一般通用web程序是如果想知道网站域名不是一件简单的事情，如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header（比如在php里是_SERVER[“HTTP_HOST”] ），而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中，比如：<link href="http://_SERVER['HOST']" (Joomla)还有的地方还包含有secret key和token，<a href="http://_SERVER['HOST']?token=topsecret"> (Django, Gallery, others)这样处理问题一般会很容易遭遇到两种常见的攻击：缓存污染和密码重置。缓存污染是指攻击者通过控制一个缓存系统来将一个恶意站点的页面返回给用户。密码重置这种攻击主要是因为发送给用户的内容是可以污染的，也就是说可以间接的劫持邮件发送内容。0x01 密码重置污染攻击拿 Gallery 这个站来做例子。当我们进行密码重置的时候，网站会给我们发送一个随机的key：$user -> hash = random::hash() ; $message -> confirm_url = url::abs_site("password/d ...继续阅读 (30)

Linux内核在处理内存写时拷贝（Copy-on-Write）时存在条件竞争漏洞，导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限，有可能进一步导致提权漏洞。漏洞危害：低权限用户可以利用该漏洞修改只读内存，进而执行任意代码获取 root 权限。影响范围：该漏洞影响所有Linux Kernel >= 2.6.22的版本。2.6.22 是 2007 年发布的版本，也就是说这个漏洞几乎影响 2007 以后的所有版本。漏洞测试：读取 /proc/version 来获取 LinuxKernel 版本：➜ ~ cat /proc/versionLinuxversion 4.4.0-42-generic(buildd@lgw01-13) (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.2) )#62-Ubuntu SMP Fri Oct 7 23:11:45 UTC 20164.4.0 版本的Kernel，看样子是受影响的，github 上给出了如下的 POC：#include<stdio.h> #include<sys/mman.h> #include<fcntl.h> #include<pthread.h> #include&l ...继续阅读 (18)

0x01 前言这个是今年我在KCON 2016上的演讲题目，这个漏洞我最早在今年的4月份报告给了苹果公司一直没有得到修复进度等反馈。在刚刚发布的iOS 10里已经不受这个漏洞影响了，所以这里直接把细节再次和大家一起分享一下。0x02 漏洞描述这个漏洞主要是在 iOS 对于 URL Scheme 及其在 UIWebView 等控件的自动诊断识别等处理机制下导致跨应用XSS漏洞。0x03 漏洞详情iOS下的URLScheme存在几个特点：iOS 下 URL Schemes 全局有效且只需安装 app 即可生效。iOS 下的 URL Schemes 的链接会被 UITextView 或者 UIWebView 的 Detection Links 属性识别为链接。我们先看第2点的具体处理机制“UIWebView的Detection Links属性识别为链接”，也就是说你输入的任何 URL Scheme 连接都会被解析 html 里的 a 标签的调用：scheme:// —&gt; &lt;a … href="scheme://"&gt; … &lt;/a &gt;对XSS漏洞很熟悉的同学，很可能就会想到2个方向：通过双引号闭合使用事件来执行js 经过测试在上引号出现在scheme里不会被识别， ...继续阅读 (21)

最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展，对我有很大启发。本文将基于他公开的POC，并结合我的研究心得，介绍以下MSBuild的应用技巧：Execute PowerShell CommandsExecute PE fileExecute ShellcodeVisualStudio Persistence0x01 简介MSBuild是Microsoft Build Engine的缩写，代表Microsoft和Visual Studio的新的生成平台MSBuild可在未安装Visual Studio的环境中编译.net的工程文件MSBuild可编译特定格式的xml文件更多基本知识可参照以下链接：https://msdn.microsoft.com/en-us/library/dd393574.aspx0x02 常规用法1. 编译xml文件并执行代码<?xml version="1.0" encoding="utf-8" ?> <Project xmlns="http://schemas.microsoft.com/developer/msbuild/2003"> <Target Name="PrintCurrentDateTime"> <Message Text="The current ...继续阅读 (34)

