Vulhub万赞纪念与抽奖

不知不觉离我所主导的开源项目Vulhub的第一个提交已经快5年了,Vulhub俨然已经成为我生活中的日常。就像我生活中的另外几个日常代码审计星球Sec-News一样,他们并不是我刻意要去完成的一项工作,而成为了我现实中的“回调函数”。

用回调函数来形容这件事听起来很独特,但仔细想想确实如此——我会在分析最新漏洞后将其做成Vulhub环境提交到Github,我会在读到不错文章后点击浏览器上的按钮将其添加到Sec-News,我会在有新奇想法或学到知识后去星球聊两句分享出来。

这些行为就像回调函数一样,在我日常生活中的某个确定的时刻触发,也许会遇到“网络延迟”,但总会像队列一样不停地生产与消费,最后沉淀在代码审计宇宙中。

是的,以前有人调侃我说我这些个人主导的项目组合成了“代码审计宇宙”,我欣然接受了这个名字。

在外人看来,这是我回馈给安全社区的一些工具与分享,但实际上他们共同组成了我自己的知识矩阵,他们是否对外公开其实并不影响我收藏、记录这些内容。

就像Vulhub,最早做这个项目的目的只是因为当时自己想要学习Java漏洞,而处于Java漏洞井喷期的2016、2017年并没有很好的学习途径,我甚至连怎么搭建一个Java Web开发环境都不知道(JSPStudy除外)。

于是Vulhub就应运而生,他基本伴随着我学习从Java漏洞开始的各种漏洞的时光。

有心的同学可能会发现Vulhub中有关PHP的漏洞不多,和Exploit-Db形成了鲜明对比,原因虽然和PHP的CMS这些年稍显式微有些关系,但其实也和我自己的学习轨迹密不可分。我自诩在2016年的时候对PHP安全已经掌握的还可以了(现在想想其实还差得远),所以之后在选择做漏洞环境的时候也会更偏向自己不熟悉的领域,特别是Java。

如今我的知识体系也已经大为不同了,也不会再区别对待漏洞,Vulhub选择环境的时候还是更偏向于漏洞的类型、影响力、危害等因素,而不取决于我自己的个人偏好。

可以说Vulhub的发展已经进入一个成熟、体系化的阶段。

最近Spring Framework的漏洞闹的沸沸扬扬,Vulhub近期也连续收录了三个相关漏洞:

  • CVE-2022-22947 - Spring Cloud Gateway Actuator API SpEL Code Injection
  • CVE-2022-22963 - Spring Cloud Function SpEL Code Injection
  • CVE-2022-22965 - Spring Framework RCE via Data Binding on JDK 9+

得益于最近我Twitter涨了不少粉丝,这几个环境在Twitter上进行宣传后效果卓著。我在今年3月31日的时候看到Vulhub项目的Star数在页面上标记为10k了,但是其实这是四舍五入后的数字,没想到在发布Spring4Shell漏洞环境的当天Star就突破了一万,趋势图上看的很明显:

image.png

这周也登上了Github Trending榜(没截到涨的最快的那天的图):

image.png

Vulhub现在也是一个“万赞”开源项目了,撒花~

为了纪念这个时刻,我决定做一次抽奖活动,准备了两个奖项:

  • 一等奖:极客时间超级会员年卡 x 1
  • 二等奖:Vulhub纪念贴纸 x 2

参与方法很简单,扫描下面的“抽奖助手”小程序二维码,按照其中的说明参与抽奖即可。

207eadd77422c7963171661576e20e8.jpg

如果你认为自己是非酋体质中不了奖,也可以直接点击链接购买,价值¥498一年,极客时间是我少有的推荐的计算机类教程平台。

赞赏

喜欢这篇文章?打赏1元

评论

captcha