详细报告PDF 版下载：HP LaserJet 打印机未授权访问漏洞分析报告1. 漏洞概要2010年11月15日，惠普官方发布安全通告 c02004333，漏洞编号 CVE-2010-4107，由 PJL 接口权限设置不正确导致 LaserJet 系列打印机未经授权进行远程访问文件。1.1. 漏洞描述惠普 LaserJet 系列打印机的 JetDirect 服务默认运行于9100端口，其上的打印机作业语言（PJL）提供了一种在设备和远端主机之间进行数据交换的方法。通过 PJL 除了能够查看和更改打印机状态之外，还可以对打印机内置的文件系统进行访问。官方称该漏洞安全影响是未授权远程访问文件。使用存在此漏洞的设备会带来数据泄漏、数据篡改、内网被渗透的风险。1.2. 漏洞影响受影响打印机系列：HP LaserJet 以及 HP Color LaserJet 系列激光打印机，具体列表请见附件。2.3. 漏洞分析2.3.1 密码爆破惠普官方已经在2010年11月的安全通告上发布了漏洞解决办法，用户可以通过禁用 PJL 的文件系统访问权限或重新设置 PJL 密码来解决此问题。但 PJL 的安全密码是范围1-65535的数字，密码认证次数和频率并没有限制，远程攻击者可以通过爆破可以将 PJL 的密码安全保护禁用，进而可绕过密码验证通过 PJL 对打印机内置的文件系统进行读写。文件系统包含后台处理 ...继续阅读 (46)

知道创宇安全研究团队  niubl：2015.8.18 1. PHP介绍PHP（外文名: Hypertext Preprocessor，中文名：“超文本预处理器”）是一种通用开源脚本语言。PHP语法吸收了C语言、Java和Perl的特点，易于学习，使用广泛，主要适用于Web开发领域。PHP 独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML（标准通用标记语言下的一个应用）文档中去执行，执行效率比完全生成HTML标记的CGI要高许多；PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。 2. 漏洞简介PHP反序列化函数unserialize在反序列化字符串时，对于R或r类型引用，如果引用的是已经释放掉的变量，则有可能导致Use After Free漏洞。在PHP的众多漏洞中，http://www.cvedetails.com/vulnerability-list/vendor_id-74/PHP.html，很多都是unserialize函数引发的问题。之前有Stefan Esser介绍关于PHP unserialize RCE的演讲（http://www.slideshare.net/i0n1c/syscan-singapore-2 ...继续阅读 (29)

知道创宇安全研究团队  ChiChou：2015.8.7 1. 前言Javascript 作为一种运行在客户端的脚本语言，其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读，比如恶意软件的制造者们。为了增加代码分析的难度，混淆（obfuscate）工具被应用到了许多恶意软件（如 0day 挂马、跨站攻击等）当中。分析人员为了掀开恶意软件的面纱，首先就得对脚本进行反混淆（deobfuscate）处理。本文将介绍一些常见的混淆手段和 estools 进行静态代码分析的入门。 2. 常见混淆手段 2.1 加密这类混淆的关键思想在于将需要执行的代码进行一次编码，在执行的时候还原出浏览器可执行的合法的脚本，然后执行之。看上去和可执行文件的加壳有那么点类似。Javascript 提供了将字符串当做代码执行（evaluate）的能力，可以通过Function 构造器、eval、setTimeout、setInterval将字符串传递给 js 引擎进行解析执行。最常见的是base62 编码——其最明显的特征是生成的代码以eval(function(p,a,c,k,e,r))开头。base62 编码的 Javascript 无论代码如何进行变形，其最终都要调用一次 eval 等函数。解密的方法不需要对其算法做任何分析，只需要简单地找到这个最终的调用，改为conso ...继续阅读 (26)