在渗透测试或者漏洞评估的过程中，提权是非常重要的一步，在这一步，黑客和安全研究人员常常通过exploit,bug,错误配置来提升权限。本文的例子都是在虚拟机里测试的，不同的虚拟机可以从Vulnhub下载。实验一：利用Linux内核漏洞提权VulnOS version 2是VulHub上的一个Linux提权练习，当打开虚拟机后，可以看到获取到低权限SHELL后我们通常做下面几件事1.检测操作系统的发行版本2.查看内核版本3.检测当前用户权限4.列举Suid文件5.查看已经安装的包，程序，运行的服务，过期版本的有可能有漏洞$ lsb_release -a查看系统的发行版本$ uname -a查看内核版本每 次在提权的时候，我们都会一次又一次的测试，我们将搜索所有可能的提权技术，并依次应用，直到成功。我们将测试不同的内核exploit,也会暴力破解账 号。这个例子我们知道操作系统采用的是Ubuntu 14.04.4 LTS，内核版本是3.13.0-24-generic，首先我们尝试利用overlayfs,这个exploit会工作在Ubuntu 12.04/14.04/14.10/15.04的linux内核3.19之前和3.13.0之后，我们测试一下。我们首先移动到/tmp目录，然后新建一个文件，粘贴exploit代码进去依次运行：$ cd /tmp $ touch exploit.c $ ...继续阅读 (17)

在渗透测试或者漏洞评估的过程中，提权是非常重要的一步，在这一步，黑客和安全研究人员常常通过exploit,bug,错误配置来提升权限。本文的例子都是在虚拟机里测试的，不同的虚拟机可以从Vulnhub下载。实验一：利用Linux内核漏洞提权VulnOS version 2是VulHub上的一个Linux提权练习，当打开虚拟机后，可以看到获取到低权限SHELL后我们通常做下面几件事1.检测操作系统的发行版本2.查看内核版本3.检测当前用户权限4.列举Suid文件5.查看已经安装的包，程序，运行的服务，过期版本的有可能有漏洞$ lsb_release -a查看系统的发行版本$ uname -a查看内核版本每 次在提权的时候，我们都会一次又一次的测试，我们将搜索所有可能的提权技术，并依次应用，直到成功。我们将测试不同的内核exploit,也会暴力破解账 号。这个例子我们知道操作系统采用的是Ubuntu 14.04.4 LTS，内核版本是3.13.0-24-generic，首先我们尝试利用overlayfs,这个exploit会工作在Ubuntu 12.04/14.04/14.10/15.04的linux内核3.19之前和3.13.0之后，我们测试一下。我们首先移动到/tmp目录，然后新建一个文件，粘贴exploit代码进去依次运行：$ cd /tmp $ touch exploit.c $ ...继续阅读 (25)

测试环境ubuntu 14.04 root用户 windows7 x64 user用户**0x01环境准备**apt-get update apt-get -y install ruby-dev git make g++ gem install bundler git clone https://github.com/iagox86/dnscat2.git cd dnscat2/server #修改Gemfile source 'https://ruby.taobao.org/' bundle install或者通过docker安装apt-get install docker.io service docker status service docker start cd ~/dnscat2/server #修改Gemfile source 'https://ruby.taobao.org/' docker build .安装完成之后，可能在docker images 看到这个镜像没有名字，我们修改一下 docker tag IMAGEID mpercival/dnscat2**0x02利用过程**server端cd dnscat2/server ruby ./dnscat2.rb #docker用户 docker run -p 53:53/udp -it --rm mperci ...继续阅读 (27)

测试环境ubuntu 14.04 root用户 windows7 x64 user用户**0x01环境准备**apt-get update apt-get -y install ruby-dev git make g++ gem install bundler git clone https://github.com/iagox86/dnscat2.git cd dnscat2/server #修改Gemfile source 'https://ruby.taobao.org/' bundle install或者通过docker安装apt-get install docker.io service docker status service docker start cd ~/dnscat2/server #修改Gemfile source 'https://ruby.taobao.org/' docker build .安装完成之后，可能在docker images 看到这个镜像没有名字，我们修改一下 docker tag IMAGEID mpercival/dnscat2**0x02利用过程**server端cd dnscat2/server ruby ./dnscat2.rb #docker用户 docker run -p 53:53/udp -it --rm mperci ...继续阅读 (20)

