新型XSS总结两则

0x00 简介


近期看到了两种XSS攻击手法:一种是利用JSONP和serviceWorkers的持久性XSS,一种是移动设备中的XSS,学习后总结一下,同时也请高手多多指点。

0x01 基于JSONP和serviceWorkers的持久性XSS


对于Web攻击者来说,通常都渴望在未知用户浏览器具体类型的情况下,仍然能够顺利通过它来访问网站。甚至在浏览器被关闭,再次访问时要挂钩的回话也没有了的情况下,依旧可以访问网站,那该多好啊!实际上,这不仅是说说而已,如果联合利用未被过滤的JSONP路由、serviceWorkers和XSS的话,完全可以为网站打造一个持久性后门。

阅读全文 »

三个白帽之寻找来自星星的你 - 第二期解题分析

0x00 绕过auth验证


直接访问web服务器提示need cookie,通过IDA反汇编目标WEB服务程序, F5得到伪C代码如下:

haystack = strstr(byte_605240, "Cookie: ");
    if ( !haystack )
      the_exit(2, (__int64)"Need cookie", (__int64)&unk_4020E0, a1);
    qword_606248 = (__int64)strstr(byte_605240, "HTTP/1.0");
    if ( !qword_606248 )
    {
      qword_606248 = (__int64)strstr(byte_605240, "HTTP/1.1");
      if ( !qword_606248 )
        the_exit(2, (__int64)"Not supported version", (__int64)&unk_4020E0, a1);
    }
    if ( strncasecmp(byte_605240, "GET", 3uLL) )
      the_exit(2, (__int64)"Not supported method", (__int64)&unk_4020E0, a1);
    for ( i = 0LL; i < n; ++i )
    {
      if ( *(_BYTE *)(i + 6312512) == 13 || *(_BYTE *)(i + 6312512) == 10 )
        *(_BYTE *)(i + 6312512) = 0;
    }
    s = strstr(haystack, "auth=");
    if ( !s )
      the_exit(2, (__int64)"Need authentication", (__int64)&unk_4020E0, a1);
    sa = s + 5;
    if ( strlen(sa) > 0x40 )
      the_exit(2, (__int64)"Invaild authentication length", (__int64)&unk_4020E0, a1);
    sub_400F12(&var_60, sa);
    if ( memcmp(&var_60, s2, 0x20uLL) )
      the_exit(2, (__int64)"Authentication failed", (__int64)&unk_4020E0, a1);

阅读全文 »

pcman-ftp初战漏洞挖掘

0x01 install binnavi


直接下载https://github.com/google/binnavi/releases里面的binnavi-all.jar,放到windows下双击,运行不成功说明缺少环境,再从其他几个链接中学习安装

使用教程https://www.zynamics.com/binnavi/manual/html/tutorial.htm

阅读全文 »

Uber渗透案例:我们是如何发现你是谁,你在哪,你要打车去哪!

翻译的原文链接:Uber Hacking: How we found out who you are, where you are and where you went! 翻译可能有一些错误,欢迎交流和指正。

“还能有什么比被授权渗透测试2016年最受关注的公司更令人兴奋的吗?” 在Integrity团队中,我们喜欢接受挑战,所以一有空闲时间,就会鼓励大家去做研究或者是做些”破坏“,这是我们团队做之前做过的一些研究。
我们(@r0t1v,@fjreis,@fabiopirespt)决定利用这段时间来做一些漏洞奖励计划的渗透测试。

0x00 什么是漏洞奖励计划?


维基百科中说的是:

阅读全文 »

梆梆脱壳方法

0x00 前言


前段时间遇到一个app,解包后发现了libDexHekper.so,搜索了一下发现是梆梆的壳,于是花了一段时间研究了一下怎么脱。这篇博客文章在dexhunter的基础上做了修改。

0x01 dexhunter的适配


加固发展到今天,几乎很难通过动态调试的传统方式把壳脱下来了。由于android的开源特性,现在更好的脱壳办法就是修改dvm(或art)虚拟机 ,这种方法最好的代表就是dexhunter。但是dexhunter并不能直接用来脱梆梆的壳了,梆梆做了一些监测,监测到dexhunter后会闪退。分析后发现主要监测了一下两个点:dexname和fopen/fwrite函数。

