好像很久没发文了，近日心血来潮准备谈谈 “漏洞检测的那些事儿”。现在有一个现象就是一旦有危害较高的漏洞的验证 PoC 或者利用 EXP 被公布出来，就会有一大群饥渴难忍的帽子们去刷洞，对于一个路人甲的我来说，看得有点眼红。XD刷洞归刷洞，蛋还是要扯的。漏洞从披露到研究员分析验证，再到 PoC 编写，进而到大规模扫描检测，在这环环相扣的漏洞应急生命周期中，我认为最关键的部分应该算是PoC编写和漏洞检测这两个部分了：PoC编写– 复现漏洞环境，将漏洞复现流程代码化的过程漏洞检测– 使用编写好的 PoC 去验证测试目标是否存在着漏洞，需要注意的是在这个过程（或者说是在编写 PoC 的时候）需要做到安全、有效和无害，尽可能或者避免扫描过程对目标主机产生不可恢复的影响首先来说说PoC 编写。编写 PoC 在我看来是安全研究员或者漏洞分析者日常最基础的工作，编写者把漏洞验证分析的过程通过代码描述下来，根据不同类型的漏洞编写相应的 PoC。根据常年编写 PoC 积累下来的经验，个人认为在编写 PoC 时应遵循几个准侧，如下：随机性确定性通用型可能你会觉得我太学术了？那么我就一点一点地把他们讲清楚。PoC 编写准则 & 示例i. 随机性PoC 中所涉及的关键变量或数据应该具有随机性，切勿使用固定的变量值生成 Payload，能够随机生成的尽量随机生成（如：上传文件的 ...继续阅读 (53)

好像越来越多人觉得网络安全行业的技术人员一定会是汉子，但是…其实网络安全战士从来不是「男生」的专利，女生一样可以成为奋战在前线的网络安全战士！来自宝岛台湾的 HITCON GIRLS 就用实际行动证明了这句话。关于 HITCON GIRLSHitcon Girls 是由一群对信息安全技术有兴趣、想学习更多信息安全相关技术的女孩们所发起组织的一个女子黑客社群，lingling 则是这个女子黑客社群的创办人。目前 HITCON GIRLS 在台湾会举办很多讲座、经验分享会或者 Workshop 等活动，尝试用不同的推广方式让更多女生加入信息安全行业，偶尔也会进入校园演讲。如何接触到信息安全，为什么会被吸引？在男生众多的安全行业里，当有个做技术的妹子出现时，大家都会很惊讶并且好奇，好像每个人都有个不约而同的意识：很少有女生感兴趣复杂枯燥的信息安全技术。在最初接触 lingling 的时候，小编也带着这样的疑问——一个妹子是怎么开始接触到信息安全的呢，又是什么吸引着她呢？lingling 说：“最早接触信息安全是在学习电脑概论的时候，当时就对这些概念感到有趣，因为电脑是人发明的，会想知道为什么当初这样定义的，也会反过来想，如果不照这个定义走会发生什么事情，是个不断探索与不断失败的阶段，甚至还会写信给一些文章的作者去问问题。”学习的开端永远是好奇和兴趣，在好奇和追寻答案的过程中， ...继续阅读 (43)

1.开启潘多拉宝盒的钥匙就在前不久，拿下Hacking Team的黑客终于现身说法了，他公开了如何入侵HackingTeam的全过程，从这位化名为PhineasFisher的老司机口中，我们不难总结出一个可怕的现实：防守方引以为傲的解决安全问题的各类控制措施，变成了入侵者眼中突防利用的关键攻击点位。2010年前后，堡垒机在国内企业开始大面积应用，各大企业安全管理人员原本以为盼星星盼月亮盼来了解放军，但谁也没想到自打解放军驻守之后，各路土匪山贼活动越发频繁，擦枪走火的事儿更是时有发生。擦枪走火的背后，其实就是堡垒机变成了入侵者突防利用的攻击点，彷佛一把打开潘多拉宝盒的金钥匙，入侵者再也不用一台一台敲开服务器的防护，他们要做的只是悄悄地偷走钥匙，打开宝盒，不管是利用堡垒机内置管理员账户的默认口令，还是小范围流通的提权漏洞。还有那些打通内网的VPN网关、互联网出口防火墙、负载均衡设备和WAF等，由于各种原因被映射到互联网上，然后发生了一些不为人知的故事。聊个有意思的事。某企业安全团队为了方便节假日远程工作，将漏洞扫描设备直接映射出来，结果被入侵者获取权限并成功登陆，入侵者是个勤快人，帮助安全团队更新了漏扫设备的升级包和口令猜解字典，然后花了一个晚上时间执行了一次全资产的深度扫描，报告到手，事了拂身去，深藏功与名。2.成也萧何，败也萧何西汉淮阴侯韩信起于市井，一生功名累累，为刘邦夺得天下， ...继续阅读 (52)