1、HPP HTTP参数污染HTTP参数污染指的是，在URL中提交相同键值的两个参数时，服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准，比如：user.php?id=111&id=222如果输出$_GET数组，则id的值只会取222，即URL上提交的多余值覆盖了前一个值。2、一个CTF题目http://drops.wooyun.org/tips/17248关于注入的waf绕过，注入点为：$sql="select * from user where id=".$_REQUEST["id"].";";可以看到了REQUEST进行传递，并且存在如下的waf代码：functionwaf($str) { if(stripos($str,"select")!==false) die("Be a good person!"); if(stripos($str,"union")!==false) die("Be a good person!"); ...... } functionwafArr($arr) { foreach($arras$k=> $v) { ...继续阅读 (25)

1、HPP HTTP参数污染HTTP参数污染指的是，在URL中提交相同键值的两个参数时，服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准，比如：user.php?id=111&id=222如果输出$_GET数组，则id的值只会取222，即URL上提交的多余值覆盖了前一个值。2、一个CTF题目http://drops.wooyun.org/tips/17248关于注入的waf绕过，注入点为：$sql="select * from user where id=".$_REQUEST["id"].";";可以看到了REQUEST进行传递，并且存在如下的waf代码：functionwaf($str) { if(stripos($str,"select")!==false) die("Be a good person!"); if(stripos($str,"union")!==false) die("Be a good person!"); ...... } functionwafArr($arr) { foreach($arras$k=> $v) { ...继续阅读 (32)

从架构、资源、协议和规则4个层次研究绕过WAF的技术，助于全方位提升WAF防御能力。绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分，也是最有趣的部分，所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”，如果连绕过WAF方法都不知道，怎么保证WAF能保护后端服务的安全。在我看来，WAF的绕过技术的研究将不断驱动防御水平提高。以前一些WAF bypass的文章更像CASE的整理，都把焦点放在了规则对抗层面。绕过WAF规则，更像是正面对抗，属于下策。一直关注规则层面的绕过，太局限视野，看不到WAF在其他方面问题。木桶原理，防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术，全方位提升WAF的防御能力。 讲完相关攻击技术后，以后再探讨WAF的设计架构、防御策略，这样显得每一处的考虑都是有意义的。从架构层Bypass WAF 。从资源限角度bypass WAF。从协议层面bypass WAF。从规则缺陷bypass WAF。1. 架构层绕过WAF1.1  寻找源站如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、360安全卫士等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，liusscs.com接入接入WAF后，liusscs.comd的DNS解析结果指向WAF集群，用 ...继续阅读 (26)

从架构、资源、协议和规则4个层次研究绕过WAF的技术，助于全方位提升WAF防御能力。绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分，也是最有趣的部分，所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”，如果连绕过WAF方法都不知道，怎么保证WAF能保护后端服务的安全。在我看来，WAF的绕过技术的研究将不断驱动防御水平提高。以前一些WAF bypass的文章更像CASE的整理，都把焦点放在了规则对抗层面。绕过WAF规则，更像是正面对抗，属于下策。一直关注规则层面的绕过，太局限视野，看不到WAF在其他方面问题。木桶原理，防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术，全方位提升WAF的防御能力。 讲完相关攻击技术后，以后再探讨WAF的设计架构、防御策略，这样显得每一处的考虑都是有意义的。从架构层Bypass WAF 。从资源限角度bypass WAF。从协议层面bypass WAF。从规则缺陷bypass WAF。1. 架构层绕过WAF1.1  寻找源站如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、360安全卫士等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，liusscs.com接入接入WAF后，liusscs.comd的DNS解析结果指向WAF集群，用 ...继续阅读 (24)

绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分，也是最有趣的部分，所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”，如果连绕过WAF方法都不知道，怎么保证WAF能保护后端服务的安全。在我看来，WAF的绕过技术的研究将不断驱动防御水平提高。以前一些WAF bypass的文章更像CASE的整理，都把焦点放在了规则对抗层面。绕过WAF规则，更像是正面对抗，属于下策。一直关注规则层面的绕过，太局限视野，看不到WAF在其他方面问题。木桶原理，防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术，全方位提升WAF的防御能力。 讲完相关攻击技术后，以后再探讨WAF的设计架构、防御策略，这样显得每一处的考虑都是有意义的。从架构层Bypass WAF 。从资源限角度bypass WAF。从协议层面bypass WAF。从规则缺陷bypass WAF。1. 架构层绕过WAF1.1  寻找源站如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、360安全卫士等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，liusscs.com接入接入WAF后，liusscs.comd的DNS解析结果指向WAF集群，用户的请求将发送给WAF集群，WAF集群经过检测认为非攻击请求再转发给源站。云WAF流 ...继续阅读 (89)

一、 漏洞概述1.  漏洞信息“IPS Community Suite “是一款国外比较常见的cms。但在其4.1.12.3版本及以下版本，存在PHP代码注入漏洞，该漏洞源于程序未能充分过滤content_class请求参数。远程攻击者可利用该漏洞注入并执行任意PHP代码。2.  触发条件IPS版本：<=4.1.12.3php环境：<=5.4.24和5.5.0-5.5.8二、漏洞复现1.   分析在 /applications/core/modules/front/system/content.php 文件中有一段这样的代码，$class = \'IPS\' . implode( \'\', explode( \'_\', IPSRequest::i()->content_class ) ); if ( ! class_exists( $class ) or ! in_array( \'IPSContent\', class_parents( $class ) ) ) { IPSOutput::i()->error( \'node_error\', \'2S226/2\', 404, \'\' ); }这里程序通过 IPSRequest::i()->content_class 获取了我们通 ...继续阅读 (65)

一、 漏洞概述1.  漏洞信息“IPS Community Suite “是一款国外比较常见的cms。但在其4.1.12.3版本及以下版本，存在PHP代码注入漏洞，该漏洞源于程序未能充分过滤content_class请求参数。远程攻击者可利用该漏洞注入并执行任意PHP代码。2.  触发条件IPS版本：<=4.1.12.3php环境：<=5.4.24和5.5.0-5.5.8二、漏洞复现1.   分析在 /applications/core/modules/front/system/content.php 文件中有一段这样的代码，$class = \'IPS\' . implode( \'\', explode( \'_\', IPSRequest::i()->content_class ) ); if ( ! class_exists( $class ) or ! in_array( \'IPSContent\', class_parents( $class ) ) ) { IPSOutput::i()->error( \'node_error\', \'2S226/2\', 404, \'\' ); }这里程序通过 IPSRequest::i()->content_class 获取了我们通 ...继续阅读 (24)

《零日》主要讲述了“震网”计算机蠕虫病毒攻击伊朗核设施的故事：为阻止伊朗核计划，美国等国不仅采取暗杀伊朗核专家等手段，还利用“震网”病毒攻击伊朗核设施，导致浓缩铀离心机转速失控……2010年，国际信息技术专家首次发现可自我复制的“震网”病毒。据报道，该病毒为美国和以色列为破坏伊朗核计划共同研发，有关计划代号为“奥运会”。“震网”病毒不仅攻击了伊朗核设施，还一度失控，蔓延至全球多国。影片中，知情者透露，“奥运会”计划实际上只是美国“NITRO　ZEUS”网络战行动的一部分，该行动可通过攻击工业、交通、防空、电网等关键设施，令伊朗瞬间瘫痪，且不留下任何证据。迄今为止，美国政府从未承认对别国实施网络攻击，并一再指责其他国家对美国发动网络攻击。导演吉布尼当天在柏林电影节记者会上表示，国际社会已就核生化武器达成有关协议，却对网络武器讳莫如深。网络武器危险异常，希望通过公开讨论，避免网络战可能带来的严重后果。观看链接：《Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】》 ...继续阅读 (65)

