的结构体。
+
+- 示例结构体:
+```go
+type User struct {
+Username string `json:"username,omitempty"`
+Password string `json:"password,omitempty"`
+IsAdmin bool `json:"-"`
+}
+```
+- 常见漏洞
+
+1. **缺失标签**(无标签 = 字段仍然按默认解析):
+```go
+type User struct {
+Username string
+}
+```
+有效载荷:
+```json
+{"Username": "admin"}
+```
+2. **不正确使用 `-`**:
+```go
+type User struct {
+IsAdmin bool `json:"-,omitempty"` // ❌ wrong
+}
+```
+有效载荷:
+```json
+{"-": true}
+```
+✔️ 正确阻止字段被(反)序列化的方法:
+```go
+type User struct {
+IsAdmin bool `json:"-"`
+}
+```
+### 解析器差异
+
+目标是通过利用不同解析器对相同有效负载的不同解释来绕过授权,例如:
+- CVE-2017-12635: 通过重复键绕过 Apache CouchDB
+- 2022: 通过 XML 解析器不一致性实现 Zoom 0-click RCE
+- GitLab 2025 通过 XML 特性绕过 SAML
+
+**1. 重复字段:**
+Go 的 `encoding/json` 取 **最后** 一个字段。
+```go
+json.Unmarshal([]byte(`{"action":"UserAction", "action":"AdminAction"}`), &req)
+fmt.Println(req.Action) // AdminAction
+```
+其他解析器(例如,Java的Jackson)可能会取**第一个**。
+
+**2. 不区分大小写:**
+Go是不区分大小写的:
+```go
+json.Unmarshal([]byte(`{"AcTiOn":"AdminAction"}`), &req)
+// matches `Action` field
+```
+即使是Unicode技巧也有效:
+```go
+json.Unmarshal([]byte(`{"aKtionſ": "bypass"}`), &req)
+```
+**3. 跨服务不匹配:**
+想象一下:
+- 用 Go 编写的代理
+- 用 Python 编写的 AuthZ 服务
+
+攻击者发送:
+```json
+{
+"action": "UserAction",
+"AcTiOn": "AdminAction"
+}
+```
+- Python 看到 `UserAction`,允许它
+- Go 看到 `AdminAction`,执行它
+
+
+### 数据格式混淆(多语言)
+
+目标是利用混合格式(JSON/XML/YAML)或在解析器错误时失败开放的系统,例如:
+- **CVE-2020-16250**:HashiCorp Vault 在 STS 返回 JSON 而不是 XML 后,用 XML 解析器解析了 JSON。
+
+攻击者控制:
+- `Accept: application/json` 头
+- 对 JSON 主体的部分控制
+
+Go 的 XML 解析器 **仍然** 解析了它并信任注入的身份。
+
+- 精心制作的有效负载:
+```json
+{
+"action": "Action_1",
+"AcTiOn": "Action_2",
+"ignored": "
Action_3"
+}
+```
+结果:
+- **Go JSON** 解析器: `Action_2` (不区分大小写 + 最后一个胜出)
+- **YAML** 解析器: `Action_1` (区分大小写)
+- **XML** 解析器:解析字符串中的 `"Action_3"`
+
+
+### 🔐 缓解措施
+
+| 风险 | 修复 |
+|-----------------------------|---------------------------------------|
+| 未知字段 | `decoder.DisallowUnknownFields()` |
+| 重复字段(JSON) | ❌ 标准库中没有修复 |
+| 不区分大小写的匹配 | ❌ 标准库中没有修复 |
+| XML 垃圾数据 | ❌ 标准库中没有修复 |
+| YAML:未知键 | `yaml.KnownFields(true)` |
+
+
+{{#include ../banners/hacktricks-training.md}}
diff --git a/src/windows-hardening/active-directory-methodology/acl-persistence-abuse/BadSuccessor.md b/src/windows-hardening/active-directory-methodology/acl-persistence-abuse/BadSuccessor.md
index eed8a85cf..a2836c1ff 100644
--- a/src/windows-hardening/active-directory-methodology/acl-persistence-abuse/BadSuccessor.md
+++ b/src/windows-hardening/active-directory-methodology/acl-persistence-abuse/BadSuccessor.md
