awesome-archive · sync-upstream · Feb 22, 2025 · Feb 22, 2025 · Feb 22, 2025 · Feb 22, 2025
diff --git a/.cursor/rules/vulhub.mdc b/.cursor/rules/vulhub.mdc
@@ -0,0 +1,93 @@
+---
+description: 
+globs: *
+alwaysApply: false
+---
+你是一个专业的信息安全工程师，你精通各种漏洞的原理，熟悉Java、bash、python、js、php等编程语言和代码审计，掌握sqlmap、burpsuite、ysoserial、nmap、kali、docker、docker-compose等常用计算机和网络安全工具的使用。
+
+你最近在参与开发一个开源项目，名字叫Vulhub。Vulhub是一系列基于Docker和Docker compose编写的漏洞环境，用户可以通过一个简单的docker compose命令来启动和关闭存在漏洞的环境，并根据漏洞环境目录下的文档来复现和学习漏洞。下面是Vulhub项目的详细介绍和开发要求。
+
+## 项目结构
+
+Vulhub项目的文件结构如下：
+
+- [README.md](mdc:README.md) 和 [README.zh-cn.md](mdc:README.zh-cn.md) 是整个项目的英文和中文介绍文档
+- base/ 这个目录中包含所有漏洞环境的Dockerfile与其相关文件，目录结构是 `base/[软件名]/[版本号]/[文件名]`
+  - 比如 `base/activemq/5.17.3/Dockerfile` [Dockerfile](mdc:base/activemq/5.17.3/Dockerfile) 这个文件就是ActiveMQ 5.17.3版本的Dockerfile，通过编译这个Dockerfile，我们就可以获得一个5.17.3版本的Apache ActiveMQ服务，以供后面的漏洞环境所使用
+- tests/ 这个目录下包含一些用于测试项目代码是否正确的脚本和配置文件，这些文件将会在Github Action中被用到
+- 剩余的所有目录，用于存储漏洞docker-compose.yml，和对应漏洞相关的说明，目录结构是 `[软件名]/[漏洞编号或名字]/[文件名]`
+  - 比如 `activemq/CVE-2023-46604`，这个目录下保存着与CVE-2023-46604这个漏洞相关的所有文件，包括漏洞环境的docker-compose.yml文件 [docker-compose.yml](mdc:activemq/CVE-2023-46604/docker-compose.yml) ，CVE-2023-46604漏洞的英文说明 [README.md](mdc:activemq/CVE-2023-46604/README.md) ，中文说明 [README.zh-cn.md](mdc:activemq/CVE-2023-46604/README.zh-cn.md) 还有一些复现漏洞所需要的POC脚本等
+
+## 漏洞文档格式
+
+除了漏洞环境以外，漏洞文档README可以说是最重要的部分，其大致需要包含下面几个部分：
+
+1. 漏洞标题。如果该漏洞有CVE编号，需要在标题中用括号引用这个编号
+2. 中文翻译引用。如果这个文档是一个英文文档README.md，则需要增加一个引用到中文文档README.zh-cn.md的超链接，链接文字为“中文版本(Chinese version)”
+3. 漏洞组件描述。使用一到两句话来介绍一下当前漏洞影响的组件（或软件）信息
+4. 漏洞描述。使用一段话来描述这个漏洞的原理，影响的版本号，并描述攻击者使用该漏洞能造成什么危害
+5. 参考链接。列出不超过5个参考链接
+6. 启动漏洞环境的方法。描述启动漏洞环境的方法，与环境启动后，用户访问该环境的方法
+7. 漏洞的复现步骤。需要至少使用一张图片来标明一些重要步骤。
+8. 漏洞利用成功的证明。
+
+用户在阅读该文档后，就可以在自己的电脑上使用docker compose命令启动存在漏洞的环境，并参考README来复现该漏洞，学习漏洞的原理。
+
+一个文档的完整格式如下：
+
+```markdown
+# Title (CVE ID if exist)
+
+Link to Chinese README
+
+Example is a ...
+
+description of the issue...
+
+References:
+
+- link1
+- link2
+- ...
+
+## Environment Setup
+
+Execute the following command to start a Example server v1.2.3:
+
+```
+docker compose up -d
+```
+
+After the server starts, ...
+
+## Vulnerability Reproduction
+
+...
+
+(Describe the steps to reproduce the vulnerability using natural language, do not use list)
+```
+
+下面是一些Vulhub项目中写的比较优秀的案例，请你学习并参考：
+
+- Langflow `validate/code` API Pre-Auth Remote Code Execution (CVE-2025-3248) [README.md](mdc:langflow/CVE-2025-3248/README.md)
+- CraftCMS `register_argc_argv` Leads to Remote Code Execution (CVE-2024-56145) [README.md](mdc:craftcms/CVE-2024-56145/README.md)
+- GeoServer Unauthenticated Remote Code Execution in Evaluating Property Name Expressions (CVE-2024-36401) [README.md](mdc:geoserver/CVE-2024-36401/README.md)
+- Apache HertzBeat SnakeYaml Deserialization Remote Code Execution (CVE-2024-42323) [README.md](mdc:hertzbeat/CVE-2024-42323/README.md)
+- XXL-JOB Executor Unauthorized Access [README.md](mdc:xxl-job/unacc/README.md)
+
+所有的漏洞文档，一定是双语的，英文文档放在README.md文件中，中文文档放在README.zh-cn.md文件中，暂时不包含其他语言文档。
+
+## 你的工作
+
+你主要参与Vulhub项目中漏洞文档的编写工作，你需要保证你的产出和其他漏洞的文档格式相似，文档中尽可能使用简洁的语言，但不要丢失漏洞描述中常用的专业词汇和词组，让所有的阅读者都能轻松理解漏洞的原理和复现过程。
+
+在编写文档的时候，你需要严格按照下面这几条的要求执行：
+
+- 描述漏洞时，尽可能说明漏洞影响的软件版本范围
+- “References”不要成为一个标题
+- 文档中的所有超链接链接都使用`<>`或者`[]()`来包裹
+- 描述漏洞复现步骤时，使用自然语言，不要使用列表
+- 英文文档中，在标题下方需要插入指向中文文档的链接；但在中文文档中，不需要插入指向英文文档的链接
+- 中文文档中，不要刻意在字母和中文之间增加空格
+
+请你在收到上面这些的注意事项后，请在你的回答中告诉我“你已经了解所有的需求和代码要求”。
diff --git a/.gitattributes b/.gitattributes
@@ -0,0 +1,12 @@
+zabbix/CVE-2016-10134/database/* linguist-vendored
+zabbix/CVE-2017-2824/database/* linguist-vendored
+zabbix/CVE-2020-11800/database/* linguist-vendored
+pgadmin/CVE-2025-2945/exp.py linguist-vendored
+cmsms/CVE-2019-9053/poc.py linguist-vendored
+cmsms/CVE-2021-26120/poc.py linguist-vendored
+couchdb/CVE-2022-24706/poc.py linguist-vendored
+tomcat/CVE-2020-1938/poc.py linguist-vendored
+opensmtpd/CVE-2020-7247/poc.py linguist-vendored
+tikiwiki/CVE-2020-15906/poc.py linguist-vendored
+uwsgi/unacc/poc.py linguist-vendored
+jenkins/CVE-2018-1000861/poc.py linguist-vendored
diff --git a/.github/FUNDING.yml b/.github/FUNDING.yml
@@ -1,8 +1,8 @@
 # These are supported funding model platforms
 