人鱼线盛夏夜的三里屯，街角草丛里还不时地传来蟋蟀的叫声，老高点燃一支烟，望着不远处装修一新的门店，在思考着自己代理的新服装品牌入驻京城如何来打响第一炮。老高正发着愣，忽然听到身后传来一阵脚步声，回头一瞅发现是一个夜跑的老外，光着膀子满头大汗，一身结实的肌肉向世人昭告着我很Man，移动的肌肉从眼前晃过，老高灵光一现，猛得一拍大腿，对于新品牌的宣传造势他已经有主意了。不久后，三里屯某服装店开业请一大票国外半裸型男站台揽客，用人鱼线征服萌妹纸和大姨妈的新闻刷了好几天的屏。老高卖的是衣服，但他却靠型男来招揽生意，成功地将顾客的视线由衣服本身转移到人鱼线上。人鱼线只需看几眼，而衣服却要穿数月，至于衣服合不合身，设计感怎么样，质量如何，那都不是老高要考虑的。大家有没有发现安全领域有个场景跟老高卖衣服的方法很相似，没错，就是渗透测试，渗透测试如今也被大多数服务团队当成了晒人鱼线秀肌肉的型男。销售铁柱跟了某大客户3个多月，好不容易拿到客户的测试授权，兴冲冲地跑回公司跟老板要了最资深的渗透团队开始干活，天天买饮料叫外卖伺候了这帮兄 弟一个礼拜，当然辛苦没有白费，渗透团队提交了厚厚的一本渗透测试报告给他，从门户网站、企业邮箱再到在线业务全部沦陷，内网漫游畅通无阻。客户信息化主管大猫看到报告吓出一身冷汗，满满的自信瞬间被击垮，一脸无助的表情看着铁柱，铁柱拿出精心准备好的解决方案，一股脑将公司全线产品塞给 ...继续阅读 (41)

前言很久以前写过一篇文章讲过php的反序列化，PHP-Object-Injection。这次尽量对其进行一个较为全面的总结。如果还有其它的思路，欢迎补充。漏洞种类一是将传来的序列化数据直接unserilize，造成魔幻函数的执行。这种情况在一般的应用中依然屡见不鲜。二是PHP Session 序列化及反序列化处理器设置使用不当会带来的安全隐患。http://drops.wooyun.org/tips/3909?utm_source=tuicool&utm_medium=referralryat牛讲得很明白了。PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化。处理器 对应的存储格式 php 键名 ＋ 竖线 ＋ 经过 serialize() 函数反序列处理的值 php_binary 键名的长度对应的 ASCII 字符 ＋ 键名 ＋ 经过 serialize() 函数反序列处理的值 php_serialize (php>=5.5.4) 经过 serialize() 函数反序列处理的数组关键点在于，如果脚本中设置的序列化处理 ...继续阅读 (55)

知乎讨论：如何看待远程控制软件TeamViewer疑似被黑？TeamViewer 是一个远程桌面连接软件,它允许用户在世界上任何地方共享屏幕或进行远程访问。在过去的24小时内,许多客户都认为(观点未经证实),他们的电脑受到了黑 客的恶意访问。他们认为,黑客在美国的标准工作时间过去之后,使用TeamViewer在深夜侵入了他们的电脑,  并使用浏览器保存下来的密码访问了银行账户,或是安装了勒索软件。自周三下午12点开始,TeamViewer网站进入离线状态,  到目前为止,该公司只在Twitter上发表过评论。TeamViewer后来发出了声明称,这些关于受到黑客攻击的说法和网站中断运行是不相关的。我们目前正在逐步检查网络中的问题,我们为造成的不便表示歉意。— TeamViewer (@TeamViewer)2016年6月1日在过去的24小时中,客户向Reddit表明了他们的担忧,分享了他们的想法并试图寻找答案。也有用户报告称他们的PayPal和银行账户同时被黑。– TeamViewer(@TeamViewer)2016年6月1日在过去的24小时内,已经有多个TeamViewer客户发表了他们的意见。这已经不是TeamViewer第一次受到黑客攻击传闻的困扰了。而仅仅一周前,TeamViewer就曾否认他们的安全存在问题,并且拒绝承担任何与该问题有关的责任。Reddit的 ...继续阅读 (85)

注：为了防止网站本身的过滤不被触发，所有的敏感字符我都换成了*号最近看了一篇很有意思的博文http://www.perucrack.net/2014/07/haciendo-un-xss-en-plugin-prettyphoto.html西班牙文的，看不懂，通过图基本理解了意思，结合google搜索，有了这篇文章首先标题中的几个单词解释一下1、JQuery简而言之，就是一个开源的JS库。维基百科（https://zh.wikipedia.org/wiki/JQuery）的解释是：jQuery是一套跨浏览器的JavaScript库，简化HTML与JavaScript之间的操作。因为它的流行，出现了很多基于JQuery的扩展插件，prettyPhoto就是其中一种。2、prettyPhoto这个是我们今天的主角，国内对它的中文解释很少，只是说它是一款基于JQuery的图片播放浏览插件，不仅支持图片，还同时支持视频、flash、YouTube、iframe和ajax，最新版在这https://github.com/scaron/prettyphoto/blob/master/js/jquery.prettyPhoto.js，已经是3.1.6了。3、DOM型XSS区别于存储型与反射型的XSS，服务端不参与XSS的形成，一个直观的现象是，使用BurpSuite抓包，响应包里找不到DOM型的 ...继续阅读 (118)