《零日》主要讲述了“震网”计算机蠕虫病毒攻击伊朗核设施的故事：为阻止伊朗核计划，美国等国不仅采取暗杀伊朗核专家等手段，还利用“震网”病毒攻击伊朗核设施，导致浓缩铀离心机转速失控……2010年，国际信息技术专家首次发现可自我复制的“震网”病毒。据报道，该病毒为美国和以色列为破坏伊朗核计划共同研发，有关计划代号为“奥运会”。“震网”病毒不仅攻击了伊朗核设施，还一度失控，蔓延至全球多国。影片中，知情者透露，“奥运会”计划实际上只是美国“NITRO　ZEUS”网络战行动的一部分，该行动可通过攻击工业、交通、防空、电网等关键设施，令伊朗瞬间瘫痪，且不留下任何证据。迄今为止，美国政府从未承认对别国实施网络攻击，并一再指责其他国家对美国发动网络攻击。导演吉布尼当天在柏林电影节记者会上表示，国际社会已就核生化武器达成有关协议，却对网络武器讳莫如深。网络武器危险异常，希望通过公开讨论，避免网络战可能带来的严重后果。观看链接：《Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】》 ...继续阅读 (24)

Python作为新一代的web开发语言，不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务，我们结合这些服务的一系列安全问题，将可以做很多有趣的事情。目标端口开放了 6379、8080~8086、8889、8079首先，8080~8086、8889都是web服务，而且是一个站，6379是redis、8079是一个web服务但有http基础认证。逐一击破。8080~8086、8889：存在弱口令admin – admin12346379：存在redis未授权访问8079：存在弱口令user –123，登录查看发现是Supervisord管理页面从易到难，先看redis，也许可以直接通过redis拿下root。redis已经被人扫过，写过公钥：写入/root/.ssh/和/root/目录提示如下：(error) ERR Changing directory: Permission denied可能是redis被降权了。再试一下写crontab。可能真是被降权了。我们看看redis里面放了些什么：看这个(dp1\nS\'user\'\np2\nI7\ns.，长的就像python里的Pickle。而Pickle是可以执行python代码的。所以，屡一下思路：网站是python ...继续阅读 (46)

Python作为新一代的web开发语言，不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务，我们结合这些服务的一系列安全问题，将可以做很多有趣的事情。目标端口开放了 6379、8080~8086、8889、8079首先，8080~8086、8889都是web服务，而且是一个站，6379是redis、8079是一个web服务但有http基础认证。逐一击破。8080~8086、8889：存在弱口令admin – admin12346379：存在redis未授权访问8079：存在弱口令user –123，登录查看发现是Supervisord管理页面从易到难，先看redis，也许可以直接通过redis拿下root。redis已经被人扫过，写过公钥：写入/root/.ssh/和/root/目录提示如下：(error) ERR Changing directory: Permission denied可能是redis被降权了。再试一下写crontab。可能真是被降权了。我们看看redis里面放了些什么：看这个(dp1\nS\'user\'\np2\nI7\ns.，长的就像python里的Pickle。而Pickle是可以执行python代码的。所以，屡一下思路：网站是python ...继续阅读 (31)

(个人赛)第一节：title:进入192.168.1.6 获取秘匙。ps: http://www.liuyan.com 跟 192.168.1.6是工作区规程：渗透过程不得使用nmap等扫描端口工具，更加不能使用WEB扫描器。（只要有关于爬虫都不行 or 扫描owasp top 10 appsan wvs burp）除非工具是你个人写的。 更加不可以作弊：比如 ip冲突，中间人攻击。请保持好个人素质。特别注意：全过程中不得求助增援，只能靠个人实力，为了防止作弊全过程需要屏幕录像。打开 http://192.168.1.6 提示没权限访问。。。估计做了白名单验证。。。然而：http://www.liuyan.com 是可以访问的。简单收集下信息：http://www.liuyan.com [200] Apache[2.4.7], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.7 (Ubuntu)], IP[192.168.1.7], Index-Of, Title[Index of /]提示说：密码 4位int密码。我一开始想到了密码爆破 至于验证码嘛 肯定是存在session没更新导致验证码复用的漏洞，但是经过测试发现这个漏洞不存在。所以唯一的办法就是写验证码识别。。分析一下验证码的 锚点 跟 干扰线，以及模糊 ...继续阅读 (87)

