Author ：知道创宇404安全实验室Date：2017年03月19日（注：本文首发自 paper.seebug.org）PDF 版本下载：抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析 一、漏洞背景GoAhead作为世界上最受欢迎的嵌入式Web服务器被部署在数亿台设备中，是各种嵌入式设备与应用的理想选择。当然，各厂商也会根据不同产品需求对其进行一定程度的二次开发。2017年3月7日，Seebug漏洞平台收录了一篇基于GoAhead系列摄像头的多个漏洞。事件源于Pierre Kim在博客上发表的一篇文章，披露了存在于1250多个摄像头型号的多个通用型漏洞。作者在文章中将其中一个验证绕过漏洞归类为GoAhead服务器漏洞，但事后证明，该漏洞却是由厂商二次开发GoAhead服务器产生。于此同时，Pierre Kim将其中两个漏洞组合使用，成功获取了摄像头的最高权限。二、漏洞分析当我们开始着手分析这些漏洞时发现GoAhead官方源码不存在该漏洞，解开的更新固件无法找到对应程序，一系列困难接踵而至。好在根据该漏洞特殊变量名称loginuse和loginpas，我们在github上找到一个上个月还在修改的门铃项目。抓着这个“新代码”的影子，我们不仅分析出了漏洞原理，还通过分析结果找到了关于此漏洞的新的利用方式。由于该项目依赖的一些外部环境导致无法正常编译，我们仅仅 ...继续阅读 (17)

作者：知道创宇404安全实验室报告发布日期：2017年02月28日（注：本文首发自 paper.seebug.org） PDF 版报告下载：WordPress REST API 内容注入漏洞事件分析报告English Version：WordPress REST API Content Injection Vulnerability Incident Analysis Report 一、事件概述 1 漏洞简介：WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后，REST API插件的功能被集成到 WordPress 中，由此也引发了一些安全性问题。近日，一个由 REST API 引起的影响 WordPress 4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致 WordPress 所有文章内容可以未经验证被查看、修改、删除，甚至创建新的文章，危害巨大。2017年2月11日，知道创宇404安全实验室使用 ZoomEye 网络空间探测引擎进行扫描探测后发现，受该漏洞影响的网站仍然有15361个，其中有9338个网站已经被黑客入侵并留下了组织代号。我们针对组织代号进行统计，共发现八十余种代号。我们使用 ZoomEye 网络空间搜索引擎搜索"app:WordPress ver:4.7.1"，获得36603条结果。以下是https:/ ...继续阅读 (3)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-12-210x00 漏洞概述1.漏洞简介Joomla于12月13日发布了3.6.5的升级公告，此次升级修复了三个安全漏洞，其中CVE-2016-9838被官方定为高危。根据官方的描述，这是一个权限提升漏洞，利用该漏洞攻击者可以更改已存在用户的用户信息，包括用户名、密码、邮箱和权限组 。经过分析测试，成功实现了水平用户权限突破，但没有实现垂直权限提升为管理员。2.漏洞影响触发漏洞前提条件：网站开启注册功能攻击者知道想要攻击的用户的id（不是用户名）成功攻击后攻击者可以更改已存在用户的用户信息，包括用户名、密码、邮箱和权限组 。3.影响版本1.6.0 - 3.6.40x01 漏洞复现1. 环境搭建docker-compose.yml:version: '2' services: db: image: mysql environment: - MYSQL_ROOT_PASSWORD=hellojm - MYSQL_DATABASE=jm app: image: joomla:3.6.3 depends_on: - db links: - db ports: - "127.0.0 ...继续阅读 (6)

Author: p0wd3r, dawu (知道创宇404安全实验室)Date: 2016-12-150x00 漏洞概述1.漏洞简介Nagios是一款监控IT基础设施的程序，近日安全研究人员Dawid Golunski发现在Nagios Core中存在一个代码执行漏洞：攻击者首先伪装成 RSS 订阅源，当受害应用获取 RSS 信息时攻击者将恶意构造的数据传给受害者，程序在处理过程中将恶意数据注入到了 curl 的命令中，进而代码执行。2.漏洞影响漏洞触发前提：攻击者可伪装成https://www.nagios.org，利用 dns 欺骗等方法攻击者被授权，或者攻击者诱使授权用户访问rss-corefeed.php、rss-newsfeed.php和rss-corebanner.php其中一个文件。成功攻击可执行任意代码。3.影响版本Nagios Core < 4.2.20x01 漏洞复现1. 环境搭建Dockerfile:FROM quantumobject/docker-nagios RUN sed -i '99d' /usr/local/nagios/share/includes/rss/rss_fetch.inc RUN mkdir /tmp/tmp && chown www-data:www-data /tmp/tmp然后运行：docker run ...继续阅读 (7)

