在真实的企业安全体系中，防火墙从来不是“绝对安全”的代名词。

相反，它位于所有网络流量的最前端，承担访问控制、协议检测与入侵防护等关键职责，是企业边界安全中最核心的一道关口。

正因如此一旦出现漏洞，攻击者往往不需要复杂的前置条件——就可能直接跨过边界控制，进入内网环境，触发从业务系统到核心数据的连锁风险。

绝大多数安全研究者在面对企业级防火墙时，仍然处于典型的“黑盒困境”：

• 固件不可见

• 协议体系私有化

• 业务模块高度耦合

• 攻击面分散且隐蔽

传统针对 Web 或开放系统的漏洞挖掘方法，在这里往往难以直接适用。也正是在这样的背景下，防火墙漏洞研究逐渐从“单点技术问题”，变成了一种更高门槛的体系能力。

看雪联合讲师重磅出品：《系统0day安全——主流企业防火墙漏洞挖掘（第11期）》

高阶实训·自研LangGraph漏洞挖掘工作流

本课程聚焦主流企业级防火墙（Fortinet、Ivanti、WatchGuard、SonicWall、Palo Alto、Cisco、Citrix、Juniper、Sophos、Aruba、Zyxel、DrayTek等）的漏洞挖掘与利用技术。我们以攻击者视角重构漏洞分析，并独家引入基于LangGraph的自建工作流，实现从流量捕获 → 脆弱点识别 → 漏洞触发 → 自动复现的半自动化挖掘体系。

你看到的不是“教程”，而是一套方法体系：

• 企业级防火墙真实攻击面拆解

• Web 管理与边界服务的漏洞结构分析

• 复杂固件环境下的逆向与还原方法

• 高价值漏洞类型的系统化挖掘路径

• 从手工分析到 Agent 流水线的升级思路

五大核心优势，打造不可复制的实战体系

1. 独创 LangGraph 工作流：把 AI 从概念落到挖掘一线

从零带你搭建一套可扩展的 Agentic 漏洞挖掘系统，完整覆盖流量捕获 → 脆弱点识别 → 漏洞触发 → 自动复现的半自动化挖掘链路。

将报文构造、路径遍历、基础代码审计等 70% 以上的重复体力劳动交给工作流，让你把精力集中在漏洞原理分析、利用链构造等高价值环节，真正实现 AI 辅助安全的落地。

2. 全真环境矩阵：10+主流厂商，开箱即练

课程覆盖Fortinet、Ivanti、WatchGuard、SonicWall、Palo Alto、Cisco、Citrix、Juniper、Sophos、Aruba、Zyxel、DrayTek等几乎所有主流企业级防火墙厂商。

3. 漏洞全景库：30+高危漏洞，从根因到武器化吃透

精选 2021—2026 年影响面最广、技术价值最高的30+经典高危漏洞，涵盖未授权 RCE、认证绕过、内存破坏、格式化字符串等主流高危类型。

每个漏洞都带你走通原理根因拆解 → 动态调试复现 → 利用原语构造 → 补丁绕过技巧 → 检测规则编写的完整闭环，让你不仅 “会复现”，更能 “懂本质、能变通”。

4. 系统化闭环：从入门到进阶循序渐进

从固件解包、攻击面识别、Fuzzing 测试、利用原语构造到绕过缓解机制，完整覆盖漏洞挖掘全链条。课程分阶段循序渐进，总学习周期3-5个月，兼顾在职人员碎片化学习，不用怕跟不上节奏。

