如果有一天你正在家上着网，突然一群警察带着搜查令冲进你家，然后发现他们走错门了，你是种什么心情？这种让人抓狂的事儿，美国的一位农场主 Joyce Taylor 在过去 10 多年里经常遇到，简直成了全美国人民的背锅侠。她住在美国中部一个名叫 Potwin 的小镇上，明明活得人畜无害，但又不断被怀疑从事网络诈骗、制造垃圾邮件，甚至利用黑客技术盗窃。而且一直有各种各样的受害者主动上门寻求报复，甚至连 FBI、联邦警官也经常登门拜访，Joyce 本人也很崩溃，但又不知道是为什么。那些受害者和联邦警官又表示，IP 地址追踪的确显示是这里的人在网络上行骗、盗窃。最近，这个谜终于被解开了，原来就是 IP 地址定位这玩意儿出的问题。先稍微科普一下，你在读这篇文章时，无论你用的是智能手机还是台式电脑，我们的服务器都会记录下你的 IP 地址。在互联网上，IP 地址就好像是你这台设备的电话号码，只有有了这个东西，你才能接收到网络上各种各样的信息。就像你的手机号经常被卖来卖去、接到各种电话一样，虽然设计 IP 协议的目的是为了通信，但你的 IP 其实也是一样可以拿来营销的。而有一家叫 MaxMind 的公司呢，就是做起了把 IP 地址和真实的地理位置结合起来的生意，然后把这些信息提供给服务广告商之类的客户。他们的方法也很简单，首先需要一个把 IP 地址和地理位置对应起来的数据库，这个过程对于科技公司来说 ...继续阅读 (27)

审计悟空的缘由是看见某云爆出CRM的getshell,于是就想着去挖出来瞅瞅!但可能自己把自己给局限了,就想着去挖那些无限制访问的文件。故事的发生点漏洞文件：/App/Lib/Action/LogAction.class.phppublic function wxadd(){ if($_POST['subject']){ $log = M('Log'); $log->create(); $log->create_date = time(); $log->update_date = time(); $log->role_id = $_GET['id']; if($log->add()){ $this->success(L('ADD SUCCESS', array(L('LOG')))); }else{ $this->error(L('ADD_LOG_FAILED')); } }else{ $this-> ...继续阅读 (57)

0x00 借问酒家有什么东西想拿却拿不出来？不妨开开脑洞。缘起是2014年底的时候看到金山做的在线恶意代码分析系统“Fire eye”（https://fireeye.ijinshan.com/）。感觉很新鲜，丢了自己攒的几个样本丢了上去，分析的结果还算可以。从分析报告来看，它也是一类沙箱检测工具，把样本丢到虚拟机里跑，再在虚拟机内外布控，监测样本的各种行为，最后生成分析报告并给出判断是否恶意样本，分析报告里还包含样本运行时的截图。0x01 柳暗于是我开始有点好奇，这个沙箱大概是个什么样的，于是自己写了一些小的检测程序丢进去，把环境变量、系统信息、网络配置、进程列表、服务和驱动什么的读出来显示在窗体上，这样从分析报告里的样本截图就能读到这些信息了。嘛，这里先说一下，本人并不会挖漏洞和逆向，说来惭愧，大学时候的汇编都是补考才过的。就是个小小的.net码农而已。然后我在系统环境变量里发现一个别的地方没有的玩意：%FEKERNEL%，指向c:\mon\文件夹，想来应该是“FIRE EYE KERNEL”，即包含沙箱内部监控程序的核心文件夹。有了这个发现自然不会放过，另外专门编写了程序去枚举和读取FEKERNEL里的东西，然而发现只要碰了那个文件夹，样本分析报告就会被隐去大部分 内容，和FEKERNEL文件夹直接和间接（比如复制出来之后再读取复制的文件）相关的内容都被删掉了，想来应该是做了 ...继续阅读 (68)