Author: LG, dawu (知道创宇404实验室)前言NTP服务对于互联网来说是不可或缺的，很多东西都能和它联系到一起。就在不久前，轰动一时的德国断网事件中也出现了它的影子。保证NTP服务器的安全是很重要的！0x00 漏洞概述1.漏洞简介NTPD是一个linux系统下同步不同机器时间的服务程序。近日NTP.org公布了一个拒绝服务漏洞，该漏洞能够导致NTPD服务遭受远程DoS攻击。2.漏洞影响受影响版本面临DoS攻击风险3.影响版本4.3.904.3.254.34.3.934.3.924.3.774.3.704.2.8p84.2.8p74.2.8p64.2.8p54.2.8p44.2.8p34.2.8p24.2.8p14.2.7p220x01 漏洞详情1.漏洞细节NTPD服务端配置安全性低，能接收任意端mrulist数据包。此时攻击者能够远程发送经过构造的mrulist数据包对其进行Dos攻击。2.漏洞检测方法使用以下命令检测NTP版本：# ntpq -c version受影响版本列表中的版本未作相关安全配置将受漏洞影响。 github上已有公布的漏洞利用poc，但是该poc会使NTPD服务崩溃，利用后需要重启服务。漏洞利用poc3.漏洞复现docker搭建环境：docker run --rm -it --name ntpvulnerable -p 123:123/udp ...继续阅读 (8)

Author: p0wd3r, LG (知道创宇404安全实验室)Date: 2016-12-080x00 漏洞概述1.漏洞简介著名的PHP代码审计工具RIPS于12月6日发布了一份针对Roundcube的扫描报告，报告中提到了一个远程命令执行漏洞，利用该漏洞攻击者可以在授权状态下执行任意代码。官方已发布升级公告。2.漏洞影响触发漏洞需满足以下几个前提：Roundcube 使用 PHP 的mail来发送邮件，而不通过其他 SMTP ServerPHP 的 mail 使用sendmail来发送邮件（默认）PHP 的safe_mode是关闭的（默认）攻击者需要知道 Web 应用的绝对路径攻击者可以登录到 Roundcube 并可以发送邮件成功攻击后攻击者可远程执行任意代码。3.影响版本1.1.x < 1.1.71.2.x < 1.2.30x01 漏洞复现1. 环境搭建Dockerfile:FROM analogic/poste.io RUN apt-get update && apt-get install -y sendmail然后执行：docker build -t webmail-test . mkdir /tmp/data docker run -p 25:25 -p 127.0.0.1:8080:80 -p 443:443 -p 110:110 ...继续阅读 (9)

Author:XD(知道创宇404实验室)data:2016-11-170x00 漏洞概述1.漏洞简介11月15日，国外安全研究员Dawid Golunski公开了一个新的Nginx漏洞（CVE-2016-1247），能够影响基于Debian系列的发行版，Nginx作为目前主流的一个多用途服务器，因而其危害还是比较严重的，官方对此漏洞已经进行了修复。2.漏洞影响Nginx服务在创建log目录时使用了不安全的权限设置，可造成本地权限提升，恶意攻击者能够借此实现从nginx/web的用户权限www-data到root用户权限的提升。3.影响版本下述版本之前均存在此漏洞：Debian: Nginx1.6.2-5+deb8u3Ubuntu 16.04: Nginx1.10.0-0ubuntu0.16.04.3Ubuntu 14.04: Nginx1.4.6-1ubuntu3.6Ubuntu 16.10: Nginx1.10.1-0ubuntu1.10x01 漏洞复现1.环境搭建测试环境：Ubuntu 14.04: Nginx1.4.6-1ubuntu3PoC详见如下链接，给出的nginxed-root.sh脚本在其中的第V部分：https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1247.h ...继续阅读 (9)