5. 一线实战经验：学完就能直接复用

课程内容全部来自讲师多年一线漏洞挖掘的真实沉淀，讲师本人已累计斩获数十个 CVE 编号与多家厂商官方致谢。

不讲纸上谈兵的理论，只教经过实战验证的方法、技巧与踩坑经验，学完就能直接套用到自己的安全审计工作中。

适合人群

建立可复用的能力体系——结课收获

独立挖掘能力

能对 Fortinet、Palo Alto、Cisco 等主流厂商防火墙进行独立安全审计，具备从0到1挖掘 0day 的完整能力。

漏洞利用能力

熟练掌握未授权 RCE、认证绕过、内存破坏等多种高危漏洞的分析与利用技巧

自动化提效能力

能基于 LangGraph 搭建自己的自动化挖掘工作流，大幅提升漏洞挖掘效率

漏洞复现与武器化能力

可独立完成经典 CVE 的调试、利用与检测规则编写，吃透漏洞根因与绕过思路

专属方法论与工具链

建立从固件分析到漏洞提交的完整工作流，形成自己的挖掘方法论与工具库

目录——分阶段循序渐进

*以下为课程覆盖的厂商与漏洞类型，具体上课节奏和案例以开课时最新大纲为准。目录不做僵化承诺，确保时效性与实战价值。

第一章 现代LLM工具链

1.1 LangChain 原理

1.2 MCP / Skills 编写

1.3 相关工具讲解

第二章 Fortinet

2.1 FortiOS 架构

2.2 FortiOS 攻击面

2.3 关键 CVE 详解

CVE-2022-42475 — SSLVPN 整数溢出 → 堆溢出 PreAuth RCE

CVE-2023-27997 — SSLVPN 堆越界写 PreAuth RCE

CVE-2024-21762 — SSLVPN 堆越界写 PreAuth RCE

CVE-2022-40684 — 管理口认证绕过

CVE-2024-55591 — 管理口认证绕过

CVE-2023-25610 — 管理口 PreAuth RCE

CVE-2024-23113 — 管理口格式化字符串 PreAuth RCE

CVE-2024-47575 — FGFM 协议 PreAuth RCE (FortiGate → FortiManager)

CVE-2022-41328 — CLI 路径遍历逃逸

CVE-2025-61624 — CLI 路径遍历任意文件写入

第三章 Ivanti

3.1 Ivanti Connect Secure / Policy Secure 架构

3.2 攻击面

3.3 关键 CVE 详解

CVE-2023-46805 — 认证绕过

CVE-2024-21887 — 认证后命令注入 RCE

CVE-2025-0282 — 栈溢出 PreAuth RCE

CVE-2025-0283 — 栈溢出 PreAuth RCE (同公告)

CVE-2025-22457 — 栈溢出 PreAuth RCE

第四章 WatchGuard

4.1 Fireware OS / Firebox 架构

4.2 攻击面

4.3 关键 CVE 详解

CVE-2022-26318 — XML-RPC 缓冲区溢出 PreAuth RCE (Sandworm/GRU)

CVE-2022-31789 — PreAuth RCE

CVE-2022-31790 — 信息泄露

WGSA-2022-00018 — 权限提升 (无关联 CVE)

CVE-2025-9242 — IKEv2 栈缓冲区溢出 PreAuth RCE

CVE-2025-14733 — IKEv2 越界写入 PreAuth RCE

第五章 SonicWall (SonicOS)

5.1 SonicOS (Gen5/6/7/NSv) 架构

5.2 SonicOS 攻击面

5.3 关键 CVE 详解

CVE-2020-5135 — SSLVPN 栈缓冲区溢出 PreAuth RCE

CVE-2021-20046 — HTTP Content-Length 响应头溢出 PostAuth RCE

CVE-2021-20048 — HTTP SessionID 响应头溢出 PostAuth RCE

CVE-2022-22274 — Web 管理接口栈溢出 PreAuth RCE (NSv)

CVE-2023-0656 — httpServer 栈溢出 PreAuth DoS (同根因，不同 URI)

CVE-2024-40766 — 管理访问控制缺陷 PreAuth Auth Bypass (CISA KEV)

CVE-2024-53704 — SSLVPN 认证绕过 (CISA KEV)