阅读全文 »

三个白帽之招聘又开始了,你怕了吗 writeup

ALICTF 2016,我负责了3道题web,Recruitment I, Recruitment II, homework, 其中Recruitment I,Recruitment II几乎没人做出,并且做出Recruitment II的队伍在第二步都使用了unintended的做法,所以我将这三题做了修改和简化,融合为这次三个白帽的挑战题,相似但是不相同。

0x00 挑战介绍


审计题,源码在/www.zip下,有waf,就是这么自信。什么,这个网站你见过?那我也不怕,网站升级了!

0x01 writeup


虽然是出题人,不过我们还是从做题的角度来分析这次的挑战。本次挑战为审计题,源码直接放出,简单粗暴。所以我们先来看看源码。

阅读全文 »

linux内核递归漏洞——翻译自P0文章

6月1日,我报告了一个在开启了home目录加密的ubuntu上的本地用户可触发的linux内核任意递归漏洞。如果您想查看poc以及exploit代码还有简报,请查阅https://bugs.chromium.org/p/project-zero/issues/detail?id=836

0x00 背景知识


Linux给每一个用户进程分配了8M大小的栈,如果程序耗尽了这个栈的话,比如用了无限递归,就会触发栈后面的页保护。

但是Linux的内核栈就很不一样了,尤其是处理系统调用的时候。内核栈相对较短,32位系统上4096bytes,64位系统上16384bytes。(内核栈大小由THREAD_SIZE_ORDERTHREAD_SIZE指定。)内核栈由linux的伙伴系统(buddy allocator)来分配的,这也是linux系统中常规的页分配机制,并且伙伴系统并不提供页保护。这就意味着内核栈溢出的时候可写入正常数据。由于这个原因,内核代码必须(通常也是)非常小心,尽量不要申请大块内存,尽量避免过多的递归。

阅读全文 »

玩转Metasploit之Automated Persistent Backdoor

Alt text

阅读全文 »

CVE-2015-7547分析及利用

0x00 前言


这段时间一直在学习Linux漏洞攻防,看了很多大神的文章,比如蒸米大神在drops发表的系列,还有google到的一些paper等,受益匪浅。这里也给其它对Pwn感兴趣的同学推荐《海枫的专栏》,是我的一位大腿学长推荐给我入门用的,非常nice!

当然了对于我这种Pwn新手来说,光看大神的文章是不够的,在看了k0师傅还有知识库上mrh大神的7547调试后,自己尝试动手去调试7547这个洞,才更深刻明白这个洞的成因及原理,同时为了给ROP技能加技能点,也尝试对CVE-2015-7547这个洞自己编写EXP去完成简单利用。

本文分两部分,第一部分写在编写exp之前如何劫持EIP,对栈空间布局的摸索。第二部分介详细绍在这个漏洞下如何编写ROP链来打开一个shell。

第一次在乌云投稿,仍有很多不足之处,还请各位大牛们多多批评指点!!!

阅读全文 »

利用Office宏及Powershell的针对性攻击样本分析

Author:360天眼安全实验室

0x00 背景


人在做,天在看。

利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性,已经成为目前日益泛滥的攻击手段,不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测, 5月份以来,我们注意到一类比较特别的样本,发现其有两个比较鲜明的特点。

  1. 利用Excel表格存放诱饵数据,伪造警告欺骗用户启用宏,宏代码会从表格中读取出数据,然后释放并执行;

  2. 使用Powershell脚本通过DNS请求来传输数据,将数据写成批处理文件(.bat)再执行,执行完毕将结果通过同样的方式回传,然后删除痕迹。如此实现远程控制功能,并且控制方式上非常隐蔽。

FireEye公司在5月22日发布了一篇关于此类样本和相关攻击行动的分析报告,详细地分析了实现上的技术细节,指称这是一次针对中东地区银行的定向攻击。进入6月以后,我们还发现了一些新的同类型样本被提交。

阅读全文 »

第 1 页,共 128 页12345...102030...最旧 »