Author:xd0o1XD(知道创宇404实验室)data:2016-11-170x00 漏洞概述1.漏洞简介11月15日，国外安全研究员Dawid Golunski公开了一个新的Nginx漏洞（CVE-2016-1247），能够影响基于Debian系列的发行版，Nginx作为目前主流的一个多用途服务器，因而其危害还是比较严重的，官方对此漏洞已经进行了修复。2.漏洞影响Nginx服务在创建log目录时使用了不安全的权限设置，可造成本地权限提升，恶意攻击者能够借此实现从nginx/web的用户权限www-data到root用户权限的提升。3.影响版本下述版本之前均存在此漏洞：Debian: Nginx1.6.2-5+deb8u3Ubuntu 16.04: Nginx1.10.0-0ubuntu0.16.04.3Ubuntu 14.04: Nginx1.4.6-1ubuntu3.6Ubuntu 16.10: Nginx1.10.1-0ubuntu1.10x01 漏洞复现1.环境搭建测试环境：Ubuntu 14.04: Nginx1.4.6-1ubuntu3PoC详见如下链接，给出的nginxed-root.sh脚本在其中的第V部分：https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1 ...继续阅读 (4)

Author:dawu(知道创宇404实验室)data:2016-11-160x00 漏洞概述1.漏洞简介Sparkjava是一款小型的web框架，它能够让你以很少的代码构建出一个java web应用。近日，某国外安全研究人员发现其存在文件遍历漏洞，可以通过该漏洞读取任意文件内容。在对这个漏洞进行复现与分析的时候，我们又发现了一些可能可以利用的地方，但是利用条件更加苛刻。2.漏洞影响Sparkjava版本 < 2.5.20x01 漏洞复现1.验证环境Jdk-1.8.111 Apache maven 3.3.9 在写好Sparkjava代码后，在文件所在目录打开命令行，运行mvn package进行编译打包。2.漏洞复现根据官网给出的示例，我们写了一个简单的函数去复现这个漏洞:public class Hello { public static void main(String[] args) { staticFiles.externalLocation(“/tmp”); get("/", (req, res) -&gt; { return "hello from sparkjava.com"; }); } }pom. ...继续阅读 (4)

Author:dawu(知道创宇404实验室)data:2016-11-160x00 漏洞概述1.漏洞简介Sparkjava是一款小型的web框架，它能够让你以很少的代码构建出一个java web应用。近日，某国外安全研究人员发现其存在文件遍历漏洞，可以通过该漏洞读取任意文件内容。在对这个漏洞进行复现与分析的时候，我们又发现了一些可能可以利用的地方，但是利用条件更加苛刻。2.漏洞影响Sparkjava版本 < 2.5.20x01 漏洞复现1.验证环境Jdk-1.8.111 Apache maven 3.3.9 在写好Sparkjava代码后，在文件所在目录打开命令行，运行mvn package进行编译打包。2.漏洞复现根据官网给出的示例，我们写了一个简单的函数去复现这个漏洞:public class Hello { public static void main(String[] args) { staticFiles.externalLocation(“/tmp”); get("/", (req, res) -&gt; { return "hello from sparkjava.com"; }); } }pom. ...继续阅读 (4)

Author:dawu,LG(知道创宇404安全实验室)Data:2016-10-090x00 漏洞概述1.漏洞简介GitLab是一个利用Ruby on Rails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。近日研究者发现在其多个版本中存在文件读取漏洞(CVE-2016-9086)和任意用户authentication_token泄漏漏洞，攻击者可以通过这两个漏洞来获取管理员的权限，进而控制所有gitlab项目。2.漏洞影响任意文件读取漏洞(CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13任意用户authentication_token泄露漏洞：Gitlab CE/EE versions 8.10.3-8.10.50x01 漏洞复现1.环境搭建sudo apt-get install curl openssh-server ca-certificates postfix curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash sudo apt-get install gitlab-ce=8.10.3-ce ...继续阅读 (9)

Author:dawu,LG(知道创宇404安全实验室)Data:2016-10-090x00 漏洞概述1.漏洞简介GitLab是一个利用Ruby on Rails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。近日研究者发现在其多个版本中存在文件读取漏洞(CVE-2016-9086)和任意用户authentication_token泄漏漏洞，攻击者可以通过这两个漏洞来获取管理员的权限，进而控制所有gitlab项目。2.漏洞影响任意文件读取漏洞(CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13任意用户authentication_token泄露漏洞：Gitlab CE/EE versions 8.10.3-8.10.50x01 漏洞复现1.环境搭建sudo apt-get install curl openssh-server ca-certificates postfix curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash sudo apt-get install gitlab-ce=8.10.3-ce ...继续阅读 (5)