第六章 Palo Alto Networks

6.1 PAN-OS 架构

6.2 PAN-OS 攻击面

6.3 关键 CVE 详解

CVE-2020-2021 — SAML 认证绕过

CVE-2021-3064 — GlobalProtect 缓冲区溢出 PreAuth RCE

CVE-2024-3400 — GlobalProtect PreAuth RCE

CVE-2024-0012 — SSLVPN 认证绕过

CVE-2024-9474 — 权限提升 (链式 0012)

CVE-2025-0108 — 认证绕过

CVE-2026-0257 — 认证绕过

CVE-2026-0300 — 整数溢出 PreAuth RCE

第七章 Check Point

7.1 Gaia OS / Infinity 架构

7.2 Gaia OS 攻击面

7.3 关键 CVE 详解

CVE-2026-50751 — IKEv1 认证绕过

第八章 Cisco

8.1 IOS / IOS XE / ASA / FTD / FMC / SD-WAN 架构对比

8.2 攻击面全景 (Web UI / VPN / FMC / SD-WAN / AsyncOS)

8.3 关键 CVE 详解

CVE-2023-20198 — IOS XE Web UI 认证绕过 → 特权15账户

CVE-2023-20273 — IOS XE Web UI 命令注入 → root RCE (链式 20198)

CVE-2023-20269 — ASA/FTD VPN 认证绕过 → 暴力破解

CVE-2025-20333 — ASA/FTD VPN 缓冲区溢出 PostAuth RCE

CVE-2025-20362 — ASA/FTD VPN 未授权访问 (链式 20333)

CVE-2025-20363 — 多平台 Web 服务堆溢出 RCE

CVE-2025-20393 — AsyncOS Spam Quarantine PreAuth RCE (UAT-9686)

CVE-2026-20079 — FMC 认证绕过 → root RCE

CVE-2026-20131 — FMC 反序列化 PreAuth RCE (Interlock 勒索)

CVE-2026-20127 — SD-WAN DTLS 认证绕过 (UAT-8616)

CVE-2026-20182 — SD-WAN 对等认证绕过 (CISA 紧急指令 26-03)

CVE-2022-20775 — SD-WAN 本地提权 (链式 20127)

第九章 Citrix (NetScaler ADC / Gateway)

9.1 NetScaler ADC / Gateway 架构

9.2 攻击面 (SAML / VPN / Gateway)

9.3 关键 CVE 详解

CVE-2022-27510 — Gateway 认证绕过

CVE-2022-27518 — SAML PreAuth RCE (APT5)

CVE-2023-3519 — 代码注入 PreAuth RCE (勒索利用)

CVE-2023-4966 — CitrixBleed 1：越界读取 → 会话劫持

CVE-2025-5777 — CitrixBleed 2：越界读取 → 会话劫持

CVE-2025-6543 — 内存溢出 PreAuth RCE

CVE-2025-7775 — CitrixDeelb：内存溢出 PreAuth RCE

CVE-2025-12101 — SAML RelayState RXSS / CSRF

CVE-2026-3055 — CitrixBleed 3：SAML+WS-Fed 双原语越界读

CVE-2026-4368 — 会话混淆 (搭档 3055)

第十章 Juniper

10.1 Junos OS 架构

10.2 J-Web / Overlayd / Kernel 攻击面

10.3 关键 CVE 详解

CVE-2022-22241 — J-Web Phar 反序列化 PreAuth RCE

CVE-2022-22245 / CVE-2022-22246 — J-Web 链式辅助漏洞

CVE-2023-36844 / CVE-2023-36845 / CVE-2023-36846 / CVE-2023-36847 / CVE-2023-36851 — J-Web 五连链 PreAuth RCE

CVE-2024-21591 — J-Web 越界写入 PreAuth RCE

CVE-2025-21590 — 内核隔离缺陷 Local PrivEsc (UNC3886)

第十一章 Sophos

11.1 Sophos Firewall (XG) 架构

11.2 攻击面 (User Portal / WebAdmin / SPX / SMTP / SWA)