目前市面上web漏扫均可以轻易的检测出以GET或POST方式传参的sql注入点，在实际测试过程中，笔者发现多数漏扫检测HTTP头注入问题的能力还不是太理想，这里分享下笔者对于HTTP头注入的发现和利用过程，欢迎各位大牛批评指正。0x01、HTTP头注入的发现推荐使用安装了Modify Headers插件的火狐浏览器对目标站点进行信息收集，该插件可以自定义HTTP 头信息，截图如下：界 面很简单，其中select action下拉单中的三个选项中modify比add优先级高，filter为过滤头字段操作，这里以新增http头字段X-Forwarded- For为例，下图红框中最前面选择add，紧跟着写入X-Forwarded-For，然后输入自定义的数值：我这里输入“x- for’;”>xxoo<!–”(不含引号)，配置完成后依次点击save、确定即完成配置。然后使用火狐浏览器浏览存在X-Forwarded-For sql注入漏洞的站点，这里笔者略微改动下dvwa，以配合测试，如图：用配置好的火狐登录dvwa后，点击SQL injection选项，user id随便输入后点击submit，弹出典型的sql注入报错页面如图：实际测试中，我们可以同时定义多个http head字段，然后浏览目标网站，进而发现漏洞，用该配置浏览器上网，常有意外 ...继续阅读 (37)

想象这种画面：你拿到了一台机器上Meterpreter会话了，然后你准备运行getsystem命令进行提权，但如果提权没有成功，你就准备认输了吗？只有懦夫才会认输。但是你不是，对吗？你是一个勇者！！！这篇文章中我会讲Windows上一般提权的方法，并演示如何手动进行提权和其对应的Metasploit模块。当我们把权限从本地管理员提升到系统后更容易执行一些操作，而不适当的系统配置则可以使低权限的用户将自己的权限提升到高权限。Note:本文中我们主要关注于不依赖内核漏洞的提权，例如：KiTrap0d（Meterpretergetsystem提权的四种方法之一）Trusted Service Paths这个漏洞存在于二进制服务文件路径中Windows错误解释空格。这些服务通常都是以系统权限运行的，如果我们利用这些服务就可能提权到系统权限。例如如下文件路径：C:\Program Files\Some Folder\Service.exe上面文件路径中的空格，Windows会尝试寻找并执行以空格前单词为名字的程序，操作系统会在文件路径下查找所有可能匹配项直到找到一个匹配为止。例如如下例子，Windows会尝试定位并执行如下的程序：C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder\Service.exeN ...继续阅读 (53)

0x01 前言这阵子在学php代码审计，算是一个笔记。留着以后看。php代码审计需要比较强的代码能力以及足够的耐心…..至于如何学好php代码审计？去膜拜p神吧….http://wooyun.org/whitehats/phith0nhttp://www.leavesongs.com/看着p神的文章，学审计……  许多东西都是复制p神~文章写给像我一样刚刚开始审计的小菜鸟~,有错欢迎指出~求勿喷………..继续学审计中……..+++++++++++++++++++++++++++++++++++++++++++++0x02 审计前奏一)关注变量+函数1.可以控制的变量【一切输入都是有害的 】2.变量到达有利用价值的函数[危险函数] 【一切进入函数的变量是有害的】 客户端提交变量:$_GET：http://localhost/mm.php?a=xxxxx$_POST:$_COOKIE:记录在我们本地浏览器中的变量，是可控的。PHP中还有一个变量$_SESSION。每个人访问网站，他的phpsessid都是不一样的，这个值就用来区分每个用户。服务器用PHPSESSID=cmebf7jkflu5a31vf67kbiopk4来标示每个用户，是否登录或者是否是管理员。$_FIL ...继续阅读 (45)

一、关键信息热点事件2015年12月，著名黑客组织匿名者（Anonymous）向土耳其宣战谴责其支持某极端组织，土耳其互联网由此遭遇大规模网络攻击导致400,000个网站离线，攻击流量峰值带宽高达40Gbit/s。僵尸网络现状僵尸网络变得更易扩张，平台亦更加多样性，路由器和物联网（IoT）均成为僵尸网络寄宿平台新宠；同时也更善于伪装，商业趋利目的也更加明确。先进的僵尸网络更具备CaaS（Crime as a Service）特点。从全球来看，僵尸主机分布TOP3国家为中国、印度、美国；控制服务器分布TOP3国家分别为美国、俄 罗斯、荷兰。中国大陆，僵尸主机分布TOP3地区为广东、河南和江苏；控制服务器分布TOP3地区为上海、北京和浙江。中国大陆，排名TOP5的僵尸网络依次为：Boer_Family、Remote-trojan.Nethief、Yoddos_Family、BillGates、 IMDDOS。僵尸网络趋势预测僵尸网络的种类和平台会持续呈现多样化特点。在利益驱动下，利用物联网智能设备构建的僵尸网络会出现爆发式增长。作为网络攻击的基础设施之一，僵尸网络的CaaS特点会越来越普遍。专家观点僵尸网络治理是全社会共同的责任，只有阻断控制服务器域名请求流量并关闭控制服务器，同时追究幕后黑客的法律责任，才能从根本上遏制僵尸网络扩张。基于DNS流量监控僵尸网络，检出率高且具备很好的跨平 ...继续阅读 (51)