@@ -17,7 +17,7 @@ Akamai 研究人员发现,单个属性 — **`msDS‑ManagedAccountPrecededByL
## 攻击要求
1. **至少一个 Windows Server 2025 DC**,以便 dMSA LDAP 类和 KDC 逻辑存在。
-2. **在 OU 上的任何对象创建或属性写入权限**(任何 OU) – 例如 `Create msDS‑DelegatedManagedServiceAccount` 或简单地 **Create All Child Objects**。Akamai 发现 91% 的真实租户将此类“良性”OU 权限授予非管理员。
+2. **在 OU 上的任何对象创建或属性写入权限**(任何 OU) – 例如 `Create msDS‑DelegatedManagedServiceAccount` 或简单地 **Create All Child Objects**。Akamai 发现 91% 的真实租户将此类“良性” OU 权限授予非管理员。
3. 能够从任何域加入的主机上运行工具(PowerShell/Rubeus)以请求 Kerberos 票证。
*不需要对受害者用户的控制;攻击从未直接接触目标账户。*
@@ -52,7 +52,7 @@ Rubeus.exe asktgs /targetuser:attacker_dmsa$ /service:krbtgt/aka.test /dmsa /ops
因为我们的假迁移声称 dMSA 继承了受害者,KDC 认真地将受害者的 RC4-HMAC 密钥复制到 **previous‑keys** 列表中 — 即使 dMSA 从未拥有“以前”的密码。该 RC4 密钥是未加盐的,因此它实际上是受害者的 NT 哈希,赋予攻击者 **离线破解或“传递哈希”** 的能力。
-因此,大规模链接数千个用户使攻击者能够“规模化”地转储哈希,将 **BadSuccessor 变成特权提升和凭证泄露的原语**。
+因此,大规模链接数千个用户使攻击者能够“规模化”转储哈希,将 **BadSuccessor 变成特权提升和凭证泄露的原语**。
## 工具
diff --git a/src/windows-hardening/lateral-movement/scmexec.md b/src/windows-hardening/lateral-movement/scmexec.md
index 79f504bf5..55cf27046 100644
--- a/src/windows-hardening/lateral-movement/scmexec.md
+++ b/src/windows-hardening/lateral-movement/scmexec.md
@@ -4,7 +4,7 @@
## SCM
-**SCMExec** 是一种使用服务控制管理器(SCM)在远程系统上执行命令的技术,通过创建一个运行该命令的服务来实现。此方法可以绕过一些安全控制,例如用户帐户控制(UAC)和Windows Defender。
+**SCMExec** 是一种使用服务控制管理器 (SCM) 在远程系统上执行命令的技术,通过创建一个运行该命令的服务。此方法可以绕过一些安全控制,例如用户帐户控制 (UAC) 和 Windows Defender。
## Tools
diff --git a/src/windows-hardening/mythic.md b/src/windows-hardening/mythic.md
index b22ce5800..6bb8dbcfe 100644
--- a/src/windows-hardening/mythic.md
+++ b/src/windows-hardening/mythic.md
@@ -1,8 +1,10 @@
# Mythic
+{{#include ../banners/hacktricks-training.md}}
+
## 什么是 Mythic?
-Mythic 是一个开源的、模块化的命令和控制 (C2) 框架,旨在用于红队渗透测试。它允许安全专业人员在不同操作系统(包括 Windows、Linux 和 macOS)上管理和部署各种代理(有效载荷)。Mythic 提供了一个用户友好的 Web 界面,用于管理代理、执行命令和收集结果,使其成为在受控环境中模拟真实攻击的强大工具。
+Mythic 是一个开源的、模块化的命令与控制 (C2) 框架,旨在用于红队测试。它允许安全专业人员在不同操作系统(包括 Windows、Linux 和 macOS)上管理和部署各种代理(有效载荷)。Mythic 提供了一个用户友好的网页界面,用于管理代理、执行命令和收集结果,使其成为在受控环境中模拟真实攻击的强大工具。
### 安装
@@ -32,7 +34,7 @@ sudo ./mythic-cli install github https://github.com/MythicC2Profiles/http
```
## [Apollo Agent](https://github.com/MythicAgents/Apollo)
-Apollo是一个用C#编写的Windows代理,使用4.0 .NET Framework,旨在用于SpecterOps的培训课程。
+Apollo 是一个用 C# 编写的 Windows 代理,使用 4.0 .NET Framework,旨在用于 SpecterOps 培训课程。
使用以下命令安装:
```bash
@@ -82,15 +84,15 @@ Apollo是一个用C#编写的Windows代理,使用4.0 .NET Framework,旨在
- `spawn`: 在指定的可执行文件中生成新的代理会话,允许在新进程中执行shellcode
- `spawnto_x64`和`spawnto_x86`: 将后渗透作业中使用的默认二进制文件更改为指定路径,而不是使用没有参数的`rundll32.exe`,这会产生很多噪音。
