本课程聚焦主流企业级防火墙（Fortinet、Ivanti、WatchGuard、SonicWall、Palo Alto、Cisco、Citrix、Juniper、Sophos、Aruba、Zyxel、DrayTek等）的漏洞挖掘与利用技术。我们以攻击者视角重构漏洞分析，并独家引入基于LangGraph的自建工作流，实现从流量捕获 → 脆弱点识别 → 漏洞触发 → 自动复现的半自动化挖掘体系。 无论你是想独立挖掘0day，还是想体系化提升二进制安全能力，本课程将带你冲破闭源防火墙的“黑盒”迷雾。

第一章 现代LLM工具链 1.1 LangChain 原理 1.2 MCP / Skills 编写 1.3 相关工具讲解 第二章 Fortinet 2.1 FortiOS 架构 2.2 FortiOS 攻击面 2.3 关键 CVE 详解 CVE-2022-42475 — SSLVPN 整数溢出 → 堆溢出 PreAuth RCE CVE-2023-27997 — SSLVPN 堆越界写 PreAuth RCE CVE-2024-21762 — SSLVPN 堆越界写 PreAuth RCE CVE-2022-40684 — 管理口认证绕过 CVE-2024-55591 — 管理口认证绕过 CVE-2023-25610 — 管理口 PreAuth RCE CVE-2024-23113 — 管理口格式化字符串 PreAuth RCE CVE-2024-47575 — FGFM 协议 PreAuth RCE (FortiGate → FortiManager) CVE-2022-41328 — CLI 路径遍历逃逸 CVE-2025-61624 — CLI 路径遍历任意文件写入 第三章 Ivanti 3.1 Ivanti Connect Secure / Policy Secure 架构 3.2 攻击面 3.3 关键 CVE 详解 CVE-2023-46805 — 认证绕过 CVE-2024-21887 — 认证后命令注入 RCE CVE-2025-0282 — 栈溢出 PreAuth RCE CVE-2025-0283 — 栈溢出 PreAuth RCE (同公告) CVE-2025-22457 — 栈溢出 PreAuth RCE 第四章 WatchGuard 4.1 Fireware OS / Firebox 架构 4.2 攻击面 4.3 关键 CVE 详解 CVE-2022-26318 — XML-RPC 缓冲区溢出 PreAuth RCE (Sandworm/GRU) CVE-2022-31789 — PreAuth RCE CVE-2022-31790 — 信息泄露 WGSA-2022-00018 — 权限提升 (无关联 CVE) CVE-2025-9242 — IKEv2 栈缓冲区溢出 PreAuth RCE CVE-2025-14733 — IKEv2 越界写入 PreAuth RCE 第五章 SonicWall (SonicOS) 5.1 SonicOS (Gen5/6/7/NSv) 架构 5.2 SonicOS 攻击面 5.3 关键 CVE 详解 CVE-2020-5135 — SSLVPN 栈缓冲区溢出 PreAuth RCE CVE-2021-20046 — HTTP Content-Length 响应头溢出 PostAuth RCE CVE-2021-20048 — HTTP SessionID 响应头溢出 PostAuth RCE CVE-2022-22274 — Web 管理接口栈溢出 PreAuth RCE (NSv) CVE-2023-0656 — httpServer 栈溢出 PreAuth DoS (同根因，不同 URI) CVE-2024-40766 — 管理访问控制缺陷 PreAuth Auth Bypass (CISA KEV) CVE-2024-53704 — SSLVPN 认证绕过 (CISA KEV) 第六章 Palo Alto Networks 6.1 PAN-OS 架构 6.2 PAN-OS 攻击面 6.3 关键 CVE 详解 CVE-2020-2021 — SAML 认证绕过 CVE-2021-3064 — GlobalProtect 缓冲区溢出 PreAuth RCE CVE-2024-3400 — GlobalProtect PreAuth RCE CVE-2024-0012 — SSLVPN 认证绕过 CVE-2024-9474 — 权限提升 (链式 0012) CVE-2025-0108 — 认证绕过 CVE-2026-0257 — 认证绕过 CVE-2026-0300 — 整数溢出 PreAuth RCE 第七章 Check Point 7.1 Gaia OS / Infinity 架构 7.2 Gaia OS 攻击面 7.3 关键 CVE 详解 CVE-2026-50751 — IKEv1 认证绕过 第八章 Cisco 8.1 IOS / IOS XE / ASA / FTD / FMC / SD-WAN 架构对比 8.2 攻击面全景 (Web UI / VPN / FMC / SD-WAN / AsyncOS) 8.3 关键 CVE 详解 CVE-2023-20198 — IOS XE Web UI 认证绕过 → 特权15账户 CVE-2023-20273 — IOS XE Web UI 命令注入 → root RCE (链式 20198) CVE-2023-20269 — ASA/FTD VPN 认证绕过 → 暴力破解 CVE-2025-20333 — ASA/FTD VPN 缓冲区溢出 PostAuth RCE CVE-2025-20362 — ASA/FTD VPN 未授权访问 (链式 20333) CVE-2025-20363 — 多平台 Web 服务堆溢出 RCE CVE-2025-20393 — AsyncOS Spam Quarantine PreAuth RCE (UAT-9686) CVE-2026-20079 — FMC 认证绕过 → root RCE CVE-2026-20131 — FMC 反序列化 PreAuth RCE (Interlock 勒索) CVE-2026-20127 — SD-WAN DTLS 认证绕过 (UAT-8616) CVE-2026-20182 — SD-WAN 对等认证绕过 (CISA 紧急指令 26-03) CVE-2022-20775 — SD-WAN 本地提权 (链式 20127) 第九章 Citrix (NetScaler ADC / Gateway) 9.1 NetScaler ADC / Gateway 架构 9.2 攻击面 (SAML / VPN / Gateway) 9.3 关键 CVE 详解 CVE-2022-27510 — Gateway 认证绕过 CVE-2022-27518 — SAML PreAuth RCE (APT5) CVE-2023-3519 — 代码注入 PreAuth RCE (勒索利用) CVE-2023-4966 — CitrixBleed 1：越界读取 → 会话劫持 CVE-2025-5777 — CitrixBleed 2：越界读取 → 会话劫持 CVE-2025-6543 — 内存溢出 PreAuth RCE CVE-2025-7775 — CitrixDeelb：内存溢出 PreAuth RCE CVE-2025-12101 — SAML RelayState RXSS / CSRF CVE-2026-3055 — CitrixBleed 3：SAML+WS-Fed 双原语越界读 CVE-2026-4368 — 会话混淆 (搭档 3055) 第十章 Juniper 10.1 Junos OS 架构 10.2 J-Web / Overlayd / Kernel 攻击面 10.3 关键 CVE 详解 CVE-2022-22241 — J-Web Phar 反序列化 PreAuth RCE CVE-2022-22245 / CVE-2022-22246 — J-Web 链式辅助漏洞 CVE-2023-36844 / CVE-2023-36845 / CVE-2023-36846 / CVE-2023-36847 / CVE-2023-36851 — J-Web 五连链 PreAuth RCE CVE-2024-21591 — J-Web 越界写入 PreAuth RCE CVE-2025-21590 — 内核隔离缺陷 Local PrivEsc (UNC3886) 第十一章 Sophos 11.1 Sophos Firewall (XG) 架构 11.2 攻击面 (User Portal / WebAdmin / SPX / SMTP / SWA) 11.3 关键 CVE 详解 CVE-2022-1040 — User Portal 认证绕过 PreAuth RCE CVE-2022-3236 — User Portal 代码注入 PreAuth RCE CVE-2024-12727 — SPX SQL 注入 PreAuth RCE (HA only) CVE-2024-12728 — SSH 弱口令残留 → 特权账户泄露 CVE-2024-12729 — User Portal 认证后代码注入 RCE CVE-2025-6704 — SPX 任意文件写入 PreAuth RCE CVE-2025-7624 — 遗留 SMTP 代理 SQL 注入 PreAuth RCE CVE-2025-7382 — WebAdmin OTP 命令注入 (HA 辅助设备) 第十二章 Aruba (HPE) — ArubaOS VMC 12.1 ArubaOS 架构 12.2 攻击面 12.3 关键 CVE 详解 CVE-2021-37716 — PAPI 缓冲区溢出 PreAuth RCE CVE-2022-37886 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +5 CVE) CVE-2023-22757 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +4 CVE) CVE-2023-35980 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +2 CVE) CVE-2023-45614 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +5 CVE: 含 RCE + 文件删除) CVE-2024-26304 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +3 CVE, exploit 可用) CVE-2024-42393 — PAPI 缓冲区溢出 PreAuth RCE (同公告 +2 CVE) 第十三章 Zyxel 13.1 ZLD 固件架构 13.2 攻击面 (CGI handler / ZTP / IKEv2 / IPSec VPN / Web) 13.3 关键 CVE 详解 CVE-2022-0342 — CGI 非标准端口认证绕过 CVE-2022-30525 — ZTP handler 命令注入 PreAuth RCE (Rapid7) CVE-2023-28771 — IKEv2 命令注入 PreAuth RCE (Mirai 利用) CVE-2023-33009 — 通知功能缓冲区溢出 PreAuth RCE CVE-2023-33010 — ID 处理功能缓冲区溢出 PreAuth RCE CVE-2024-42057 — IPSec VPN User-Based-PSK 命令注入 PreAuth RCE CVE-2024-11667 — Web 管理接口路径遍历 (Helldown 勒索) 第十四章 DrayTek 14.1 Vigor 路由器架构 14.2 攻击面 (mainfunction.cgi / wlogin.cgi / VigorConnect) 14.3 关键 CVE 详解 CVE-2020-8515 — mainfunction.cgi keyPath/rtick 命令注入 PreAuth RCE CVE-2020-15415 — mainfunction.cgi cvmcfgupload 命令注入 PreAuth RCE CVE-2022-32548 — wlogin.cgi 缓冲区溢出 PreAuth RCE (CVSS 10.0) CVE-2024-12987 — mainfunction.cgi apmcfgupload 命令注入 PreAuth RCE CVE-2024-51138 / CVE-2024-51139 — 缓冲区溢出 PreAuth RCE CVE-2025-10547 — Web UI 未初始化变量 PreAuth RCE

问：课程有入门门槛吗？零基础可以学习吗？ 答：本课程为高级实战课，需要掌握汇编、C/C++ 基础，了解基础漏洞原理与二进制知识。纯零基础建议先学习二进制入门课程，再报名本期挖掘专项课。 问：课程形式是直播还是录播？支持回看吗？ 答：录播模式，视频永久有效，支持反复观看、查漏补缺。 问：上课周期多久？总时长多少？ 答：课程总时长约 80 小时，分阶段授课，整体学习周期 2-3 个月，节奏合理，兼顾在职人员碎片化学习。 问：学完能保证挖到 0day / 拿到 CVE 吗？ 答：课程传授完整挖掘方法论与实战技巧，搭配海量真实案例练习。0day 挖掘存在客观随机性，但学完后具备独立挖掘、提交漏洞、申请 CVE 的完整能力。 问：课程后续会更新内容吗？ 答：长期更新！持续同步行业新漏洞、新攻击手法与厂商安全动态。