0x00背景周末挖掘漏洞的过程中，发现了一个有意思的XSS，是运用了Angular JS的模板进行注入，从而执行了恶意代码，思路和技术比较新颖。Angular JS是一款比较流行的前端MVC框架，很多前沿的网站都在用。一般，对于XSS都会进行一定的过滤，比如下面的代码：<html ng-app> <head> <script src="./js/angular-1.4.6.js"></script> </head> <body> <p> <?php $q = $_GET['q']; echo htmlspecialchars($q, ENT_QUOTES);?> </p> </body> </html>但是对于模板注入，这种过滤是不起作用的。本文先对模板注入的原理分析，最后给出自动化的扫描规则。另外，需要注意的是，0x02和0x03小节都是基于1.4.6版本进行说明的。0x01正常语句解析观察模板表达式{{1 1}}的解析过程：在angular JS 1.4.6版本的13275行下断点，其中fn为表达式解析后的JS函数对象，fnString为解析后的代码，如{{1 1}}解析为JS代码后为："use strict"; var fn = fun ...继续阅读 (64)

0x1、简介随着Eripp、Shodan、Zoomeye类似的网络空间搜索引擎先后的出现，网络扫描技术的发展和探测的增多，工控设备、物联网设备、基础设 施等作为互联网的一部分，已逐渐被攻击者所重视。从2010年的震网到如今的Havex，工控网络作为一个相对封闭的网络则出现了越来越多更具有针对性的 攻击事件和恶意程序。有针对的模拟工控系统某些特征的蜜罐出现也变得必要，蜜罐作为一种相对主动的安全检测手段，相信在未来使用的会越来越广泛。0x2、工控蜜罐日志分析Link:工控蜜罐日志收集项目链接地址博主于6月低在香港和大陆外网节点搭建了设备协议仿真程序，用于发现主动扫描和来源IP的操作行为，根据积累的日志得出了如下结论：A、目前针对特定端口（tcp/102、tcp/502）的扫描和识别的源IP均来自于国外。B、对协议的识别使用的是已知公开的技术。（由ScadaStrangeLove发布的plcscan和Digitalbond移植的基于nmap的 nse识别枚举脚本，这一点可以根据目前接收到的交互报文断定，如读取西门子PLC设备时使用的是SZL请求，识别Modbus设备型号信息使用了43号 功能码）。C、协议仿真程序并未收到恶意攻击和写入指令（例如西门子PLC CPU的stop指令和数据写入指令等，modbus的05、06等具有写入功能的功能码，详请参考日志）。0x3、快速实现协议仿真案例一 ...继续阅读 (67)

很难找到一个密码学的实例，就拿上一期的xor挑战来讲咯感谢基友@overlord和我一起努力俩天才干掉这个题先上代码吧?php include("config.php"); header("Content-type: text/html; charset=utf-8"); function authcode($string, $operation = \'DECODE\', $key = \'\', $expiry = 0) { $ckey_length = 8; $key = md5($key ? $key : \'\'); $keya = md5(substr($key, 0, 16)); $keyb = md5(substr($key, 16, 16)); $keyc = $ckey_length ? ($operation == \'DECODE\' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : \'\'; $cryptkey = hash(\'sha256\', $keya.md5($keya.$keyc)); $string = $operation == \'DECODE\' ? base64_decode(substr($string, $ckey_len ...继续阅读 (39)

0x00 概述最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞，造成的影响都比较严重，比如新姿势之获取果壳全站代码和多台机器root权限新姿势之控制蜻蜓fm所有服务器新姿势之获取百度机器root权限【已公开】因为之前关注这一块的人并不多，这个方法可以算是一个“新的姿势”，本文对漏洞产生的原因和利用过程进行简单的分析和说明，但因为时间和精力有限，可能会有错误，欢迎大家指出～0x01 起因先介绍一些东西～docker swarmdocker swarm是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展，由docker官方提供，具体的大家可以看官网介绍。漏洞发现的起因是，有一位同学在使用docker swarm的时候，发现了管理的docker 节点上会开放一个TCP端口2375，绑定在0.0.0.0上，http访问会返回404 page not found，然后他研究了下，发现这是Docker Remote API，可以执行docker命令，比如访问http://host:2375/containers/json会返回服务器当前运行的 container列表，和在docker CLI上执行docker ps的效果一样，其他操作比如创建/删除con ...继续阅读 (125)