Author: LG(知道创宇404安全实验室)Date: 2016-11-090x00 漏洞概述1.漏洞简介GNU tar文档管理命令是Linux系统下常用的一个打包、压缩的命令。经 CSS（FSC1V Cyber Security Services）团队的研究员 Harry Sintonen 研究发现，tar 命令在提取路径时能够被绕过，在某些情况下导致文件被覆盖。在一些特定的场景下，利用此漏洞可导致远程代码执行。2.漏洞影响受害者使用tar命令解压由攻击者构造的特殊 tar 包时，tar 包不会解压到受害者制定的目标路径，而是被解压到攻击者指定的目录位置。3.影响范围从GNU tar 1.14 to 1.29 (包含1.29) 影响包括 Red Hat，Alphine Linux，Red Star OS以及其他所有使用 GNU tar 的 Linux 系统。0x01 漏洞详情1. 漏洞检测方法一：漏洞发现者给出了示例 PoC，用户可用其自检。 (该方法会覆盖用户帐号密码，导致 root 用户密码为空，建议使用实验环境测试或者采用方法二)curl https://sintonen.fi/advisories/tar-poc.tar | tar xv etc/motd cat etc/shadow示例poc：示例poc中含有一个文件shadow，路径为etc/motd/../et ...继续阅读 (12)

Author: LG(知道创宇404安全实验室)Date: 2016-11-090x00 漏洞概述1.漏洞简介GNU tar文档管理命令是Linux系统下常用的一个打包、压缩的命令。经 CSS（FSC1V Cyber Security Services）团队的研究员 Harry Sintonen 研究发现，tar 命令在提取路径时能够被绕过，在某些情况下导致文件被覆盖。在一些特定的场景下，利用此漏洞可导致远程代码执行。2.漏洞影响受害者使用tar命令解压由攻击者构造的特殊 tar 包时，tar 包不会解压到受害者制定的目标路径，而是被解压到攻击者指定的目录位置。3.影响范围从GNU tar 1.14 to 1.29 (包含1.29) 影响包括 Red Hat，Alphine Linux，Red Star OS以及其他所有使用 GNU tar 的 Linux 系统。0x01 漏洞详情1. 漏洞检测方法一：漏洞发现者给出了示例 PoC，用户可用其自检。 (该方法会覆盖用户帐号密码，导致 root 用户密码为空，建议使用实验环境测试或者采用方法二)curl https://sintonen.fi/advisories/tar-poc.tar | tar xv etc/motd cat etc/shadow示例poc：示例poc中含有一个文件shadow，路径为etc/motd/../et ...继续阅读 (4)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-260x00 漏洞概述1.漏洞简介Joomla是一个自由开源的内容管理系统，近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞：CVE-2016-8869，CVE-2016-8870。我们在这里仅分析 CVE-2016-8869，利用该漏洞，攻击者可以在网站关闭注册的情况下注册特权用户。Joomla 官方已对此漏洞发布升级公告。2.漏洞影响网站关闭注册的情况下仍可创建特权用户3.影响版本3.4.4 to 3.6.30x01 漏洞复现1. 环境搭建wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz解压后放到服务器目录下，例如/var/www/html创建个数据库：docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql2.漏洞分析注册注册部分可参考：《Joomla未授权创建用户漏洞（CVE-2016-8870）分析》提权下面我们来试着创建一个特权用户。在用于注册的register函数中，我们先看一下$ ...继续阅读 (11)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-260x00 漏洞概述1.漏洞简介Joomla是一个自由开源的内容管理系统，近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞：CVE-2016-8869，CVE-2016-8870。我们在这里仅分析 CVE-2016-8869，利用该漏洞，攻击者可以在网站关闭注册的情况下注册特权用户。Joomla 官方已对此漏洞发布升级公告。2.漏洞影响网站关闭注册的情况下仍可创建特权用户，默认状态下用户需要用邮件激活，但需要开启注册功能才能激活。3.影响版本3.4.4 to 3.6.30x01 漏洞复现1. 环境搭建wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz解压后放到服务器目录下，例如/var/www/html创建个数据库：docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql2.漏洞分析注册注册部分可参考：《Joomla未授权创建用户漏洞（CVE-2016-8870）分析》提权下面我们来试着创建一个 ...继续阅读 (5)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-260x00 漏洞概述1.漏洞简介Joomla是一个自由开源的内容管理系统，近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞：CVE-2016-8869，CVE-2016-8870。我们在这里仅分析CVE-2016-8870，利用该漏洞，攻击者可以在网站关闭注册的情况下注册用户。Joomla官方已对此漏洞发布升级公告。2.漏洞影响网站关闭注册的情况下仍可创建用户3.影响版本3.4.4 to 3.6.30x01 漏洞复现1. 环境搭建wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz解压后放到服务器目录下，例如/var/www/html创建个数据库：docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql最后访问服务器路径进行安装即可。2.漏洞分析在存在漏洞的版本中我们可以看到一个有趣的现象，即存在两个用于用户注册的方法：位于components/com_users/controllers/regi ...继续阅读 (7)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-260x00 漏洞概述1.漏洞简介Joomla是一个自由开源的内容管理系统，近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞：CVE-2016-8869，CVE-2016-8870。我们在这里仅分析CVE-2016-8870，利用该漏洞，攻击者可以在网站关闭注册的情况下注册用户。Joomla官方已对此漏洞发布升级公告。2.漏洞影响网站关闭注册的情况下仍可创建用户3.影响版本3.4.4 to 3.6.30x01 漏洞复现1. 环境搭建wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz解压后放到服务器目录下，例如/var/www/html创建个数据库：docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql最后访问服务器路径进行安装即可。2.漏洞分析在存在漏洞的版本中我们可以看到一个有趣的现象，即存在两个用于用户注册的方法：位于components/com_users/controllers/regi ...继续阅读 (4)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-170x00 漏洞概述1.漏洞简介Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块，在7月5日其维护者发布了这样一个升级公告，主要说明在用户使用Whitelabel views来处理错误时，攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。漏洞的发现者在10月13日公开了该漏洞的挖掘记录。2.漏洞影响授权状态下远程命令执行3.影响版本2.0.0 to 2.0.91.0.0 to 1.0.50x01 漏洞复现1. 环境搭建docker pull mavenFROM maven WORKDIR /tmp/ RUN wget http://secalert.net/research/cve-2016-4977.zip RUN unzip cve-2016-4977.zip RUN mv spring-oauth2-sec-bug/* /usr/src/mymaven WORKDIR /usr/src/mymaven RUN mvn clean install CMD ["java", "-jar", "./target/demo-0.0.1-SNAPSHOT.jar"]docker build -t mvn-spring . docker ru ...继续阅读 (11)