0x00 简介之前写过一篇关于客户端钓鱼的文章：《使用powershell Client进行有效钓鱼》中，在使用各个Client进行测试的过程中，个人发现CHM文件是最好用的一个，但是其缺点就是会弹黑框，这样就会让被攻击者察觉。那么怎么让他不弹黑框呢？那就是本文要介绍的内容啦~0x01 CHM 简介在介绍怎么使用CHM来作为后门之前，首先要知道CMH是什么东西。CHM（Compiled Help Manual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。CHM支持 Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等，并可以通过URL与 Internet联系在一起。因为使用方便，形式多样也被采用作为电子书的格式。0x02 CHM 制作CHM的制作方法很多。有多款工具可以使用，这里就不在做详细的介绍了。本次测试使用了EasyCHM来制作CHM文件，使用起来非常简单。新建如下目录，文件内容随意：打开EasyCHM，新建->浏览。选择该目录。默认文件类型：点击确认，即可看到预览的CHM文件：选择编译，即可编译成CHM文件。0x03 CHM Execute Command14年的时候@ith ...继续阅读 (32)

httpscan是一个扫描指定网段的Web主机的小工具。和端口扫描器不一样，httpscan是以爬虫的方式进行Web主机发现，因此相对来说不容易被防火墙拦截。httpscan会返回IP http状态码 Web容器版本 以及网站标题。Usage：./httpscan IP/CIDR –t threads Example:./httpscan.py 10.20.30.0/24 –t 10地址：https://github.com/zer0h/httpscan主要代码：#!/usr/bin/env python #coding:utf-8 # Author: Zeroh import re import sys import Queue import threading import optparse import requests from IPy import IP printLock = threading.Semaphore(1) #lock Screen print TimeOut = 5 #request timeout #User-Agent header = {'User-Agent' : 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0 ...继续阅读 (41)

0x01前言随着大数据时代的到来，越来越多的大数据技术已逐渐被应用于实际生产，但作为一个安全人员，我们关注点必然和安全相关，那大数据环境中面临的安全问题又有 哪些呢？翻了翻这方面的案例，乌云上已有不少同学发了些这相关的问题，但我发现却没有比较系统的一个整理，这里我做一个paper，整理下这方面的漏洞类 型和笔者自己所见到过的一些问题，做一个探索性的总结，希望能与各位相互交流以开阔更多思路。0x02大数据技术介绍这里先对大数据的一些技术做一个简单的概念介绍，来帮助一些不太了解这方面的朋友，能有个大致的概念。Hadoop：分布式系统基础架构，主要由HDFS和MapReduce两部分组成。HDFS（分布式文件存储系统）用于将一个量级巨大的数据存储在多台 设备上，并有一定的机制保证其完整和容灾，MapReduce则是通过简单的Mapper和Reducer的抽象提供一个编程模型，可以在一个由几十台上 百台的PC组成的不可靠集群上并发地，分布式地处理大量的数据集。Apache Saprk：新一代的大数据处理引擎，提供分布式内存抽象，以支持工作集的应用。Hive：基于HDFS的仓储型数据仓库，数据全部存储在文件系统中。Zookeeper：ZooKeeper是一个开放源码的分布式应用程序协调服务，提供的功能包括:配置维护、名字服务、分布式同步、组服务等。NoSQL数据库：包括大家常见的redis、 ...继续阅读 (41)