知道创宇安全研究团队    2015 . 04. 23本文 PDF 下载：2015-08-05-ISC-BIND查询拒绝服务漏洞报告 1.漏洞描述ISC BIND是美国Internet Systems Consortium（ISC）公司所维护的一套DNS域名解析服务软件。该软件被披露存在拒绝服务漏洞，由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务，攻击者利用漏洞可恶意构造数据包，导致TKEY记录查询错误，进而导致BIND服务器发生REQUIRE断言失败并停止服务。CNVD对该漏洞的综合评级为“高危”。漏洞影响BIND 9所有版本（包括BIND 9.1.0版本至BIND 9.9.7-P1，BIND 9.10.0至BIND 9.10.2-P2版本），互联网上对应版本的递归服务器和权威服务器均受到该漏洞影响。根据实际使用情况评估，尽管TKEY查询功能使用较少，但由于基于漏洞构造的恶意攻击包有可能存在极强的前置条件，即使在服务器上配置访问控制列表或限制（拒绝）相关配置选项，也不能有效防范漏洞攻击。BIND查询拒绝服务漏洞能让黑客远程非授权对BIND所在服务器进行攻击，直至该DNS服务器崩溃，因为BIND句柄的TKEY查询中出现了bug，一个简单的UDP包就可以导致BIND服务器出现“assertion failure”错误，进而服务器上的DNS服务守护进程会 ...继续阅读 (29)

知道创宇安全研究团队  ChiChou：2015.7.28最近在研究一些 XSS 蠕虫的时候遇到了类似如下代码混淆： 观察其代码风格，发现这个混淆器做了这几件事：字符串字面量混淆：首先提取全部的字符串，在全局作用域创建一个字符串数组，同时转义字符增大阅读难度，然后将字符串出现的地方替换成为数组元素的引用。变量名混淆：不同于压缩器的缩短命名，此处使用了下划线加数字的格式，变量之间区分度很低，相比单个字母更难以阅读。成员运算符混淆：在 Javascript 中，window[‘top’] 和 window.top 是等价的。混淆器便利用这一特性，将成员访问复杂化，首先替换成字符串，然后对字符串进行混淆。经过我的搜索，这样的代码很有可能是通过javascriptobfuscator.com的免费版生成的。其中免费版可以使用的三个选项（Encode Strings / Strings / Replace Names）也印证了前面观察到的现象。这些变换中，变量名混淆是不可逆的。如果程序能智能到自动给变量命名，不仅我们的 F5 工具会更好用，也能给有命名恐惧症的程序员节省不少时间呢。说回来变量名替换可以通过人工的方式，使用 IDE（如 WebStorm）的代码重构功能，结合代码行为分析进行手工重命名还原。而字符串的还原是否可以使用脚本进行自动化呢？答案是肯定的。 要对一段代码进行静态分析或者更 ...继续阅读 (34)

知道创宇安全研究团队  niubl：2015.5.20一、Samba 介绍Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置 “NetBIOS over TCP/IP” 使得 Samba 不但能与局域网络主机分享资源，还能与全世界的电脑分享资源。Samba 由两个主要程序组成，它们是 smbd 和 nmbd。这两个守护进程在服务器启动到停止期间持续运行，功能各异。smbd 和 nmbd 使用的全部配置信息全都保存在smb.conf 文件中。smb.conf 向 smbd 和 nmbd 两个守护进程说明输出什么以便共享，共享输出给谁及如何进行输出。Samba 提供了基于 CIFS 的四个服务：文件和打印服务、授权与被授权、名字解析、浏览服务。前两项服务由 smbd 提供，后两项服务则由 nmbd 提供。 简单地说，smbd 进程的作用是处理到来的 SMB 软件包，为使用该软件包的资源与 Linux 进行协商，nmbd 进程使主机(或工作站)能浏览 ...继续阅读 (47)