0x01 概述现在很多应用提供了导出电子表格的功能（不限于 Web 应用），早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险，因为导出的表格数据有很多是来自于用户控制的，如：投票应用、邮箱导出。攻击方式类似于 XSS ：所有的输入都是不可信的。0x02 公式注入 & DDE我们知道在 Excel 中是可以运行计算公式的：=1 5，它会将以 = 开头的单元格内容解释成公式并运行，单纯的运行计算公式可能没什么用，但这里可以用到 DDE 。[Dynamic Data Exchange](https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774(v=vs.85).aspx)（DDE）是一款来自微软的古老技术，它是 Windows 下的一种跨进程通信的协议，支持 Microsoft Excel， LibreOffice 和 Apache OpenOffice。执行 cmd 弹出计算器：=cmd|\’ /C calc\’!A0当然也可以使用 -cmd ， cmd 来执行 DDE ，这个问题在2014年进行了修复（CVE-2014-3524），所以我们现 ...继续阅读 (52)

0x01 Java反编译工具Java反编译提供了在线的反汇编方式，同时也给出几款反编译工具作为参考，罗列如下：1. Procyonhttps://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompiler2. CFRhttp://www.benf.org/other/cfr/3. JDhttp://jd.benow.ca/4. Fernflowerhttps://github.com/fesh0r/fernflower5. JAD（非开源）http://www.javadecompilers.com/jad0x02 反编译BurpLoader在Mac为了方便，我直接使用Jd-gui来载入Burploader.jar，但是很显然的能看到已经经过了混淆了。转换成字节码打开，如下：// Original Bytecode: // // 0: bipush 12 // 2: anewarray Ljava/lang/String; // 5: dup // 6: iconst_0 // 7: ldc “\u0002\u001bW\tY\u0002\” // 9: jsr 216 // 12: aastore // 13: dup // 14: iconst_1 ...继续阅读 (244)

文章内容开始前端时间参加RCTF比赛，遇到了一道堆溢出的题目shaxian。漏洞本身是比较明显的，但由于对堆溢出并不熟悉，没有能够找到利用方法。之后阅读了复旦六星战队的writeup，才知道应该通过溢出来操控fastbin。由于这方面中文资料较少，于是在此将自己查阅到的相关内容进行总结整理，希望能够帮助到对此有兴趣的小伙伴。1. 背景知识1.1 ptmalloc我们都知道，在C中动态分配内存，使用的是malloc。其在GNU C(glibc)中的实现则是基于dlmalloc的ptmalloc。ptmalloc的基本思路是将堆上的内存区域划分为多个chunk，在分配/回收内存时，对chunk进行分割、回收等操作。具体地，每个chunk除了包含最终返回用户的那部分mem，还包含头部用于保存chunk大小的相关信息。在32位系统下，chunk头的大小为8 Bytes，且每个chunk的大小也是8 Bytes的整数倍。一个典型的chunk如下图所示：chunk头包括以下两部分：prev_size: 如果当前chunk的相邻前一chunk未被使用，prev_size为此前一chunk的大小size: 当前chunk的大小。由于chunk大小是8的整数倍，所以此size的后3 bit被用于存储其他信息。我们需要记住的便是最低bit，即图中P的位置，用于指示前一chunk是否已被使用(PREV_ ...继续阅读 (158)

0x01 背景Webshell一般是指以服务端动态脚本形式存在的一种网页后门。在入侵检测的过程中，检测Webshell无疑是一大重点。比较常见的检测手法有：1. 文件内容检测（静态检测）2. 文件行为检测（动态检测）3. 网络异常流量分析4. ……其中，静态检测是比较简单有效的检测Webshell的手段之一。根据Webshell的文件 特征建立异常模型，并使用大量的Webshell样本对模型进行训练，通过诸如异常函数、关键代码以及文件内容与普通业务代码的相似度等等关键点来进行分 析检测。 然而，如果Webshell脱离了服务端脚本页面形式的存在，基于文件特征的静态检测又将面临怎样的困境？我们不妨一起来看看。0x02 JavaWeb应用在Java Web应用中，Servlet是Java语言实现的一个接口，用于编写服务端程序[^1]。Servlet程序代码会预先编译成.class文件，部署在 Java容器中，响应用户各种协议的请求，大多数情况下基于HTTP协议，包括动态生成网页内容等等。但是Servlet由Java代码编写，不能有效地 区分页面的展示和处理逻辑，导致Servlet代码非常混乱，而用Java服务器页面（JSP）的出现，可以让程序员把展现层和数据层很好的区分管理起 来。JSP作为HttpServlet的扩展，使用HTML的书写格式，在适当的地方加入Java代码片段，从而动态 ...继续阅读 (71)