4月9日补天漏洞响应平台颁奖典礼暨新品发布会·抢票进行中！会议时间：2016年4月9日 9:00——19:30会议地址：北京市朝阳区将台路6号丽都皇冠假日酒店补天漏洞响应平台是什么？补天漏洞响应平台是国内首个现金奖励漏洞平台，旨在建立企业与白帽子之间的桥梁，帮助企业建立SRC（安全应急响应中心）。首创众包模式的安全服务，鼓励厂商出面发起奖励计划，将白帽子吸纳到SRC中来。白帽子通过平台提交网站安全漏洞，获得奖励；厂商对漏洞做出快速响应，从而提高网站对黑客攻击的防御能力，弥补自动扫描的缺点和不足。真正做到让企业安全，让白帽子获得收益。补天年度答谢盛会补天漏洞响应平台是国内首个现金奖励漏洞平台，目前拥有支持厂商3000多家，注册白帽20000余人。我们深知，补天的每一点进步都离不开你们的支持你们才是补天继续前进的动力！为答谢补天平台优秀白帽黑客、厂商的支持与肯定，特此进行表彰与答谢。新品发布会补天平台新产品即将上线，需要更多安全圈人士的支持，而补天年度颁奖邀请的你们就是最佳的支持伙伴。在表彰的同时，补天平台希望与大家一起见证新产品的上线与成长。会议日程会议时间时间：2016年4月9日 9:00——19:30地址：北京市朝阳区将台路6号丽都皇冠假日酒店会议亮点10:05-10:50年度颁奖共决出“年度个人贡献奖”、“年度团队贡献奖”、“最受白帽子欢迎的厂商”等三大类共9个奖项，奖金高达数 ...继续阅读 (32)

0×00. 导读DLL劫持是一种古老的技术了，本文是《CVE-2016-0041 Windows 10 PhoneInfo.dll Hijacking Vulnerability》的延伸，介绍了DLL劫持的漏洞原理、漏洞挖掘方法、漏洞利用场景等，同时引入了HaifeiLi关于Chrome/Edge自动下载漏洞的介绍，以及最新版本Edge对DLL注入的缓解措施。本文已在外部发表于乌云知识库，特别感谢tombkeeper在行文思路上的建议。0×01. DLL劫持漏洞介绍1.1 漏洞简介如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去指定的目录下查找这个DLL；如果攻击者能够控制其中的某一 个目录，并且放一个恶意的DLL文件到这个目录下，这个恶意的DLL便会被进程所加载，从而造成代码执行。这就是所谓的DLL劫持。在Windows XP SP2之前，Windows查找DLL的目录以及对应的顺序如下：1. 进程对应的应用程序所在目录；2. 当前目录（Current Directory）；3. 系统目录（通过GetSystemDirectory获取）；4. 16位系统目录；5. Windows目录（通过GetWindowsDirectory获取）；6. PATH环境变量中的各个目录；在Windows下，几乎每一种文件类型都会关联一个对应的处理程序，当我们在资源 ...继续阅读 (38)

背景测试是完善的研发体系中不可或缺的一环。前端同样需要测试，你的css改动可能导致页面错位、js改动可能导致功能不正常。由于前端偏向GUI软件 的特殊性，尽管测试领域工具层出不穷，在前端的自动化测试上面却实施并不广泛，很多人依旧以手工测试为主。本文试图探讨前端自动化测试领域的工具和实践。为什么需要自动化测试一个项目最终会经过快速迭代走向以维护为主的状态，在合理的时机以合理的方式引入自动化测试能有效减少人工维护成本。自动化测试的收益可以简单总结为：自动化的收益 = 迭代次数 * 全手动执行成本 - 首次自动化成本 - 维护次数 * 维护成本对于自动化测试来说，相对于发现未知的问题，更倾向于避免可能的问题。可测试方向首先本文不会探讨单元测试方向，因为单测已经有完善的工具体系。但前端开发中，除了一些框架和库，愿意去写单测的少之又少。另外单测维护成本较高，而且也没法满足前端测试的所有需求。前端自动化测试可以在几个方向进行尝试：界面回归测试测试界面是否正常，这是前端测试最基础的环节功能测试测试功能操作是否正常，由于涉及交互，这部分测试比界面测试会更复杂性能测试页面性能越来越受到关注，并且性能需要在开发过程中持续关注，否则很容易随着业务迭代而下降。页面特征检测有些动态区域无法通过界面对比进行测试、也没有功能上的异常，但可能不符合需求。例如性能测试中移动端大图素材检测就是一种特征检测，另外常见的 ...继续阅读 (45)

现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的此类cms漏洞。slim是一个设计思路超前的知名的php轻框架，完美结合了psr7来设计，至今用户已超过100w：在阅读其源码的过程中，我发现其存在一个只有在框架式CMS中才会出现的漏洞。官方网站:http://www.slimframework.com/漏洞详情这个漏洞存在于最新版（3.0）中。首先用conposer安装之composer require slim/slim “^3.0@RC”看其文档:http://www.slimframework.com/docs/objects/request.html#the-request-body获取POST数据，是利用getParsedBody方法，而这个方法对POST的处理，是按照content-type来区分和解析的：很典型的问题，在这篇帖子里也提到过:http://zone.wooyun.org/content/19908有时候框架会帮开发者一些他可能并不需要的『忙』，比如slimphp这里，常规的POST的content-type为application/x- www-form-urlencoded，但只要我将其修改为application/j ...继续阅读 (43)