Author:p0wd3r(知道创宇404安全实验室)Date: 2016-10-090x00 漏洞概述1.漏洞简介WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日在 github （https://gist.github.com/anonymous/908a087b95035d9fc9ca46cef4984e97）上爆出这样一个漏洞，在其 <=4.6.1 版本中，如果网站使用攻击者提前构造好的语言文件来对网站、主题、插件等等来进行翻译的话，就可以执行任意代码。2.漏洞影响任意代码执行，但有以下两个前提：攻击者可以上传自己构造的语言文件，或者含有该语言文件的主题、插件等文件夹网站使用攻击者构造好的语言文件来对网站、主题、插件等进行翻译这里举一个真实场景中的例子：攻击者更改了某个插件中的语言文件，并更改了插件代码使插件初始化时使用恶意语言文件对插件进行翻译，然后攻击者通过诱导管理员安装此插件来触发漏洞。3.影响版本<= 4.6.10x01 漏洞复现1. 环境搭建docker pull wordpress<span class="token punctuation">:</span><span class="token number">4.6</spa ...继续阅读 (6)

Author:p0wd3r(知道创宇404安全实验室)Date: 2016-10-090x00 漏洞概述1.漏洞简介WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日在 github （https://gist.github.com/anonymous/908a087b95035d9fc9ca46cef4984e97）上爆出这样一个漏洞，在其 <=4.6.1 版本中，如果网站使用攻击者提前构造好的语言文件来对网站、主题、插件等等来进行翻译的话，就可以执行任意代码。2.漏洞影响任意代码执行，但有以下两个前提：攻击者可以上传自己构造的语言文件，或者含有该语言文件的主题、插件等文件夹网站使用攻击者构造好的语言文件来对网站、主题、插件等进行翻译这里举一个真实场景中的例子：攻击者更改了某个插件中的语言文件，并更改了插件代码使插件初始化时使用恶意语言文件对插件进行翻译，然后攻击者通过诱导管理员安装此插件来触发漏洞。3.影响版本<= 4.6.10x01 漏洞复现1. 环境搭建docker pull wordpress<span class="token punctuation">:</span><span class="token number">4.6</spa ...继续阅读 (6)