不是什么新东西，在drops看文章看见，觉得很有意思，就动手试了一下，just fun！开始看见如此高大上的文章，以为很难，试过发现其实就和在内网玩arp插xss代码一样简单。执行select @@version;用wireshark抓包之，如图：结果：数据库的执行语句和执行结果都明文进行传输，那么在内网是不是可以直接arp抓包获取客户端登陆的密码（客户端登陆的请求可不止有http，所以如果能抓数据连接包，比抓http的简单粗暴多了。）不过我们这里说的是如何对查询语句进行注入修改drops链接：http://drops.wooyun.org/tips/12749文章里的数据库是mssql，由于本机没有环境所以就改用了mysql（说明两个数据库都是可以的，oracle不知道行不行，找个时间试一下。）1.kali开启ettercap,然后扫描主机，讲要劫持的主机添加到目标2.选择中间人攻击方式为arp，然后点启动，然后点击view里的Connection进入查看连接界面我们点击3306那个连接查看拦截到的请求（请无视右边的错误，那是我劫持后导致语句错误）此时就到了修改请求的时候，很简单，和我们玩中间人进行xss没什么区别。下图为ettercap提供的例子：此时就到了修改请求的时候，很简单，和我们玩中间人进行xss没什么区别。下图为ettercap提供的例子：看上去很简单，所以照着写就好 ...继续阅读 (56)

大家知道渗透测试中的信息收集是很关键步骤。其中能够准确全面的找到厂商的ip段，又是其中很重要的。相信大部分的人对厂商的子域名，都会做很详细的收集。但是对ip段却没做这么细致的收集。今天我就分享下我是怎么收集厂商的ip段的，然后做信息初步探测的。一、收集厂商的ip段1、首先用的seay的子域名挖掘机或者其他的子域名收集的工具，对子域名进行收集，其实重点不是在收集到的域名，而是域名所对应的ip。 2、爆破完二级域名，就可以右键导出存活网站。3、然后就是就是去掉域名，留下ip的前三位，去重之后再生成C段。这样就能得到目标的不重复的ip段。脚本我已经写好，贴上脚本。import re import sys path=sys.argv[1] path2=sys.argv[2] f=open(path) c_iplist=[] #f1=open('newip.txt','a') line=f.readline() while line: line = f.readline() ip=re.findall('(?<![\.\d])(?:\d{1,3}\.){3}\d{1,3}(?![\.\d])',line) #print ip[0] try: if re.match('^(10|127|172|192)+.\d+.\d+.\d ...继续阅读 (53)

最近持续不断的针对性恶意email附件攻击，让我想起了今年1月份在都柏林举办的NCC会议上，笔者曾发表的一篇总结报告。这场演讲基于一次综合的渗透实验，故事始于笔者对一个老旧容易被忽视的DDE（动态数据交换）进行攻击利用，从一个web应用的Excel导出功能，到用户工作站系统代码。随后我们将看到NTLMv2理论，过渡到域凭证的分析，接着了解hashcat的小bug，以及获悉新脚本“catflap”相关的信息。从CSV到CMDDDE是一款来自微软的古老技术，它用于帮助应用程序之间的数据进行传输，是IPC（进程间通信）的一种形式。Web应用的安全风险的文章，我记得是由James Kettle进行首发的。这种技术貌似是在2014年前的，话说时间过得真快啊。这里有个小tips，如果某web应用里的有一个导出功能，其中一些来自用户的输入（类似于存储XSS），比如存储下列参数值的应用：=cmd|'/k ipconfig'!A0对于导出请求的响应，应用会返回一个某字段带有这个值的文件。打开这个文件时，Excel知道DDE引用可能会出现威胁，于是向用户显示了warning信息。在这个案例里，眼尖的用户或许会看到cmd.exe。但是，正如原文指出的那样，如果用户请求了某个Excel文件，而且该文件还来自于信任域，不应该是很安全的么？而且，我们知道用户即使点击后，也还会出现warning提示。当我们运行 ...继续阅读 (74)

在安全测试的过程中，我们通常使用应用层工具直接测试待测目标，比如一个HTTP网站应用程序，我们可以直接发送HTTP请求来对其进行模糊测试，而对于HTTPS，也可以建立SSL连接后直接发送HTTP请求对其进行模糊测试然而在某些黑盒测试中，由于信息不对称，我们无法获悉应用层协议的具体格式，因此难以直接在应用层进行安全测试，这时我们需要对应用层协议本身进行FUZZ，这就需要使用更底层协议来进行安全测试本文以著名的RTS游戏魔兽争霸3为例，介绍在网络层对TCP连接进行安全测试的基本工具、方法、以及漏洞挖掘思路0x00 概述我想测试魔兽争霸3联机游戏的安全问题然而魔兽争霸3并没有使用HTTP协议来进行通信，因此我既不能用burp来proxy拦截，也不能直接用curl等常用工具来进行FUZZ魔兽争霸3联机对战使用了TCP连接，自己定义了一套数据包格式（已经有人分析过了，但在本文中我们假设数据包格式未知）所以我要在传输层对魔兽争霸3的TCP连接进行安全测试，重点测试以下内容：断线重连网络的延迟与丢包TCP原始数据的嗅探/修改TCP连接的重放与交互式测试0x01 断线测试由于魔兽争霸3并没有断线重连机制，所以TCP连接断开后会直接导致游戏断开，而在许多第三方对战平台上，玩家的离线等同于战败，因此也诞生了许多游戏“踢人”外挂下面使用WooyunWifi路由器上的dsniff工具包中的tcpkill工 ...继续阅读 (72)