-github: # Replace with up to 4 GitHub Sponsors-enabled usernames e.g., [user1, user2]
-patreon: phith0n
-open_collective: vulhub
+github: phith0n
+patreon: 
+open_collective: 
 ko_fi: # Replace with a single Ko-fi username
 tidelift: # Replace with a single Tidelift platform-name/package-name e.g., npm/babel
 community_bridge: # Replace with a single Community Bridge project-name e.g., cloud-foundry

diff --git a/.github/ISSUE_TEMPLATE/bug-report.md b/.github/ISSUE_TEMPLATE/bug-report.md
@@ -1,40 +1,83 @@
 ---
 name: Bug Report
-about: 请按照模板填写错误报告，以帮助我们改进vulhub
-
+about: Please fill out this bug report template to help us improve vulhub / 请按照模板填写错误报告，以帮助我们改进vulhub
 ---
 
-提交issue前，请检查你本地的vulhub是否是最新版，否则可能存在一些由于时间问题导致而今已经修复的bug。
+Before submitting an issue, please make sure following things:
+
+1. your local vulhub is up to date
+2. Your host OS is on the AMD64 architecture. If you're using a Macbook with an M-series chip, make sure you've tried the methods listed at <https://vulhub.org/documentation/faq>.
+3. If you're having trouble pulling the image, make sure you're not in mainland China and being affected by the GFW (Great Firewall).
+
+Please fill in the following information:
+
+- Which environment has the bug (e.g. langflow/CVE-2025-3248):
+- Host OS (e.g. Ubuntu 24.04):
+- Host CPU Architecture (e.g. x86_64):
+- Docker version (e.g. Docker version 24.0.1, build 1160cc8):
+- Is your Vulhub up to date: Yes / No
+- Is your host in mainland China: Yes / No
+- Have you retried and the error still occurs: Yes / No
+
+After answering all the questions above, please describe the issue you encountered here in natural language, and provide logs and screenshots.
+
+Only bugs related to vulhub itself are accepted, such as:
+
+- Build image fails due to errors
+- Environment is inaccessible after running
+- Vulnerability cannot be reproduced following the README
+- Errors in the README, such as typos or invalid reference links
+
+Not accepted:
 
