你好,

我是星河

CTF能源CTF大赛社会组

骑某 CMS v3.34.0 存在反序列化漏洞

文章摘要： 本文介绍了关于PHAR反序列化漏洞的研究和利用实例。作者发现了一些Thinkphp二次开发CMS中的可利用漏洞，并深入探讨了PHAR反序列化漏洞的原理、发现过程以及实际利用方式。该漏洞允许攻击者通过构造特制的恶意PHAR文件，绕过PHP的安全机制，执行任意代码，给Web应用带来极大风险。作者展示了漏洞的利用条件、利用思路和实际利用过程，包括生成恶意的附件和触发反序列化操作。文章还提供了免责声明，强调技术信息仅供安全研究与学习使用，并严禁用于任何非法目的。同时，作者呼吁读者遵守负责任的漏洞披露流程，并建议相关厂商进行安全加固。

利用 AST 技术还原 JavaScript 混淆代码

**文章摘要总结**： 本文介绍了如何使用抽象语法树（AST）对JavaScript代码进行解析、修改和重构。首先解释了AST的概念和用途，然后详细阐述了如何使用Babel库来解析JavaScript代码为AST，并提供了几种操作AST的方法，包括删除未使用的变量、处理冗余逻辑代码、花指令转二项式、控制流平坦化等。此外，文章还通过具体的例子说明了如何在AST中遍历节点、修改节点以及生成新的JavaScript代码。最后，提到了参考资料，如Babel Handbook、官方中文手册以及非官方Babel API中文文档，以供参考和学习。 **技术文章部分**： 文章通过具体的技术实现细节，如使用Babel库解析JavaScript代码为AST、遍历AST节点、修改节点并生成新的代码，展示了AST在JavaScript代码分析和重构中的重要作用。同时，还介绍了如何通过AST来简化JavaScript代码，例如通过控制流平坦化来减少代码的复杂度。这些技术对于理解JavaScript代码的运行机制、优化代码性能以及逆向工程等方面都有重要价值。 **生活文章部分**： 虽然文章主要聚焦于技术实现，但其中的例子和概念也反映了编程中常见的问题和优化的思路，如删除冗余代码、处理复杂逻辑等。这些技术不仅可以应用于开发工作中，还可以用于个人学习、项目优化和代码审查等场景，帮助提升编程效率和质量。

Traefik资源跨命名空间调用

摘要： 本文介绍了在Traefik中如何进行跨命名空间资源调用，并详细描述了如何配置allowCrossNamespace参数以允许跨命名空间资源调用。文章通过一个案例展示了如何通过Traefik将k3s-apiserver的ping目录导出到外部访问，并解决了证书问题。同时，文章还解释了Traefik中的命名规则以及如何处理Kubernetes的命名空间和Traefik动态配置对象之间的关系。最后，文章总结了关于跨命名空间调用的注意事项和参考资料。

PHP利用GNU C Iconv将文件读取变成RCE（CVE-2024-2961)

pathScan

摘要： pathScan是一个高效的用Go语言编写的路径扫描工具，用于快速可靠地扫描URL地址和子域名以收集信息。它支持多种功能，包括子域名收集、搜索引擎查询、指纹识别等。使用者可以通过命令行参数自定义扫描目标、路径、线程数、请求头等。同时，它还支持从其他工具获取输入并传递输出，配合其他工具如nuclei进行自动化漏洞扫描。pathScan对渗透测试有很大帮助，并且功能仍在不断完善中，欢迎大家提交pull requests。

单云&多云部署k3s

摘要总结： 本文介绍了如何在单云部署中使用k3s并安装ingress-nginx。由于k3s默认安装会安装traefik，作者选择移除traefik的安装并安装ingress-nginx。文章详细介绍了如何针对k3s的不同版本修改安装命令，以及如何配置环境变量以指定安装版本。随后介绍了使用helm安装ingress-nginx的步骤，包括添加仓库、更新仓库、获取和安装helm包等步骤。同时，文章还涉及到了多云部署k3s的相关配置和安装步骤。最后，提到了修改配置文件和设置国内镜像地址的步骤。整体上，文章旨在帮助读者在特定的环境和需求下完成k3s和ingress-nginx的安装和配置。

FoFa爬虫API进一步研究