(个人赛)第一节：title:进入192.168.1.6 获取秘匙。ps: http://www.liuyan.com 跟 192.168.1.6是工作区规程：渗透过程不得使用nmap等扫描端口工具，更加不能使用WEB扫描器。（只要有关于爬虫都不行 or 扫描owasp top 10 appsan wvs burp）除非工具是你个人写的。 更加不可以作弊：比如 ip冲突，中间人攻击。请保持好个人素质。特别注意：全过程中不得求助增援，只能靠个人实力，为了防止作弊全过程需要屏幕录像。打开 http://192.168.1.6 提示没权限访问。。。估计做了白名单验证。。。然而：http://www.liuyan.com 是可以访问的。简单收集下信息：http://www.liuyan.com [200] Apache[2.4.7], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.7 (Ubuntu)], IP[192.168.1.7], Index-Of, Title[Index of /]提示说：密码 4位int密码。我一开始想到了密码爆破 至于验证码嘛 肯定是存在session没更新导致验证码复用的漏洞，但是经过测试发现这个漏洞不存在。所以唯一的办法就是写验证码识别。。分析一下验证码的 锚点 跟 干扰线，以及模糊 ...继续阅读 (26)

Burp Collaborator.是从Burp suite v1.6.15版本添加的新功能，它几乎是一种全新的渗透测试方法。Burp Collaborator.会渐渐支持blind XSS，SSRF， asynchronous code injection等其他还未分类的漏洞类型。本文主要介绍使用Burp Collaborator.对这几种类型漏洞进行探测。概念：In-band attack与 out-band attack（带内与带外攻击）首先介绍两个概念，带内与带外的区别核心在于是否使用不同的通信通道。在一次攻击当中,只有一条通道，属于in-band（带内）攻击：现在同一次攻击下，不止一条信道，则属于out-band（带外）攻击：常规web测试模型简单的讲，常规的web测试模型就是我们向目标发送payloads，然后分析目标返回的数据。这个模型很容易建立并且容易理解，但是这个简单的模型漏掉很多bugs，比如：“super-blind” injection。”blind SQL injection”表示当一个payload破坏了正常的sql查询然而应用程序返回的内容没有任何有帮助的错误信息。但是在有些情况下，一个成功的注入在目标应用的返回里面是完全看不到区别的，意思就是，不论返回的内容还是返回的时间，都没有任何区别。举个例子，注入 ...继续阅读 (112)

Burp Collaborator.是从Burp suite v1.6.15版本添加的新功能，它几乎是一种全新的渗透测试方法。Burp Collaborator.会渐渐支持blind XSS，SSRF， asynchronous code injection等其他还未分类的漏洞类型。本文主要介绍使用Burp Collaborator.对这几种类型漏洞进行探测。概念：In-band attack与 out-band attack（带内与带外攻击）首先介绍两个概念，带内与带外的区别核心在于是否使用不同的通信通道。在一次攻击当中,只有一条通道，属于in-band（带内）攻击：现在同一次攻击下，不止一条信道，则属于out-band（带外）攻击：常规web测试模型简单的讲，常规的web测试模型就是我们向目标发送payloads，然后分析目标返回的数据。这个模型很容易建立并且容易理解，但是这个简单的模型漏掉很多bugs，比如：“super-blind” injection。”blind SQL injection”表示当一个payload破坏了正常的sql查询然而应用程序返回的内容没有任何有帮助的错误信息。但是在有些情况下，一个成功的注入在目标应用的返回里面是完全看不到区别的，意思就是，不论返回的内容还是返回的时间，都没有任何区别。举个例子，注入 ...继续阅读 (22)

前段时间我遇到一个问题，就是说普通的平台获取cookie的语句为↓<script src=js地址></script>实际上我们的测试语句可能为↓<script>alert("90sec")</script>也就是说js语句实际上是位于↓<script></script>的中间。包括<img>、<input>、<object>、<iframe>、<a></a>、<svg>、标签等情况下的xss构造。所以我们就需要了解各种标签下的js用法，不然很多时候不可以使用<script>就很麻烦了。【XSS基本探测pyload】<script>alert(“xss”)</script> <script>alert(/xss/)</script> //双引号换成斜杠 <script>alert(‘xss’)</script> //用单引号 <script>alert("xss");</script> //用分号 <script>alert('xss');</script> <script>alert( ...继续阅读 (62)