Author: SuperHei (知道创宇404安全实验室)Date: 2016-04-08注：文章里“0day”在报告给官方后分配漏洞编号：CVE-2016-18430x00 背景在前几天老外发布了一个在3月更新里修复的 iMessage xss 漏洞（CVE-2016-1764）细节 ：https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/https://github.com/BishopFox/cve-2016-1764他们公布这些细节里其实没有给出详细触发点的分析，我分析后也就是根据这些信息发现了一个新的 0day。0x01 CVE-2016-1764 漏洞分析CVE-2016-1764 里的最简单的触发payload：javascript://a/research?%0d%0aprompt(1)可以看出这个是很明显javascript协议里的一个小技巧 %0d%0 没处理后导致的 xss ，这个 tips 在找 xss 漏洞里是比较常见的。这个值得提一下的是 为啥要用prompt(1)而我们常用的是alert(1)，我实际测试了下发现 alert 确实没办法弹出来，另外在很多的网站其实把 al ...继续阅读 (12)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-080x00 漏洞概述1.漏洞简介WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日研究者发现在其<=4.6.1版本中，通过上传恶意构造的主题文件可以触发一个后台存储型XSS漏洞。通过该漏洞，攻击者可以在能够上传主题文件的前提下执行获取管理员Cookie等敏感操作。2.漏洞影响在能够上传主题文件的前提下执行获取管理员Cookie等XSS可以进行的攻击，实际的攻击场景有以下两种：攻击者诱导管理员上传恶意构造的主题文件，且管理员并没有对文件进行检查攻击者拥有管理员权限可以直接上传主题文件，但既然已经有管理员权限再进行这样的攻击也就多此一举了3.影响版本<= 4.6.10x01 漏洞复现1. 环境搭建docker pull wordpress<span class="token punctuation">:</span><span class="token number">4.6</span><span class="token punctuation">.</span><span class="token ...继续阅读 (7)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-10-080x00 漏洞概述1.漏洞简介WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日研究者发现在其<=4.6.1版本中，通过上传恶意构造的主题文件可以触发一个后台存储型XSS漏洞。通过该漏洞，攻击者可以在能够上传主题文件的前提下执行获取管理员Cookie等敏感操作。2.漏洞影响在能够上传主题文件的前提下执行获取管理员Cookie等XSS可以进行的攻击，实际的攻击场景有以下两种：攻击者诱导管理员上传恶意构造的主题文件，且管理员并没有对文件进行检查攻击者拥有管理员权限可以直接上传主题文件，但既然已经有管理员权限再进行这样的攻击也就多此一举了3.影响版本<= 4.6.10x01 漏洞复现1. 环境搭建docker pull wordpress<span class="token punctuation">:</span><span class="token number">4.6</span><span class="token punctuation">.</span><span class="token ...继续阅读 (6)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-09-280x00 漏洞概述1.漏洞简介Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics)，通过该漏洞，当一个网站使用了Django作为Web框架并且设置了Django的CSRF防护机制，同时又使用了Google Analytics的时候，攻击者可以构造请求来对CSRF防护机制进行绕过。2.漏洞影响网站满足以下三个条件的情况下攻击者可以绕过Django的CSRF防护机制：使用Google Analytics来做数据统计使用Django作为Web框架使用基于Cookie的CSRF防护机制（Cookie中的某个值和请求中的某个值必须相等）3.影响版本Django 1.9.x < 1.9.10Django 1.8.x < 1.8.15Python2 < 2.7.9Python3 < 3.2.70x01 漏洞复现1. 环境搭建1. pip install django==1.9.9 2. django-adm ...继续阅读 (33)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-09-220x00 漏洞概述1.漏洞简介Drupal （ https://www.drupal.org ）是一个自由开源的內容管理系统，近期研究者发现在其8.x < 8.1.10的版本中发现了三个安全漏洞，其中一个漏洞攻击者可以在未授权的情况下下载管理员之前导出的配置文件压缩包config.tar.gz。Drupal官方在9月21日发布了升级公告（ https://www.drupal.org/SA-CORE-2016-004 ）。2.漏洞影响未授权状态下下载管理员之前导出的配置文件3.影响版本8.x < 8.1.100x01 漏洞复现1. 环境搭建Dockerfile（来自Docker Hub）# from https://www.drupal.org/requirements/php#drupalversions FROM php:7.0-apache RUN a2enmod rewrite # install the PHP extensions we need RUN apt-get update && apt-get install -y libpng12-dev libjpeg-dev libpq-dev \ && rm -rf /var/li ...继续阅读 (6)