-### Mythic Forge
+### Mithic Forge
-这允许从Mythic Forge加载**COFF/BOF**文件,Mythic Forge是一个预编译有效载荷和工具的存储库,可以在目标系统上执行。通过可以加载的所有命令,将能够在当前代理进程中以BOF的形式执行常见操作(通常更隐蔽)。
+这允许从Mythic Forge加载**COFF/BOF**文件,Mythic Forge是一个预编译有效载荷和工具的存储库,可以在目标系统上执行。通过可以加载的所有命令,将能够以BOFs的形式在当前代理进程中执行常见操作(通常更隐蔽)。
开始安装它们:
```bash
./mythic-cli install github https://github.com/MythicAgents/forge.git
```
-然后,使用 `forge_collections` 显示 Mythic Forge 中的 COFF/BOF 模块,以便能够选择并将它们加载到代理的内存中以执行。默认情况下,以下 2 个集合会在 Apollo 中添加:
+然后,使用 `forge_collections` 显示 Mythic Forge 中的 COFF/BOF 模块,以便能够选择并将它们加载到代理的内存中以执行。默认情况下,以下 2 个集合在 Apollo 中添加:
- `forge_collections {"collectionName":"SharpCollection"}`
- `forge_collections {"collectionName":"SliverArmory"}`
@@ -101,7 +103,7 @@ Apollo是一个用C#编写的Windows代理,使用4.0 .NET Framework,旨在
- `powershell_import`: 将新的 PowerShell 脚本 (.ps1) 导入代理缓存以供后续执行
- `powershell`: 在代理的上下文中执行 PowerShell 命令,允许进行高级脚本编写和自动化
-- `powerpick`: 将 PowerShell 加载程序程序集注入到一个牺牲进程中并执行 PowerShell 命令(不进行 PowerShell 日志记录)。
+- `powerpick`: 将 PowerShell 加载程序程序集注入到一个牺牲进程中并执行 PowerShell 命令(不记录 PowerShell 日志)。
- `psinject`: 在指定进程中执行 PowerShell,允许在另一个进程的上下文中有针对性地执行脚本
- `shell`: 在代理的上下文中执行 shell 命令,类似于在 cmd.exe 中运行命令
@@ -111,7 +113,7 @@ Apollo是一个用C#编写的Windows代理,使用4.0 .NET Framework,旨在
- `jump_wmi`: 使用 WMI 技术通过首先复制 Apollo 代理可执行文件 (apollo.exe) 并执行它来横向移动到新主机。
- `wmiexecute`: 使用 WMI 在本地或指定的远程系统上执行命令,提供可选的凭据进行模拟。
- `net_dclist`: 检索指定域的域控制器列表,有助于识别潜在的横向移动目标。
-- `net_localgroup`: 列出指定计算机上的本地组,如果未指定计算机,则默认为本地主机。
+- `net_localgroup`: 列出指定计算机上的本地组,如果未指定计算机,则默认为 localhost。
- `net_localgroup_member`: 检索本地或远程计算机上指定组的本地组成员资格,允许枚举特定组中的用户。
- `net_shares`: 列出指定计算机上的远程共享及其可访问性,有助于识别潜在的横向移动目标。
- `socks`: 在目标网络上启用 SOCKS 5 兼容代理,允许通过被攻陷的主机隧道流量。与 proxychains 等工具兼容。
@@ -149,16 +151,19 @@ Poseidon 是一个用 Golang 编写的代理,编译为 **Linux 和 macOS** 可
### 横向移动
-- `ssh`: 使用指定凭据 SSH 到主机并打开一个 PTY,而不生成 ssh。
+- `ssh`: 使用指定凭据 SSH 到主机,并在不生成 ssh 的情况下打开 PTY。
- `sshauth`: 使用指定凭据 SSH 到指定主机。您还可以使用此命令通过 SSH 在远程主机上执行特定命令或使用它来 SCP 文件。
- `link_tcp`: 通过 TCP 链接到另一个代理,允许代理之间的直接通信。
- `link_webshell`: 使用 webshell P2P 配置文件链接到代理,允许远程访问代理的 Web 界面。
- `rpfwd`: 启动或停止反向端口转发,允许远程访问目标网络上的服务。
-- `socks`: 在目标网络上启动或停止 SOCKS5 代理,允许通过被攻陷的主机进行流量隧道。与 proxychains 等工具兼容。
+- `socks`: 在目标网络上启动或停止 SOCKS5 代理,允许通过被攻陷的主机隧道流量。与 proxychains 等工具兼容。
- `portscan`: 扫描主机以查找开放端口,有助于识别潜在的横向移动或进一步攻击的目标。
### 进程执行
- `shell`: 通过 /bin/sh 执行单个 shell 命令,允许在目标系统上直接执行命令。
- `run`: 从磁盘执行带参数的命令,允许在目标系统上执行二进制文件或脚本。
-- `pty`: 打开一个交互式 PTY,允许与目标系统上的 shell 进行直接交互。
+- `pty`: 打开一个交互式 PTY,允许与目标系统上的 shell 直接交互。
+
+
+{{#include ../banners/hacktricks-training.md}}
.png)