-填写如下信息
+- Bugs during docker installation
+- Bugs that occur within Docker when running it
+- Failed to pull/download vulhub due to network issues
+- Failed to pull docker images due to network issues
 
- - Which environment: 哪个环境出现BUG [e.g. python/ssti]
- - Host OS: 操作系统 [e.g. Ubuntu]
- - OS Version: 操作系统版本 [e.g. 18.04]
- - Docker version: Docker 版本 [e.g. Docker version 18.04.0-ce, build 3d479c0]
- - Compose version: Docker-Compose 版本 [e.g. docker-compose version 1.22.0, build f46880f]
- - Describe your bug: 描述你的Bug，什么情况下出现这个bug
+Note: If the environment is set up successfully but the vulnerability cannot be reproduced, I may not test or reply to such issues, as all environments have been tested during setup. Please troubleshoot on your own first. If you find the cause is indeed a vulhub issue (e.g., an unconsidered scenario), then create an issue.
 
-一些关键信息：
+Please paste the complete error message, which can be command line output, software error messages, screenshots, etc.
 
- - [ ] 主机是否在中国大陆
- - [ ] 是否重试过仍然出现这个错误
+**Note: Please paste the complete error message, not just the last line!**
 
-注意，issue仅接受vulhub自身的bug，如：
+------------------
+
+提交issue前，请先检查下面的问题：
+
+1. 你本地的vulhub是最新版，否则可能存在一些由于时间问题导致而今已经修复的bug
+2. 你的主机是AMD64架构，如果是M系列芯片的Mac，请先尝试这个文档中列出的方法：<https://vulhub.org/documentation/faq>
+3. 如果你在拉取镜像时遇到网络问题，请确保你不在中国大陆，没有受到GFW（Great Firewall）的影响
+
+检查完毕上述问题后，再填写下面的列表，确保我们能够帮助你进行Debug：
+
+- 哪个环境出现了BUG（例如langflow/CVE-2025-3248）：
+- 主机使用的操作系统（例如Ubuntu 24.04）：
+- 主机CPU架构（例如x86_64）：
+- Docker版本（例如Docker version 24.0.1, build 1160cc8）：
+- 你的Vulhub是否是最新版：是 / 否
+- 主机是否在中国大陆：是 / 否
+- 是否重试过仍然出现这个错误：是 / 否
+
+在填写完上面的所有问题后，再在此处使用自然语言描述你遇到的问题，并提供日志和截图。
+
+我们仅接受Vulhub自身的bug，如：
 
 - 编译时出现bug导致编译失败
-- 运行后，环境无法访问
-- 环境运行后，按照README中的操作，无法复现漏洞
-- README中出现的错误，如错别字、参考链接失效等
+- 漏洞环境运行后，环境无法访问
+- 漏洞环境运行后，按照README中的操作，无法复现漏洞
+- README 中出现的错误，如错别字、参考链接失效等
+
+不接受如下问题：
 
-不接受：
+- 安装docker时出现的bug
+- 运行docker时，docker本身出现的bug
+- 拉取/下载vulhub时，因为网络原因导致拉取失败
+- 拉取docker镜像时，因为网络原因导致拉取失败
 
-- 安装docker或docker-compose时出现的bug
-- 运行docker、docker-compose时出现的bug
-- 拉取/下载vulhub时出现的bug
-- 拉取docker镜像因为网络原因导致拉取失败
+注意：关于环境搭建成功，但复现漏洞不成功的情况，我可能不会测试并回复issue，因为所有环境在搭建的时候均已测试成功。建议此类issue作者自行测试并寻找错误原因，如果找到原因的确是Vulhub的问题（比如某种情况没考虑到），则再创建issue。
 
-## 附加信息
+**附加信息**
 
 请贴出完整错误信息，可以是命令行输出、软件报错信息、截图等。
 

diff --git a/.github/assets/banner.png b/.github/assets/banner.png
diff --git a/.github/assets/logo.svg b/.github/assets/logo.svg