文/ SuperHei（知道创宇404安全实验室）0x01 前言这个是今年我在KCON 2016上的演讲题目，这个漏洞我最早在今年的4月份报告给了苹果公司一直没有得到修复进度等反馈。在刚刚发布的iOS 10里已经不受这个漏洞影响了，所以这里直接把细节再次和大家一起分享一下。0x02 漏洞描述这个漏洞主要是在iOS对于URL Scheme及其在UIWebView等控件的自动诊断识别等处理机制下导致跨应用XSS漏洞。0x03 漏洞详情iOS下的URLScheme存在几个特点：1. iOS 下URL Schemes全局有效且只需安装app即可生效。2. iOS下的URL Schemes的链接会被UITextView或者UIWebView的Detection Links属性识别为链接。我们先看第2点的具体处理机制“UIWebView的Detection Links属性识别为链接”，也就是说你输入的任何URL Scheme连接都会被解析html里的a标签的调用： scheme:// —> <a … href="scheme://"> … </a > 对XSS漏洞很熟悉的同学，很可能就会想到2个方向：1. 通过双引号闭合使用事件来执行js 经过测试在上引号出现在scheme里不会被识别，所以这个思路不通。2. 利用javascript://伪协 ...继续阅读 (10)

Author: p0wd3r (知道创宇404安全实验室)Date: 2016-09-120x00 漏洞概述1.漏洞简介SugarCRM（http://www.sugarcrm.com/）是一套开源的客户关系管理系统。近期研究者发现在其<=6.5.23的版本中存在反序列化漏洞，程序对攻击者恶意构造的序列化数据进行了反序列化的处理，从而使攻击者可以在未授权状态下执行任意代码。2.漏洞影响未授权状态下任意代码执行3.影响版本SugarCRM <= 6.5.23 PHP5 < 5.6.25 PHP7 < 7.0.100x01 漏洞复现1. 环境搭建Dockerfile:FROM php:5.6-apache # Install php extensions RUN docker-php-ext-configure gd --with-png-dir=/usr --with-jpeg-dir=/usr \ && docker-php-ext-install -j$(nproc) mysqli gd zip # Download and Extract SugarCRM RUN wget https://codeload.github.com/sugarcrm/sugarcrm_dev/tar.gz/6.5.23 -O src.tar.gz ...继续阅读 (10)

Author: 知道创宇404安全实验室Date: 2016-08-04一、 漏洞概述 1.  漏洞信息"IPS Community Suite "是一款国外比较常见的cms。但在其4.1.12.3版本及以下版本，存在PHP代码注入漏洞，该漏洞源于程序未能充分过滤content_class请求参数。远程攻击者可利用该漏洞注入并执行任意PHP代码。2.  触发条件IPS版本：<=4.1.12.3php环境：<=5.4.24和5.5.0-5.5.8 二、漏洞复现1.   分析在 /applications/core/modules/front/system/content.php 文件中有一段这样的代码，$class = 'IPS' . implode( '', explode( '_', IPSRequest::i()->content_class ) ); if ( ! class_exists( $class ) or ! in_array( 'IPSContent', class_parents( $class ) ) ) { IPSOutput::i()->error( 'node_error', '2S226/2', 404, '' ); }这里程序通过 IPSRequest::i()-&g ...继续阅读 (24)

Author: rungobier(知道创宇404安全实验室)Date: 2016-08-030x00 概述Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地，在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面，我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先，需要获取 Apache Shiro 存在漏洞的源代码，具体操作如下:git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 cd ./shiro/samples/web为了配合生成反序列化的漏洞环境，需要添加存在漏洞的 jar 包，编辑 pom.xml 文件，添加如下行：<!-- 需要设置编译的版本 --> <properties> <maven.compiler.source>1.6</maven.compiler.source> <maven.compiler.target>1.6</maven.compiler.target> </properties> ... <dependencies> ...继续阅读 (15)