知道创宇安全研究团队Evi1m0：2015.5.7概要WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，经过分析发现原来是 example.html 使用了存在 DOM XSS 漏 洞的 jQuery老版本 。11 年 dmethvin 提交  jQuery 1.6.1 版本的 Ticket #9521 , 其原因是由 $() | jQuery() 预期的 CSS 选择器在其他情况下可以用于创建 HTML 元素，如果编码不当（事实上很多编码不当的情 况），将会导致产生 DomXSS 漏洞。代码示例（jQuery 1.6.1）jQuery DomXSS testtype="text/javascript"src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.1/jquery.min.js">$(location.hash)Hello，jQuery.WordPress 默认主题 twentyfifteen 示例example.html 297-299 lines:// set permalinkvarpermalink = cssclas ...继续阅读 (35)

知道创宇安全研究团队    2015 . 04. 23本文 PDF 下载：CVE-2015-3306 漏洞 全球预警报告v1一、漏洞概要漏洞信息近日，开源 FTP 服务器程序 ProFTPd 被曝出一个未授权文件复制漏洞（CVE-2015-3306），该漏洞是由于 ProFTPd 中的 mod_copy 模块造成的。攻击者在一定条件下可利用该漏洞直接获得服务器权限。通过网络空间搜索引擎 ZoomEye 进行全网搜索，发现 ProFTPd 在全球网络空间中被普遍使用，该漏洞对欧美国家的服务器影响较大，中国受影响服务器的数量较少。漏洞描述ProFTPd 的 mod_copy 模块本用于文件复制操作，但在存在漏洞的版本中，mod_copy 模块的相关命令操作未设置访问授权验证，导致任意客户端均能通过特定命令对系统中任意文件进行复制，在一定条件下攻击者能够利用该漏洞获取系统敏感文件、获取服务器权限等。目前，在许多 Linux 发行版（如 Debian）的软件包中，ProFTPd 都被默认安装并加载了存在该漏洞的 mod_copy 模块，直接对系统构成威胁。漏洞影响所有使用 ProFTPd 的服务器。修复方案目前 ProFTPd 官网（http://www.proftpd.org）提供下载的版本中并未修复该漏洞，但在开发版本（https://github.com/proftpd/proftp ...继续阅读 (46)

知道创宇安全研究团队    2015 . 04. 16本文 PDF 下载：IIS系列Http.sys处理Range整数溢出漏洞 应急分析报告V1一、漏洞概要2015年04月14日，微软发布严重级别的安全公告 MS15-034，编号为 CVE-2015-1635，据称在 Http.sys  中的漏洞可能允许远程执行代码。漏洞描述Http.sys 是一个位于 Windows 操作系统核心组件，能够让任何应用程序通过它提供的接口，以 Http 协议进行信息通讯。微软在 Windows 2003 Server 里引进了新的 HTTP API 和内核模式驱动 Http.sys，目的是使基于 Http 服务的程序更有效率。其实在 Windows XP 安装 SP2 后，Http.sys 已经出现在系统里了，但事实上操作系统并没有真的使用这个内核级驱动，而 XP 上自带的 IIS 5.1 也没有使用 HTTP API。从曝出的 POC 来看，此漏洞是一个整数溢出类型的漏洞，微软安全公告称最大安全影响是远程执行代码。漏洞影响受影响版本：IIS 7.0以上的Windows 7/8/8.1和Windows Server 2008 R2/Server 2012/Server 2012 R2等操作系统。漏洞分析根据补丁比较发现，POC 中提到的代码出现在 UlpParseRange 函数中修改的部分。在未 ...继续阅读 (47)