注:本文由SOBUG彩蛋游戏第一位通关的id_No2015429撰写。今天早上10点,终于等来SOBUG安全平台彩蛋游戏的开始。没想到,最终成为第一个通关的人(大牛们这个时候也许在忙工作^_^)。以下是我通关过程的writeup。第一关:根据提示“这可以是一张图片,也可以是别的什么”。让我首先想到了应该是写隐术(参加过ctf的都应该会想到)。因此,我首先修改下图片文件后缀为.rar。解压发现了第一个文本:1.txt。根据提示“一个是两个,两个是一个”,猜测应该图片还隐藏着什么文件。这时我想到了用binwalk测下。实践证明我的猜想是对的,可以看出,附加了两个rar压缩包。(其实在刚开始的时候,可以直接用binwalk或者winhex等工具查看图片,就能发现包含两个rar压缩包)。根据起始偏移0x236B7,用winhex将最后一个rar提取出来。解压得到通关口令:SobugSogood0428,嘿嘿终于到手了~~第二关:这么简单肯定不会结束的^_^,接着玩,去拿更大的红包。根据提示“colin***ky@aol.com  这个邮箱名的背后!除此以外,就没有太多线索了,建议细心加耐心!”,只有个昵称,没有其他的线索,那首先想到的一定是社工手段了。因此,到社工库去查一查。这 时我在想,key要不是在这些密码泄露的网站账户信息里,要不就是这些邮箱里。所以用这些泄露的账号和密码来逐个登录这 ...继续阅读 (76)

时间：4月27日 10:00-24:00地点：Sobug安全平台 微信号触发：4月27日10:00 Sobug微信平台准时发布游戏第一线索对象：了解一定安全技术的程序员或白帽子任务：找到隐藏任务线索，解开彩蛋存放位置，获取彩蛋（数量有限，先到先得）奖励设置：黄金彩蛋（1个）：1000元 （500元现金+500元Sobug平台等值积分） （第一个找到末关彩蛋）白银彩蛋（1个）：500元 （300元现金+200元Sobug平台等值积分）（第二个找到末关彩蛋）青铜彩蛋（20个）：10-30元不等支付宝红包（之后找到末关彩蛋）鼓励彩蛋（200个）：小额支付宝红包奖励发放：除鼓励彩蛋外，其余彩蛋均等活动结束后统一发放 ...继续阅读 (47)

寫在故事之前身為一位滲透測試人員，比起 Client Side 的弱點我更喜歡 Server Side 的攻擊，能夠直接的控制伺服器、獲得權限操作 SHELL 才爽 <(￣︶￣)>當然一次完美的滲透任何形式的弱點都不可小覷，在實際滲透時偶爾還是需要些 Client Side 弱點組合可以更完美的控制伺服器，但是在尋找弱點時我本身還是先偏向以可直接進入伺服器的方式來去尋找風險高、能長驅直入的弱點。隨著 Facebook 在世界上越來越火紅、用戶量越來越多，一直以來都有想要嘗試看看的想法，恰巧 Facebook 在 2012 年開始有了 Bug Bounty 獎金獵人的機制讓我更躍躍欲試。一般如由滲透的角度來說習慣性都會從收集資料、偵查開始，首先界定出目標在網路上的 “範圍” 有多大，姑且可以評估一下從何處比較有機會下手。例如:Google Hacking 到什麼資料?用了幾個 B 段的 IP ? C 段的 IP ?Whois? Reverse Whois?用了什麼域名? 內部使用的域名? 接著做子域名的猜測、掃描公司平常愛用什麼樣技術、設備?在 Github, Pastebin 上是否有洩漏什麼資訊?…etc當然 Bug Bounty 並不是讓你無限制的攻擊，將所蒐集到的範圍與 Bug Bounty 所允許的範圍做交集後才是你真正可以去嘗試的目標。一般來說大公司在滲透中比 ...继续阅读 (40)