(一) 序言1.1什么是rootRoot——也就是我们这里说的系统提权，通常是针对Android系统的手机而言，它使得用户可以获取Android操作系统的超级用户权限。root通常用于帮助用户越过手机制造商的限制，使得用户可以卸载手机制造商预装在手机中某些应用程序，以及运行一些需要超级用户权限的应用程序。Android系统的root与Apple iOS系统的越狱类似。1.2如何实现root一般root有两种方式，一种是在recovery模式下刷入root包，另外一种就是利用系统层漏洞(应用层漏洞或内核漏洞）达到root提权目的，以下文章将简单介绍一下如何利用系统漏洞进行root提权。关于root的效果，可以简单的分为两种：一种仅自身进程获得root权限；另外一种是自身程序和其它程序都能获取到root权限。（二）基础知识2.1文件权限系统中文件的访问权限是通过用户ID（UID）和用户组ID（GID）来控制的。每一个用户都分配有一个UID，然后所有的用户又按组来进划分，每一个用户组都分配有一个GID。注意，一个用户可以属于多个用户组。Linux中的每一个文件都具有三种权限：Read、Write和Execute。这三种权限又按照用户属性划分为三组：Owner、Group和Other。2.2进程UID在 默认情况下，进程UID等于创建它的进程的UID，即父进程的UID。第一个进程是init ...继续阅读 (24)

0x00 背景在前段时间的渗透中，我发现通过端口来进行渗透有时会提升我们的效率，所以才有了这篇文章的诞生；首先分享一份关于端口及他们对应的服务文件：https://yunpan.cn/cYyNXEpZNYvxQ访问密码 983e这里再分享一篇我曾经在百度文库提交的端口渗透文章：请点我再次看这篇文章发现写的很简单，也只描述了几个常见的端口渗透；而且一般我们都是可以修 改默认端口的，所以平时在渗透过程中，对端口信息的收集就是一个很重要的过程；然后对症下药就可以更快的渗透进入我们需要的服务器；接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析；端口渗透过程中我们需要关注几个问题：1、  端口的banner信息2、  端口上运行的服务3、  常见应用的默认端口当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具；服务默认端口公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务；注册端口(Registered Ports)：1024-49151，他们松散的绑定了一些服务；动态/私有：49152-65535，不为服务分配这些端口；当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻击这些端口呢？还需要注 ...继续阅读 (98)

WEB应用模糊测试（WEB Fuzz）是一种特殊形式的网络协议模糊测试，专门关注遵循HTTP规范的网络数据包。WEB Fuzz并不是新的概念，目前有多种WEB应用模糊测试器（WEB Fuzzer），比如SPIKE Proxy、SPI Fuzzer、besTORM，以及渗透人员喜爱的Burp Suite。在Fuzz请求完成后，目标应用发回来的响应提供了Fuzz请求所造成影响的各种线索。如果发现了异常，就可以确定于异常相关的请求。下面总结了一些响应信息，这些响应信息可能指示漏洞条件的存在：HTML状态码响应中的错误信息响应中包含的用户输入性能下降请求超时WEB Fuzzer错误信息处理或者未处理的异常下面分别详细展开讨论：HTML状态码HTML状态码是一种重要信息，它提供了快速判断对应的请求是成功还是失败的指示。因此，WEB Fuzzer解析原始响应，得到状态码，然后在一个显示响应详细信息的列表中将其单独展示出来。通过THML状态码信息，用户能够快速确定需要进一步详细检查的响应部分。响应中的错误信息从设计上来说，WEB服务器一般都会在动态生成的网页中包含错误信息。如果一个WEB服务器在生产环节中启动不当，启用了调试功能，就会发生这种情 况。以下是一个典型的透露了太懂信息的例子：当验证错误时，WEB应用给出的错误信息是“密码不正确”而不是“用户或密码不正确”。如果攻击者试图通过暴 力方法 ...继续阅读 (60)