iPhone 有一些强大而实用的功能，例如定位追踪和远程数据擦除。这其实都得益于它的唯一设备识别符 UDID（Unique Device Identifier）。本文描述了发掘 iPhone 目标终端设备、利用量子计划（QUANTUM）直接植入目标的标准分析技术，说明 iPhone 唯一设备识别符（Unique Device Identifier，简称 UDID）可以用于追踪目标或与终端设备及目标电话相关联，强调该入侵技术目前可以实现并实施进一步定位的 CNE 过程。编译 | 创宇智库本文英文版 PDF ：iPhone target analysis and exploitation with Apple(UDID)A.参考文献[a] iPhone 应用及隐私问题：iPhone 唯一设备识别符（UDID）应用传输分析/ iPhone application sand privacy issues:Ananalysis of Application Transmission of iPhone Unique DeviceIdentifiers（UDIDs）<此处内容机密|尚未公布>，2010 年 10 月 1 日[b] CROWNPRINCE–HTTP 流量中的苹果唯一设备识别符鉴别技术/ CROWNPRINCE-Technique for identifying Apple UDI ...继续阅读 (36)

本文介绍应用于美方网络战中的量子射手（QUANTUM SHOOTER）工具。尽管资料中仍有不少未解密，但还是可以从这份简介中看出美方在工业与网络结合方面比我们领先的距离。作为一台机器，量子是对它处理数据粒度的形容，射手是对它功能用途的描述。来源 | WikiInfo编译 | 创宇智库本文英文版 PDF 下载：Quantum Shooter SBZ Notes综述量子射手（QUANTUM SHOOTER）是因特网上一台被植入 STRAITBIZARRE （奇异海峡，简称 SBZ）的主机，经配置后可以通过 SURPLUSHANGAR（剩余机库）/HANGARSURPLUS（机库剩余）二极管等从 TURBINE 接收命令。一旦某台机器被选作量子射手，就会用 FELONYCROWBAR 和作为部署节点文档（Deployed Node Document，简称 DND）的一个 XML 配置文件对 SBZ 进行配置。FELONYCROWBAR GUI 和搭建脚本处理配置的某些方面，例如应将哪些 SBZ 模块包括进来，但仍需 DND 配置通讯链接的大多方面。对于升级情况，可以手动修改旧 DND；但对于新建情况，需要在 NCC 中生成新 DND（手动处理某些改变）。生成核心及“二进制”定制 SBZ 文件 （通常是从 FELONYCROWBAR 输出的压缩文件）后，交互操作员可将这些部署到作为射手的主 ...继续阅读 (32)

知道创宇 ZoomEye 团队    2015 . 04 . 08本文英文版 PDF 下载：Annual Global Census on “Heartbleed” Vulnerability概述2014 年 4 月 7 日，开源安全组件 OpenSSL 爆出重大漏洞（CVE-2014-0160），可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交，最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSLHeartbeat 模块存在一个 Bug，攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据，而这段数据中可能包含用户的用户名、密码、密钥等敏感信息，因此该漏洞获得了一个名副其实的名字“心脏出血（OpenSSLHeartbleed）”漏洞。ZoomEye 团队在“心脏出血”漏洞爆发一周年的时间节点，对全网 IP 进行了回归性普查，发现，虽然受影响 IP 已经降低到了 1 年前的 14.6%，但仍有较大量（377,221）的 IP 漏洞并未修复。鉴于已经留给相关站点的安全工程师足够的修补时间，为了提高网络空间的安全防御能力，本报告后面会放出 1000 个受影响 IP，希望能够唤起相关人员的安全意识。回顾“心脏出血”漏洞绝对称得上是互联网的史诗级漏洞，可以由以下数据进行说明：1.波及面最广 ...继续阅读 (32)

