详解PHPphar协议对象注入技术,反序列化操作快速入门! 代码审计

详解PHPphar协议对象注入技术,反序列化操作快速入门!

近日,在BlackHat 2018大会上公布了一种针对PHP应用程序的全新攻击技术。来自Secarma的安全研究员Sam Thomas分享了议题“It’s a PHP unserialization vulnerability Jim, but not as we know it”,利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了php反序列化漏洞的攻击面。 该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。 本期安...
最新
阅读全文
信息是一道光,泄露到你发慌 界内新闻

信息是一道光,泄露到你发慌

从Facebook泄露5000万用户信息,到华住泄露1.3亿人住房信息,今年这样的信息泄露事件一直层出不穷,并且规模越来越大。 公众难免质疑,“既然公司获取并使用了我的信息,那便应有保护这些信息的义务。如今因为这些信息的泄露,让个人安全和隐私受到极大威胁,那之后是否还能放心的将这些信息交给这家企业呢?” 由信息泄露事件引发的矛盾一步步将企业推入信任危机的漩涡,被泄露的信息往往会通过暗网等隐蔽性极强的手段销售传播,而对于被泄露的信息来说,这个故事才刚刚开始。 这次我们采访了360信息安全部的负责人高雪峰和网络攻防实验室负责人林伟,他们讲述了信息从被泄露开始到最...
阅读全文
前端安全系列(二):如何防止CSRF攻击? 渗透测试

前端安全系列(二):如何防止CSRF攻击?

背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一...
阅读全文
一个人的武林:渗透测试常规分析(一) 渗透测试

一个人的武林:渗透测试常规分析(一)

写在前面 渗透测试是门技术,也是一门艺术。 这门技术(艺术)一开始也不是每个人都会的,正所谓没有人一出生就会走路,从不懂到入门到深谙,一步步慢慢来,每个人都是这样;但是在这个过程中,思路无疑是最重要的,没有做不到只有想不到,就跟咱们高中解题时有了思路就迎刃而解一样,手里拿着铲子(技巧知识)但不是道从何挖起岂不是悲哀。 下面会分享一些我自己总结的常规渗透思路。 分享的思路就像一本书的索引一样,并不是每个点都有详细的技巧和各种原理分析,而是咱们如何下手如何一步步深入,在每个点上咱们知道了思路可以在每个点上查阅资料来攻破,继续前进。好比武功的招式套路,...
阅读全文
运维安全 | 等保视角下的SSH加固之旅 渗透测试

运维安全 | 等保视角下的SSH加固之旅

0×00 前言 前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH Server的加固。正好最近有空,笔者将加固过程的一些经验,总结分享一下,于是有了本文。 0×01 等保视角下的SSH 加固之旅 等保规范中 对主机安全要求有以下一个方面 1)身份鉴别 2)访问控制 3)审计 4)入侵防范 根据这4点规范要求,结合实际加固经验,总结如下 一、服务端的加固: 1、登录认证维度的加固 1)、选择安全的登录认证方...
阅读全文
某CMS 排行页面存储型XSS漏洞 分析 代码审计

某CMS 排行页面存储型XSS漏洞 分析

2018年10月12日,某CMS官方修复了一处XSS漏洞: 简要分析 source/module/misc/misc_ranklist.php:166 <?php function getranklist_members($offset = 0, $limit = 20) { require_once libfile('function/forum'); $members = array(); $topusers = C::t('home_show')->fetch_all_by_unitprice($offset, $limit, true); ...
阅读全文
无字母数字Webshell之提高篇 代码审计

无字母数字Webshell之提高篇

前几天有同学提出了一个问题,大概代码如下: <?php if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); } 这个代码如果要getshell,怎样利用? 这题可能来自是我曾写过的一篇文章:《一些不包含数...
阅读全文
Git Submodule 漏洞(CVE-2018-17456)分析 代码审计

Git Submodule 漏洞(CVE-2018-17456)分析

收集资料 一开始研究这个漏洞的时候,网上公开的资料非常少,最详细的也就github blog[1]的了。 得知发现该漏洞的作者是@joernchen, 去翻了下他的twitter,找到了一篇还算有用的推文: 另外在twitter搜索CVE-2018-17456,得到一篇@_staaldraad验证成功的推文: 可惜打了马赛克,另外还通过Google也零零散散找到一些有用的信息(url都找不到了),比如该漏洞无法在Windows上复现成功,因为:在Windows上不是有效的文件名。   研究分析 ...
阅读全文
开启Wi-Fi就会泄漏身份信息,还有这种骚操作? 资源共享

开启Wi-Fi就会泄漏身份信息,还有这种骚操作?

这段时间有些不太平,时不时就有人想搞个大新闻,一帮注水的专家在媒体采访时瞎科普,动不动就用安全漏洞来恐吓小白用户。如前几天广泛传播的“正在充电的手机,自动打开携程预定万元总统套房”,其实那根本就不是什么漏洞,只是因为用户使用了山寨充电器,充电电压不稳造成了屏幕乱点的问题。这不,Wi-Fi领域好像又出现了一些问题:我们之前有看到一些文章解读该事件,但是缺乏严谨,颇有软文之嫌,导致对事件的解读产生了一些“偏离”。虽然大部分Wi-Fi安全问题都与恶意Wi-Fi热点相关,但这个事件反而是没有太大的关联的。这些关键性错误包括:1. Wi-Fi广告路由和Wi-Fi探针是两种完全不同的设备。前者是无线热点,后者是无线...
阅读全文
Struts2 漏洞exp从零分析 代码审计