前段时间我遇到一个问题，就是说普通的平台获取cookie的语句为↓<script src=js地址></script>实际上我们的测试语句可能为↓<script>alert("90sec")</script>也就是说js语句实际上是位于↓<script></script>的中间。包括<img>、<input>、<object>、<iframe>、<a></a>、<svg>、标签等情况下的xss构造。所以我们就需要了解各种标签下的js用法，不然很多时候不可以使用<script>就很麻烦了。【XSS基本探测pyload】<script>alert(“xss”)</script> <script>alert(/xss/)</script> //双引号换成斜杠 <script>alert(‘xss’)</script> //用单引号 <script>alert("xss");</script> //用分号 <script>alert('xss');</script> <script>alert( ...继续阅读 (18)

在这篇文章中我们将讨论如何获取安卓、苹果设备中的微信聊天记录，并演示如何利用后门通过Metasploit对安卓设备进行控制。文章比较基础、可动手性强，有设备的童鞋不妨边阅读文章边操作，希望能激发大家对移动终端的安全兴趣。“如何获取android、iPhone手机上的微信聊天记录？ ”0×00 条件：安卓设备已获取root权限，安装SSHDroid(通过ssh、ftp连接手机)Apple设备越狱，安装OpenSSH插件0×01 安卓：很多安卓手机的用户都会遇到这么一个尴尬的问题:手机用久了就不知不觉变得慢了,最后慢到什么都迟钝了。为了解决这个问题和大多数人一样我选择了root设备。安卓设备在root以后可以对系统文件存在最高级别的操作权限。比如，你在安卓设备上安装了微信，那么root以后通过adb shell你能对微信App的文件配置进行读取修改等操作。Android应用程序的数据库文件通常会保存在 /data/data/packagename/database 文件夹下，微信App文件存放路径为：/data/data/com.tencent.mm/MicroMsg首先通过FTP把文件down到本地：以34位编码（类似于乱码）命名的文件夹中可找到微信账号的加密数据库文件 ：EnMicroMsg.db用数据库管理器打开：提示加密或者不是数据库文件Android应用程序的数据库文件通常会 ...继续阅读 (44)

前段时间闹得沸沸扬扬的「某佳缘」事件，可以说是把本来就不够稳固的「企业与白帽子」间的信任彻底打破了。从某大会上来自白帽子父亲的一封信开始，陆续引出了各类观点、各种评论，而事件中的乌云则一直没有发声——即便最后很多观点很多评论的矛头都指向了乌云。91ri 在这次事件中，一直保持着观望的态度，和大多数人一样，小王子我也在等着乌云的回应，迫切地想要知道「今后白帽子该怎么做才是对的？规则是什么？规则在哪里？」，也许所有希望能继续给这个不安全的世界贡献自己哪怕丁点力量的白帽子们，也想知道这个问题的答案。在距离乌云白帽大会还有不到一个星期的今天，小王子在乌云大会官网上看到了这样一个议程：虽然目前乌云白帽大会官网还没有对这个圆桌论坛进行公开地宣传，但小王子还是第一时间联系了在乌云的内线人——乌云将邀请在网络安全相关法律法规颇有研究的律师、主攻电子取证方向的专家、挖了很多洞但从未有过恶意的白帽子代表、也曾踩过很多坑但现在正在开放正在和白帽子建立信任企业代表以及你们一直期待的乌云创始人坐到一起，以「某佳缘」事件为起点，一起探讨白帽子渗透测试边界、漏洞提交的法与情。[/嗯…小道消息，阵容大概是这样的]在期待乌云回复这件事期待了很久之后看到这个迟到的圆桌，小王子觉得激动的同时也有了那么一丝丝心塞——这个圆桌付出的是一个白帽子至今 4 个月的自由，也有可能是他对技术的全部信仰和信心。另外，线人 ...继续阅读 (32)