11.3 关键 CVE 详解

CVE-2022-1040 — User Portal 认证绕过 PreAuth RCE

CVE-2022-3236 — User Portal 代码注入 PreAuth RCE

CVE-2024-12727 — SPX SQL 注入 PreAuth RCE (HA only)

CVE-2024-12728 — SSH 弱口令残留 → 特权账户泄露

CVE-2024-12729 — User Portal 认证后代码注入 RCE

CVE-2025-6704 — SPX 任意文件写入 PreAuth RCE

CVE-2025-7624 — 遗留 SMTP 代理 SQL 注入 PreAuth RCE

CVE-2025-7382 — WebAdmin OTP 命令注入 (HA 辅助设备)

第十二章 Aruba (HPE) — ArubaOS VMC

12.1 ArubaOS 架构

12.2 攻击面

12.3 关键 CVE 详解

CVE-2021-37716 — PAPI 缓冲区溢出 PreAuth RCE

CVE-2022-37886 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +5 CVE)

CVE-2023-22757 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +4 CVE)

CVE-2023-35980 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +2 CVE)

CVE-2023-45614 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +5 CVE: 含 RCE + 文件删除)

CVE-2024-26304 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +3 CVE, exploit 可用)

CVE-2024-42393 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +2 CVE)

第十三章 Zyxel

13.1 ZLD 固件架构

13.2 攻击面 (CGI handler / ZTP / IKEv2 / IPSec VPN / Web)

13.3 关键 CVE 详解

CVE-2022-0342 — CGI 非标准端口认证绕过

CVE-2022-30525 — ZTP handler 命令注入 PreAuth RCE (Rapid7)

CVE-2023-28771 — IKEv2 命令注入 PreAuth RCE (Mirai 利用)

CVE-2023-33009 — 通知功能缓冲区溢出 PreAuth RCE

CVE-2023-33010 — ID 处理功能缓冲区溢出 PreAuth RCE

CVE-2024-42057 — IPSec VPN User-Based-PSK 命令注入 PreAuth RCE

CVE-2024-11667 — Web 管理接口路径遍历 (Helldown 勒索)

第十四章 DrayTek

14.1 Vigor 路由器架构

14.2 攻击面 (mainfunction.cgi / wlogin.cgi / VigorConnect)

14.3 关键 CVE 详解

CVE-2020-8515 — mainfunction.cgi keyPath/rtick 命令注入 PreAuth RCE

CVE-2020-15415 — mainfunction.cgi cvmcfgupload 命令注入 PreAuth RCE

CVE-2022-32548 — wlogin.cgi 缓冲区溢出 PreAuth RCE (CVSS 10.0)

CVE-2024-12987 — mainfunction.cgi apmcfgupload 命令注入 PreAuth RCE

CVE-2024-51138 / CVE-2024-51139 — 缓冲区溢出 PreAuth RCE

CVE-2025-10547 — Web UI 未初始化变量 PreAuth RCE

报名入口：系统0day安全——主流企业防火墙漏洞挖掘（第11期） - 漏洞挖掘 - 看雪学苑｜专业信息安全学习平台

首发限时特惠：¥20000（原价¥25000）

课程咨询

*购买后请添加官方工作人员微信kanxuecom，发送「订单号+付款截图」，核实后开通课程观看权限。

官方声明：课程使用加密客户端播放

为保护课程知识产权、杜绝盗版传播，保障所有学员学习权益，课程采用加密专属播放客户端，需签订保密协议。

课程视频已嵌入唯一身份标识及多重数字水印（含画面水印、声纹水印等），所有内容均可精准溯源。任何通过闲鱼、淘宝、B站等平台传播、售卖或以其他形式泄露课程内容的行为，均可追踪至具体账号。一经确认，将立即永久封禁账号，并依法追究侵权责任。

点此报名：系统0day安全——主流企业防火墙漏洞挖掘（第11期） - 漏洞挖掘 - 看雪学苑｜专业信息安全学习平台

[招生]科锐逆向工程师培训(2026年7月3日实地，远程教学同时开班, 第56期)！