Struts2 漏洞exp从零分析

0x00 前言 从零开始分析struts2代码执行exp,其中不但包括了struts2自己设置的防护机制绕过,还有ognl防护绕过。以s2-057为列,因为有三个版本的exp,从易到难,比较全。文章中包含的前置内容也比较多。   0x01 前置知识OGNL struts2命令执行是利用ognl表达式,所以必须了解ognl。 1、HelloWorld OGNL有三大要素,分别是表达式、Context、根对象。 使用ognl表达式的时候,是使用Object ognl.Ognl.getValue(String expre...
阅读全文
渗透技巧——利用虚拟磁盘实现的“无文件” 渗透测试

渗透技巧——利用虚拟磁盘实现的“无文件”

  0x00 前言   在渗透测试中,常常会使用代码注入、内存执行、注册表、powershell或是wmi等无文件的技术,增加被检测和分析的难度。 站在渗透的角度,某些条件下并不能做到整个过程的“无文件”,需要向硬盘写入文件,这就很有可能被取证和分析。 最近我看到了一篇文章介绍了利用虚拟磁盘的方法,正好能解决这个问题。 而站在防御的角度,针对这种方法该如何检测和拦截呢? 参考的文章地址: https://diablohorn.com/2018/08/06/creating-a-ram-disk-through-m...
阅读全文
安卓手机搭建渗透环境(无需Root) 渗透测试

安卓手机搭建渗透环境(无需Root)

前言 大家熟知的渗透测试是笔记本上神秘滚动的linux命令!一台kali笔记本走天下,是渗透测试的基本素养。但笔记本还是太大,很多地方你用笔记本做渗透测试还是太招摇,而且你更多的时候是手痒,想搞一搞周围的设备,你又没带笔记本怎么办?那你带了什么?出门三件套:钱包、手机、钥匙!很明显答案是手机! 众所周时手机版的kali就是Kali NetHunter,但这神器一是要刷机,二是适配的手机非常少,三是即使刷成功了,那你手机上原来的各种软件就不那么好用了。所以真正把手机系统折腾成KaliNetHunter的并不多。那有没有办法,让我们既可以装X,又不用刷机呢。当然有!下面我们就来看看不同场...
阅读全文
DNS后门及其检测 代码审计

DNS后门及其检测

前言 使用DNS隧道技术可以有效地进行数据交换,当然,也可以使用DNS隧道技术进行后门的制作。 0×00 背景 要理解DNS后门,首先要对DNS协议有所了解。DNS解析过程在此不多赘述,只提到一点:DNS解析中的PTR记录,它与A记录相反,是将IP地址解析为域名。如下图,如果这时向这个DNS服务器请求1.1.1.100的PTR记录,反向解析到的域名就是test.com 。 需要了解的是PTR记录的两个特性: 1. 大小写不敏感。在PTR记录中,如果DNS服务器上的主机名包含大写,DNS解析的结果中会全部转换为小写。所以域名也并...
阅读全文
前端安全系列(一):如何防止XSS攻击? 渗透测试

前端安全系列(一):如何防止XSS攻击?

前端安全  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列...
阅读全文
浅谈PHP安全规范 编程相关

浅谈PHP安全规范

前言 php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发,总结记录php相关安全。新手上路,向前辈致敬。 请充分了解你的php 基本信息 注意到以下的文件结构在新版本php或者不同的发行版中略有不同,就好比在ubuntu18.04中安装php7就和下面的文件结构有较大的差别,所以下面的文件仅仅作为一个apache的架构参考。  Root:/var...
阅读全文
微软漏洞CVE-2017-11885分析与利用 代码审计

微软漏洞CVE-2017-11885分析与利用

根据微软官网对CVE-2017-11885的描述,该漏洞几乎可以通杀微软的全版本操作系统,有关该漏洞的POC在exploit-db上于2018年5月份被披露,该POC仅仅针对windows server 2003进行了测试。 由于在相关描述中并没有获取到触发该漏洞的原因,因此在获取POC后,尝试对该漏洞进行复现并分析。 POC的关键代码如下: 作者已经对该POC做了较为详细的注释,从stub的布局以及注释来看,第41行的stub数据可能会被传入到CALL off_64389048[ECX*4]的ecx中,ecx如果是被控制的值,那么基本上可以直接在目标系统执行任意代码了。...
阅读全文
技术讨论 | 自动化Web渗透Payload提取技术 渗透测试

技术讨论 | 自动化Web渗透Payload提取技术

0×0 写在前面 做Web安全已经三四年了,从最初的小白到今天的初探门路,小鲜肉已经熬成了油腻大叔。Web安全是一个日新月异的朝阳领域,每天的互联网上都在发生着从未暴露的0 Day和N Day攻击。这时一个大家都意识到的重要问题就浮出水面了:如何能从海量Web访问日志中把那一小撮异常请求捞出来,供安全人员分析或进行自动化实时阻断和报警? 对于这个问题,传统的方法是利用传统的WAF(无机器学习引擎),进行规则匹配。传统WAF有其存在的意义,但也有其掣肘。首先,安全从业人员都懂,基于黑名单的防御往往存在各种被绕过的风险,看看安全论坛里各式花样打狗(安全狗)秘籍就可见一斑。其次,传统WAF...
阅读全文
Linux应急响应(二):捕捉短连接 渗透测试

Linux应急响应(二):捕捉短连接

0x00 前言 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。 0x01 应急场景 某天,网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程。 0x02 日志分析 登录服务器查看端口、进程,并未发现发现服务器异常,但是当多次刷新端口连...
阅读全文
Linux应急响应(一):SSH暴力破解 渗透测试

Linux应急响应(一):SSH暴力破解

0x00 前言         SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 0x01 应急场景         某天,网站管理员登录服务器进行巡检时,发现端口连接里存...
阅读全文