补充新闻：程序员黑餐馆系统 给自己饭卡里充钱，技术是双刃剑，小心，小心！前言从M1卡的验证漏洞被发现到现今，破解设备层出不穷，所以快速傻瓜式一键破解不是本文的重点，年轻司机将从本文中获得如下技能。如果你想简单快速的上手，你可以选择ACR122-like，Proxmark3等容易购买到的操作简单的设备，或者有个带有NFC功能并安装有安卓MifareClassicTool(MCT)软件的手机也是个不错的选择。本文基于树莓派加RC522，PN532模块试验，如果你是刚入门的Geek爱好者不妨读读本文，我将简明地叙述SPI接口协议和部分RC522驱动代码。本文破解皆指针对Mifare Classic卡获得KeyA,KeyB，实现扇区数据读取。本文旨在抛砖引玉，才疏学浅，如有错误还请不吝赐教。M1卡结构Mifare是NXP公司生产的一系列遵守ISO14443A标准的射频卡，包括Mifare S50、Mifare S70、Mifare UltraLight、Mifare Pro、Mifare Desfire等。Mifare S50的容量为1K字节，常被称为Mifare Standard，又被叫做Mifare 1，是遵守ISO14443A标准的卡片中应用最为广泛、影响力最大的的一员。S50的卡类型(ATQA)是0004H。在带有NFC功能的手机上使用MCT读取空白卡Mifare Classic ...继续阅读 (213)

正在测试新版glype（http://www.glype.com/）网络代理程序（我不得不说一下这款代理程序是游走内网必备神器，没有之一）的时候用NMAP对本地内网80端口做了个简单的扫描（nmap -T5 10.10.0.0/24 -p80 –open），但是人生处处有惊喜。最近隔壁小伙伴正在搭建它强大的社工裤，本地php环境采用默认安装，并且可以浏览目录，于是我原本纯洁的内心产生了邪恶的念头。本地存在phpMyAdmin程序，使用默认口令root/root进入后台。这里可能存在槽点，但请你记住:在内网中使用默认配置，默认口令的开发或者管理人员是安全的软肋。在拿到WENSHELL后除了吃透本机“资源”，下一步要做的就是对内网其他WEB主机使用常规方法渗透，或许你能在某台机子上抓到域控密码（目的）。进入数据库管理后台，我们要做的就是使用数据库语句select * into outfile写WEBSHELL，但是在这里我们不知道网站根目录，这个确实有点淡疼。很多时候WEB服务器采用默认安装模式，所以使用网站路径字典写入测试，类似sqlmap的–os-shell 参数使用MYSQL UDF（User defined Function,用户定义函数）执行系统命令。但是先让我们详细分析下我们所有的资源，不行的时候再考虑以上方法。网站目录中存在chunge.zip，不 ...继续阅读 (71)

简介本文提出了一种新的攻击模型，可以跨网段劫持TCP/IP广播协议，我们把它命名为“BadTunnel”。利用这种方法，可以实现跨网段的NetBIOS Name Service Spoofing攻击。无论攻击者和用户是否在同一网段，甚至中间存在防火墙或NAT，只要用户打开IE或Edge浏览器访问一个恶意页面，或打开一个特殊构造的Office文档，攻击者就可以劫持用户系统对任意NetBIOS名称的解析，从而实现仿冒本地网络的打印服务器、文件服务器等。通过劫持“WPAD”名称，还可以进一步实现劫持用户的所有网络通信，包括一般网络访问，和Windows Update service以及Microsoft Crypto API更新Certificate revocation list的通信等。而一旦能劫持网络通信，配合类似Evilgrade的工具（参考链接[1]），也很容易在系统上运行任意程序。这种方法对没有安装2016年6月补丁的所有版本Windows都有效。可以通过所有版本的IE和Edge、所有版本的MS Office、以及大量第三方软件触发。事实上只要存在能嵌入file URI scheme或UNC path的地方，就可以触发BadTunnel 攻击。如果在一个快捷方式中将图标路径设置为恶意file URI scheme或UNC path，只要用户在资源管理器看见这个快捷方式，就会触 ...继续阅读 (69)