概念随机数是专门的随机试验的结果Before The Passage渗透过程毫无亮点，求不喷。没有牛逼的技巧，just for fun。Begin目标网站是aspx的，用的是商业源码。登陆系统，找到上传的地方，看源码。if(fileext!=".rar"&&fileext!=".rar"&&fileext!=""&&fileext!=".doc"&&fileext!=".xls"&&fileext!=".ppt"&&fileext!=".pdf") { alert("请选择rar,doc,xls,ppt,pdf文件"); return false; }发现用js来判断后缀。用burp抓包改包秒杀之。打包了源码，拖了库，留了个后门。上了几个提权杀器，被杀了。服务器装的是eset endpoint security。简单加壳，过了杀软。溢出，抓管理员密码。Ip在内网，之前在同类机器上碰到eset endpoint security，可能会拦截出站请求，怕把事情搞大，就没转发3389，然后就悄悄离开了。几天后，该站发出公告，说是系统发现重大漏洞，需要维护。我猜是之前不免杀的提权被杀软杀后，管理员看到了提示，发现了侵 ...继续阅读 (41)

本PPT来源91ri团队的内部分享，从现在起，我们将不定时发布内部分享的一些内容。但可能会有所删减，希望ppt里的一些思路可以帮到大家。其他的分享会内容详见《91Ri-内部分享会》，希望获取到其中某次分享会ppt的同学可以留言，我们将在适当时候放出。点我下载：91ri内部分享-浅谈RFID安全【via@91Ri_Team – g7】 ...继续阅读 (42)

本PPT来源91ri团队的内部分享，从现在起，我们将不定时发布内部分享的一些内容。但可能会有所删减，希望ppt里的一些思路可以帮到大家。其他的分享会内容详见《91Ri-内部分享会》，希望获取到其中某次分享会ppt的同学可以留言，我们将在适当时候放出。点我下载：91ri安全-数据分析分享【via@91Ri_Team – 隐形人很忙】 ...继续阅读 (38)

本文系简介，抢红包的demo可以看文末的链接。2015年底，正当微信和支付宝摩拳擦掌，准备开启一场红包大战之时，突然抢红包神器凭空出现抢了它们的风头。它能自动帮你自动抢红包，不必每个群去蹲守，对于个人来说解放了生产力，但是破坏了抢红包的乐趣，甚至会引发矛盾。所谓的抢红包神器其实在15年早期就已经出现，但真正引起了大众的关注是在年底。抢红包神器是什么？红包插件与红包提醒助手：有些人可能把这两个名词混为一谈，但它们是不同的。红包插件就是能自动抢红包的工具。小米、魅族等厂商都推出了自己的红包助手，它们的功能一般包括：在红包来临时进行提醒，点击提醒直达红包页面。但是还是需要手动抢红包，这显然称不上是神器，也在红包平台的容忍范围内。随着红包插件的传播，关于它的传言也越来越离谱，比如抢了还能再抢，关机还能抢，抢了还能发个谢谢。到底实际情况如何？让我们来探索一下这类红包插件的原理。Android平台红包神器Android平台的开放给这类红包插件提供了许多机会。据笔者探索以及向一些开发者请教的结果，至少有三种理论上可行的技术：1. Android Accessibility ServiceAndroid Accessibility Service是Android系统为视力障碍人士提供的辅助功能，通过它可以获取页面的UI控件位置、内容等，并且模拟点击，通过编码实时监控UI变化，就可以实现针对某个控件 ...继续阅读 (65)

注：本文出发点系分享一个好玩的题目，为避免一些不愉快的事情发生，91ri对文章略做修改，希望看文的朋友不要恶意加群骚扰，谢谢。早上刷某乎，看到妹子找程序员的帖子，然后出了个题，解决问题的才可以进入相关的“交友群”。虽然啥也看不懂，但是看起来蛮好玩的样子：begin 777 portal.bin <span class="hljs-literal">M</span>(R!796QC;VUE#0H-"B,C(<span class="hljs-label">$ME</span>&gt;0T*#0I24T$@4'5B;&amp;EC(<span class="hljs-label">$ME</span>&gt;3H@*<span class="hljs-label">$XL</span>(#&lt;<span class="hljs-literal">I</span> <span class="hljs-keyword">M</span>#0I.(#T@,C,<span class="hljs-literal">S</span>(<span class="hljs-string"> ...继续阅读 (33)