知道创宇安全研究团队 2015 . 03 . 31本文 PDF 下载：烽火HG-110设备录穿越漏洞考察1.更新情况版本：第一版时间：2015 / 3 / 31描述：第一版完成2.漏洞概要近期，国外安全研究员发布了针对全球 ADSL 设备存在目录穿越漏洞的研究<网页链接1>，这个漏洞早在 2011 年就被提出了，影响烽火（Fiberhome）HG-110 型号设备<网页链接2>，本着学习的态度，笔者对该漏洞进行了一番考证，写在这里。a）漏洞描述烽火（Fiberhome）HG-110 型号设备目录穿越漏洞<网页链接3>，是由于 webproc 文件在处理参数 getpage 传递过来的文件访问时没有合适过滤，导致用户可以利用 ../../ 跳转访问 web 目录之外的系统文件。b）漏洞分析烽火（Fiberhome）HG-110 型号设备目录穿越漏洞在 exploit-db 上被提交了两次<网页链接4>，其中 poc 35597 需要登录授权才能触发漏洞，poc 28450 的 poc 可以绕过权限认证；笔者在 ZoomEye 上检索 HG-110，可惜找不到任何实例，但是检索到了另外一款存在漏洞的设备，由于无法得知其设备名称，简称为 PLC 设备吧（管理页面内有 PLC 字样），本文漏洞分析就以它为例。在跟踪烽火（Fiberhome）HG-110 设备时，发现其实 netgear 竟 ...继续阅读 (55)

一切情报战手段的的初衷和根本在于加强国防。本文讨论了将计算机网络刺探（CNE）数据纳入反恐（Counter Terrorism，简称 CT）计划试点项目所取得的进展（截至 2008 年 4 月 1 日）。作者 | _<机密>_，SNIP 实习生 lLT编译 | 创宇智库点击获取本文英文版 PDF ：CNE Presence in CT Status行动纲要CT 计划主要涉及两个领域。首先，对反恐相关活跃信号情报（SIGINT）的获取与预警。其次，为支持 CNE 数据的深入解析与发展，对现有反恐数据模型扩展的设计。目前，CT 计划就某些刺探方法论而言已经可以支持 TAO 部门在因特网上新节点的建立。此外，在内外部伙伴的共同努力下，这项工作也为 CT 计划 CNE 数据模型扩展的持续进行铺平了道路。详细结论及建议在文章结尾部分给出。此处强调支撑整篇文章的三个关键点：对 CT 数据获取工作的优先支持。数字网络情报（Digital Network Intelligence，简称 DNI）/CNE 分析与开发团队的进一步建设。CT 计划 CNE 数据使用策略愿景前瞻。TAO 数据流获取处理 CNE 数据的第一步是识别和获取数据流，从而将信息路由至 CT 团队。此项工作独具挑战性，如下节所述。现状CT 团队正在摄取某个 CNE 数据流（即 FOXACID 日志文件）。该项工作被 CT 客户 G ...继续阅读 (31)

网络战中，一部部规格大小不同、配置高低各异、作用各司其职的终端，就是支撑网络攻击的武器和弹药，也是一切信息传播、监听、获取，所依托的阵地。因此，终端作战扩张一词也应运而生，并成为网络战役中不可或缺的一环。来源 | SID Today编译 | 创宇智库点击获取本文英文版 PDF ：Remote Operations Center (ROC) on endpoint operat终端作战指对创建、存储，或管理信息的系统（如计算机、外围设备及电话交换机等）进行主动颠覆，实现直接获取有价值情报数据或以入侵其他操作终端为目的的战役。其中，入侵特别行动对（TAO）为终端作战开发、部署了相关技术。终端作战适用于所有 SID 产品线，常用于协助 SIGINT 开发、中点收集、密码分析，及刺探工作。终端收集也为 CIA 和美国联合特种作战司令部（Joint Special Operations Command，简称 JSOC）的反恐作战提供直接支持。TAO 目前正着手进行终端作战扩张，力求增加目标数量及多样性，搭建一个更能满足可扩展及鲁棒要求的终端作战体系结构。此次扩张内容包括新增设一个终端入侵远程作战中心（ROC）。该中心能够管理和指挥终端作战，大规模扩张情报收集的可用范围，从而满足美方内外部客户的要求。此新增 ROC 设施拟于 2005 年夏季开始投入运行，具体位置在 R&E; 大楼三层。除了下 ...继续阅读 (16)