日前，绿盟科技联合中国电信云堤发布《2015全年DDoS威胁报告》，报告总结及分析了2015全年DDoS攻击发展态势，并就DDoS防护生态环境给出了相关建议，其中DDoS防护策略、方案及技术手段，可以帮助各组织及机构持续改善自己的DDoS防护技术及体系。2015年国内共发生DDos攻击179,298次，攻击总流量达到276,531.562Tbytes，其中41%的攻击流量峰值都在10Gbps以下，4.1%的攻击流量峰值超过100Gbps；大多数DDoS攻击时间都不长，大都在半小时以下。对于这些繁杂的DDoS攻击数据，报告进行了深入的分析，并从DDoS发展态势的角度提出了如下观点：观点1 1T超大流量攻击令人警醒观点2 攻击在多维度呈现两极分化观点3 受控攻击溯源多来自中俄美观点4 BOTNET DDoS温床危害巨大DDoS攻击态势趋于多变伴随这些攻击行为，可以看到各种类型的攻击事件。时至今日，DDoS攻击者们早已不是“闹着好玩儿”，事件的背后隐藏着各种深层次的利益追逐。DDoS攻击事件追逐利益同时，DDoS攻击行为也不再是简单的技术行为，DDoS攻击者们和防守者们一样，也有自己的老板，为了提升攻击效果，也需要考虑投入产出比ROI，他们常常使用更低的成本、获得更多的资源、获得更好的效果、更好的隐藏自己。DDoS攻击手段考虑ROI在这样的考虑之下，DDoS领域中随之产生的或者有可能发生 ...继续阅读 (103)

美国情报机构一直在大规模扩张社交媒体等领域监控行为，并为推动新兴技术发展而不断努力，这其中最为重要的就是人工智能在数据挖掘方面的应用。据外媒《The Intercept》获取的文件显示，有一家名为In-Q-Tel的高科技风险投资公司，该公司位于美国弗吉尼亚州，其目的是使CIA拥有最前沿的高新技术。该公司一直在致力于寻求更多的高新技术，如人工智能在数据挖掘方面的应用、侦测内部威胁的计算机算法以及能抓取极微小物品的机器人等方面。CIA急需进行社交网络监控数据整合的高效工具近日爆出来的重磅消息是，该In-Q-Tel在社交媒体领域展开了多项数据挖掘与监控方面的研究。据报道，In-Q-Tel的投资组合覆盖了一系列致力于社交媒体领域前端技术研究的科技公司，其中：Dataminr向有关执法机构提供了Twitter的数据流，因此异常的数据趋势将会很快的被探测到。Geofeedia也是收集社交媒体领域的数据，但更专注于收集重大新闻的相关数据，并可以追踪抗议活动的领导人员。该公司通过收集发送在社交媒体上带有地理标签的信息，将这些数据转发给有关机构的客户端，让多个执法机构接收到发来的数据并进行浏览与筛选。Dunami，PATHAR公司推出的一款产品，是实施社交媒体数据挖掘的另一工具。它可以进行分析并汇总网络状态、影响力及潜在辐射范围等信息。据外媒《Reveal》的调查结果称，这也是FBI进行监视行动时所 ...继续阅读 (114)

在域内环境中，常常需要使用命令行管理域用户，此时可以使用Active Directory中的命令行工具Dsquery.exe，或CSVE，以及Ldifde等，其实，使用Windows Powershell来进行管理操作也是相当的方便。下面以创建用户举例：创建域用户最基本的Windows Powershell脚本类似这样：$objOU=[ADSI]"LDAP://OU=People,DC=contoso,DC=com" $objUser=$objU.Create("user","CN=Mary North") $odjUser.Put=("sAMAccountName","mary.north") $objUser.SetInfo()上述代码列举了在Active Directory中使用Windows Powershell创建用户的四个基本步骤。下面将作详细介绍。连接到Active Directory容器要 创建用户这样的对象，实际上是要对该对象的容器来创建对象。因此首先需要针对容器，执行某种操作，也就是“方法”。第一步需要连接到容器，Windows Powershell可以使用Active Directory服务接口类型适配器切入到Active Directory对象。要连接Active Directory对象，必须提交LDAP查询字符串，也就是LDAP://协议标识符，后跟对象的 ...继续阅读 (39)

0x00 Hacking TeamHacking Team 是一个协助政府hack和监视记者、政治家等的公司（详见段尾链接），当然有时候也会监控恐怖分子和罪犯。其CEO——Vincenzetti——很喜欢 在他的邮件末尾加上一句纳粹标语“boia chi molla” (放弃者该死)，同时，他一直宣称拥有可以解决“Tor 问题”和“暗网问题”的技术。但是我一直很怀疑他的那种技术的有效性。0x01 小心点很不幸，我们的世界是颠倒的，你越做坏事越富有，越做好事反而被抓。但幸运的是，多亏了人们的努力，比如”Tor项目”，你可以通过以下指导来防止被人抓住把柄：1) 加密的你的硬盘如果有一天你做的事被发现了，警察叔叔带走了你的电脑，尽管被发现就意味着你已经犯了很多错误，但是加密硬盘会比不加密要好得多。2) 使用虚拟机并且把所有的网络都走Tor这样就实现了两点，第一、你的所有流量都匿名了。第二、把你的个人生活和匿名操作分开了，防止两种生活互相混合。3) 不要直接连接Tor网络 (可选项)Tor不是万能药，有可能你在连接到Tor网络的时候刚好在做坏事。也可能你在退出Tor网络的时候你同样在做坏事。最好还是用别人的wifi，或者连接vpn或者中转机子，然后连接Tor匿名网络。0x02 搜集信息尽管这个过程非常无聊，但却是非常重要，目标越大越多，漏洞出现的几率就越大。1 技术 ...继续阅读 (28)