0x00 结论14号上午接到同事报告，某主机cpu占用至100%并出现可疑进程，安全部接手调查后结论如下：主机未限制端口访问，ssh端口暴露外网外部大量ip（100+）对主机进行暴力破解，且从13号21：12分开始陆续有6外网ip成功验证ssh验证成功后自动化程序部署后门，并加入至计划任务，第一个成功执行的恶意计划任务时间为22:21:01，发现多处后门，但比对后发现实际可执行文件有两个（通过部分行为及连接ip判断两个文件为同一伙人所留），其余只是文件名不同14号上午由于恶意进程导致机器cpu占用100%，后门被发现0x01 过程分析过程如下：登入主机后，找到可疑进程PID进入proc/进程目录找到对应文件绝对路径在/usr/bin目录下，stat信息如下：[root@xxx.com 13146]# stat /usr/bin/faksiubbri file: `/usr/bin/faksiubbri' Size: 610224 Blocks: 1200 IO Block: 4096 regular file Device: 802h/2050d Inode: 312739 Links: 1 Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ ...继续阅读 (55)

朋友让挖这个漏洞，因为挖到了getshell故把此具备坑爹性质的sql注入发出来，也算是对自己的学习负责public function tgbz_tx_cl() { if (I('get.id') <> '') { $uname = $_SESSION['uname']; $starttime = date('Y-m-d 00:00:01', time()); $endtime = date('Y-m-d 23:59:59', time()); $count1 = M("userget")->where("UG_getTime>='$starttime' and UG_getTime<='$endtime' and UG_account='$uname' and UG_dataType='tgbz'")->count();这里我只截取了一部分的代码，首先这里是把SESSION获取到的值赋于了$uname这个变量。首先要说明的是SESSION不受GPC影响，然后直接进入了where中public function where($where,$parse=null){ if(!is_null($parse) & ...继续阅读 (57)

小贴士：SSL协议的定义SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。正文前不久从网上得到一个https会话数据包文件https.pcap，用32位的wireshark打开(64位的会增加逆向难度，因为用到寄存器传递参数)如图：就这么多数据包，非常适合用来研究ssl协议的实现。 wireshark只要导入密钥是可以自动解密出明文的。点开Edit菜单下的Preferences项，再点开左侧的Protocols里面的SSL,新建一个SSL解密任务。确定之后，就可以看到明文数据了。原来的第24帧就多了一个http协议块，25帧也是如此，这就是wireshark的ssl解密功能。那么它是怎么实现的呢？这需要调试才能搞清楚。我调试的版本是Wireshark_win32_V1.12.4_setup.1427188207.exe 大小22.4 MB (23,588,136 bytes)费了九牛二虎之力定位到了libwireshark.dll文件，所有的ssl加解密都是在这模块中实现的。贴几张调试截图，这些断点都是比较关键的。通过调试，终于知道了ssl解密的算法，写了个python脚本，实现了wireshark的ssl解密核心算法。结果如图：-----B ...继续阅读 (76)

0x00 前言常言道，出来混总是要还的，看了360播报的《网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手》一文，表示很震惊，网络竟然是如此的不安全，无聊之下花了一周时间来调查360所说的“从公开的whois信息显示，该域名注册邮箱为root90sec@gmail.com，同时，该邮箱同时还有注册“maicaidao.me”这个域名。安全圈的朋友们一看这个邮箱，应该并不陌生，没错这个邮箱的主人正是某sec组织的成员之一，接下来的我们就不多说了，有兴趣的可以自己去挖挖。”估计很多朋友都很好奇是怎么拿下来的，这里大概介绍一下吧，希望能促进中国网络安全的发展，为行业贡献自己的一份力量。0x01 信息收集首先抓包，为了避免程序会有各种检测，流量镜像到了wireshark，写了个过滤只看HTTP协议，找到了收信的IP地址和域名，然后使用自写的 互联网信息收集脚本，针对目标域名的IP整个C段，所有与收信涉及的域名都扫了子域名、端口和应用分布情况，邮箱等，并根据收集到的现有信息生成了一个字 典规则等待后续针对性的爆破，恩，暂时只能这样了，毕竟目标并不是大型企业，360天眼他们安全团队也搞过应该知道该目标的难度，从整个数据流量中能够留 给我们的线索很少。0x02 综合检测过程A、收集完信息分析发现，9128.cc和maicaidao.co域名指向的都是一个地址。（历史所有的9128.cc域 ...继续阅读 (42)