Geolocation API被用来获取用户主机设备的地理位置，并且它有一套完整的保护用户隐私的机制。但CVE-2016-1776这个漏洞，绕过了Geolocation 认证源的安全机制，并有可能导致用户隐私泄漏。本文在分析CVE-2016-1779漏洞成因的基础上探讨了Geolocation隐私机制，其中穿插的 获取苹果公司的地理位置的“故事”，对用户隐私更是一个警醒。0x01 CVE-2016-1776在IOS中Geolocation认证是由UIWebView来做处理，攻击者可以绕过同源策略使认证框在任意域弹出，并且当用户点击允许后可获取到用户的地理位置。在IOS平台中，Safari和Chrome都受到这个漏洞的影响。受影响产品：WebKit in Apple iOS < 9.3 and Safari < 9.1，Chrome漏洞修复日期：2016/3/21漏洞公告：https://support.apple.com/HT206166https://support.apple.com/HT206171http://lists.apple.com/archives/security-announce/2016/Mar/msg00000.htmlhttp://lists.apple.com/archives/security-announce/2016/Mar/msg0 ...继续阅读 (91)

这篇脱壳是参考别人自己进行的一次简单的实践，主要是为了了解脱壳的流程以及工具的使用。下面直接进入正题吧：例子下载地址：链接:http://pan.baidu.com/s/1c08Ufeg密码: n8dc首先把apk后缀改成.zip打开，发现dex文件只有1.23kb，所以真正的代码肯定不在这里，而是在运行中解密出来动态加载的。话不多说，直接上工具，首先找到IDA目录dbgsrv下面的android_server文件，然后push到手机上面，然后加上可执行权限，再运行。如图所示： 运行后在端口23946端口监听。安装apk文件。端口转发，让IDA可以连接本地端口进行远程调试。以调试模式启动程序：adb shell am start –D -n 包名/包名+类名程序的入口类可以从每个应用的AndroidManifest.xml的文件中得到，AndroidManifest.xml文件可以使用apktool工具反编译得到。然后打开IDA，attach要调试的进程：hostname设为本机127.0.0.1找到应用的进行，并记下进程号：进程号为2696，使用forwardjdwp:<pid> 转换端口以连接到指定的 JDWP 进程。使用jdb附加调试应用程序。然后找到程序加载的模块libdvm.so，找到其中的函dvmdexfileopenpartialPKviPP6D ...继续阅读 (89)

所谓的“1970变砖”问题是指把iPhone或iPad的时间设定为1970年1月1日，然后关机再开机，设备就“变砖”，无法启动，直至电池电量耗 尽。 今年2月，苹果公司给予了证实，称将系统时间手动设置为1970年5月或更早，iPhone、iPad和iPod touch将无法重启。上个月，苹果发布了iOS 9.3正式版，修复了该问题。在iOS 9.3版本下，用户若想调整时间，最早只能调到2001年1月1日，意味着“1970变砖”问题不复存在。但今日，两位研究人员再次发现了存在于iOS 9.3和之前版本系统中的漏洞，允许iOS设备再现“1970变砖”问题。两位安全人员称，这一次需要利用到iOS的两方面“弱点”来实现。首先是iOS设备能根据SSID名称自动连接到已知WiFi网络，也就是说，如果出现一个虚假的已知SSID名称，那么iOS设备就会自动连接到一个恶意WiFi网络上。其次，iOS设备会定期连接到网络时间协议(NTP)服务器，以校对系统时间和日期。而两位研究人员要做的就是，创建一个虚假的attwifi无线网络热 点，然后搭建一个NTP服务器(伪装成苹果服务器time.apple.com)，这样就可以将iOS设备日期变成1970年1月1日。两位安全人员已经该漏洞通知给苹果，且苹果已经在iOS 9.3.1版本中修复了该漏洞，但目前仍有大量iOS设备没有更新到最新固件，意味着他们的设备仍 ...继续阅读 (74)

故事的缘由:http://www.freebuf.com/articles/web/99176.html原本只想很单纯的造个轮子分析一下文章，于是开启了代码审计之路这个是他的漏洞故事发生点，发现太简单了,本宝宝也要挖开头判断是否post然后一个直接输出并执行call_user_func与create_function看到这里本宝宝一下就鸡冻了,create_function不是可以代码注入么0.0那么本宝宝开启了本地模式由于json的原因就变成这个破样,但宝宝还是一样的搞91Ri小编有话说：虽然文章短小，但还是能学到姿势的噢！ ...继续阅读 (34)