lxml是Python中与XML及HTML相关功能中最丰富和最容易使用的库。lxml并不是Python自带的包，而是为libxml2和 libxslt库的一个Python化的绑定。它与众不同的地方是它兼顾了这些库的速度和功能完整性，以及纯Python API的简洁性，与大家熟知的ElementTree API兼容但比之更优越!但安装lxml却又有点麻烦，因为存在依赖，直接安装的话用easy_install, pip都不能成功，会报gcc错误。下面列出来Windows、Linux下面的安装方法:【Windows系统】先确保Python已经安装好，环境变量也配置好了，相应的的easy_install、pip也安装好了.1. 执行pip install virtualenv代码如下:C\:>pip install virtualenv Requirement already satisfied (use --upgrade to upgrade): virtualenv in c:python27libsite-package svirtualenv-12.0.4-py2.7.egg2. 从官方网站下载与系统，Python版本匹配的lxml文件：http://pypi.python.org/pypi/lxml/2.3/NOTE:比如说我的电脑是Python 2.7.4, 64位 ...继续阅读 (163)

查找恶意样本中的特定字符串是很有用的，比如你有可能寻找到那些针对不同目标的却具有相似代码的恶意样本。本文会对这一点进行详细描述。除此之外其还有一个用途是发现经恶意修改后的原始文件，在这篇文章”Unmasking Malfunctioning Malicious Documents” 有具体描述。0×01 字符串提取可以从malwr.com和hybrid-analysis.com等网站中提取这些可打印的字符串：0×02 利用mawr.com提取字符串在Malwr.com的搜索页面上可以使用搜索语法”string:… ”来搜索样本中的字符串。例如，我们可以使用这个特征来搜索所有的包含VBA宏的MS office文档，因为他们都包含字符串”VB_Nam” 。这是由于VBA语言要求在每个模块起始处都要包含一个命令VBA_Name=”name” （详见 MS-VBAL4.2）。因此这个字符串” VB_Nam” 总是会自动的嵌入为第一条命令，而且还未压缩直接以文本形式出现。现在看看在Malwr.com中搜索VBA宏的结果：自从2014年VBA宏病毒越来越新型，我们可以得到很多恶意样本：然而，现在采用这个特征的搜索经常会出现server erro问题，好像现在对单个字符串进行搜索了。例如，在我的文章”Unmasking Malfunctioning Malicious Documents” ，当 ...继续阅读 (20)

今天朋友维护的网站被人挂马了，百度及Google搜索会发现枪*支等关键词，查了很长时间都没有找到原因，让小弟帮忙查了一下，最终发现服务器遭遇了驱动级的文件隐藏，以前我也没有遇到过，记录一下，分享给有需要的朋友。现象：通过百度及Google搜索发现网站N多页面被收录为枪*支页面，访问后发现URL中存在hark.asp，URL类似下面的。http://www.xxxx.net/hark.asp?t5U2/4fzjWz.html分析：1、服务器使用文件查找hark.asp 未查找到文件。2、检测了第三方js未发现hark.asp。3、检查了CSS等，未发现跳转代码。4、使用阿D及安全狗，未发现shell，安全狗发现挂马，但是是误报的。最后问了群友，说有可能是中了驱动级的文件隐藏来实现黑帽SEO的，有如下特征：系统目录存在如下文件:c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys一查，果然是有的，如下图：此驱动级隐藏文件会在服务项增加一个xlkfs的服务驱动文件路径为：c:\WINDOWS\system32\drivers\xlkfs.sys配置文件路径为：c:\WINDOWS\xlkfs.ini清理：1、查询服务状态：sc qc xlkf ...继续阅读 (18)

偶然捡到一个加密的webshell，PHP神盾 Var 1.54加密的。记事本打开是一堆乱码，百度了一下有大侠搞出来了。他的方法是利用php_apd扩展解密：<?php rename_function('gzuncompress','new_gzuncompress'); override_function('gzuncompress', '$arg', 'print(new_gzuncompress($arg)); return new_gzuncompress($arg);'); require_once 'decryption.php'; decryption('decryption.php'); ?>大概知道什么意思，具体不知道怎么操作，是不是还有什么办法呢？用OD尝试了一下，确实可以。自己搭建一个Apache服务，并开启。然后od附加httpd进程，注意附加那个红色的（因为附加另一个会马上挂掉），然后让httpd继续运行。现在可以在浏览器里访问本地加了密的webshell了，例如http://localhost/DebugPHP/818.php到OD中搜索内存，我们已经可以看到明文了，webshell的口令也是一目了然啊:)剩下的事就很简单了，把内存中的二进制数据复制出来保存一下就ok了。我这个是PHP神盾 Var 1.54加密的，到网上搜了一个解密工具，实践 ...继续阅读 (27)