CH_vksec

原文：http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script/ 寫在故事之前 身為一位滲透測試人員，比起 Client Side 的弱點我更喜歡 Server Side 的攻擊，能夠直接的控制伺服器、獲得權限操作 SHELL 才爽 <(￣︶￣)> 當然一次完美的滲透任何形式的弱點都不可小覷，在實際滲透時偶爾還是需要些 Client Side 弱點組合可以更完美的控制伺服器，但是在尋找弱點時我本身還是先偏向以可直接進入伺服器的方式來去尋找風險高、能長驅直入的弱點。 隨著 Facebook 在世界上越來越火紅、用戶量越來越多，一直以來都有想要嘗試看看的想法，恰巧 Facebook 在 2012 年開始有了 Bug Bounty 獎金獵人的機制讓我更躍躍欲試。 一般如由滲透的角度來說習慣性都會從收集資料、偵查開始，首先界定出目標在網路上的 "範圍" 有多大，姑且可以評估一下從何處比較有機會下手。例如: Google Hacking 到什麼資料? 用了幾個 B 段的 IP ? C 段的 IP ? Whois? Reverse Whois? 用了什麼域名? 內部使用的域名? 接著做子域名的猜測、掃描 公司平常愛用什麼樣技術、設備? 在 Github, Pastebin 上是否有洩漏什麼資訊? …etc 當然 Bug Bounty 並不是讓你無限制的攻擊，將所蒐集到的範圍與 Bug Bounty 所允許的範圍做交集後才是你真正可以去嘗試的目標。 一般來說大公司在滲透中比較容易出現的問題點這裡舉幾個例子來探討 對多數大公司而言，" 網路邊界 " 是比較難顧及、容易出現問題的一塊，當公司規模越大，同時擁有數千、數萬台機器在線，網管很難顧及到每台機器。在攻防裡，防守要防的是一個面，但攻擊只需找個一個點就可以突破，所以防守方相對處於弱勢，攻擊者只要找到一台位於網路邊界的機器入侵進去就可以開始在內網進行滲透了! 對於 " 連網設備 " 的安全意識相對薄弱，由於連網設備通常不會提供 SHELL 給管理員做進一步的操作，只能由設備本身所提供的介...

我写这文章是为了分享我对 Edimax 生产的 IC-3116W IP 摄像头的分析经验。本文聚焦于如何开始分析 IP 摄像头，当然本文提到的工具同样适用于分析其他的设备。首先，我会介绍如何获取目标固件，并利用固件来收集信息；然后，会讲解如何进入系统；最后，会讲如何在设备上面安装 gdbserver。不过，本文不会去分析那些相对复杂的漏洞，而只专注于那些有助于我们分析设备漏洞的部分，包括后面会提及的一个管理界面远程代码执行漏洞(当然这个漏洞早已提交给了相关厂商)。 分析设备 这章开始，我们将会在一个已经搭建好的摄像头测试环境中介绍分析的步骤，当然这个测试环境与一般的 Web 应用渗透测试环境没什么太大的区别。在最初的阶段，我们需要通过一些外部资源(例如厂商网站或者谷歌)来收集摄像头的信息，然后利用适当的工具(Burp Suite，nmap等等)扫描摄像头可能暴露的服务(特别是管理界面)。随后就是利用阶段，我们需要拿到进入摄像头的权限，最后就是后利用阶段了，此时我们就可以适当的在摄像头上部署调试分析工具。 步骤1：收集信息 在分析设备前最关键的步骤就是尽可能多的收集相关信息，幸运的是，Edimax 官方网上提供了大量摄像头的信息，如数据表，操作手册，固件和构建工具(包括构建镜像的文件)，但是一些涉及敏感信息的二进制文件源码没有公开。 固件可以提供对摄像头最初的认识，通过使用 binwalk 分析固件，可以提取出摄像头的文件系统。 复制代码 $ binwalk -e IC3116W_v2.10.bin DECIMAL         HEX             DESCRIPTION ------------------------------------------------------------------------------------------------------- 605             0x25D           LZMA compressed data, properties: 0x88, dictionary size: 1048576 bytes, uncompressed size: 65535 bytes 10392           0x2898          LZMA compressed data, p...

阿里云·云栖社区携手阿里聚安全打造阿里安全技术公开课，带你一探互联网安全的风采 关于移动APP安全 移动App是大家使用手机每天接触最多的东西，然而在移动APP开发中，由于一些开发工程师对安全的不重视，导致APP中出现漏洞风险，比如App被逆向、重打包，数据在存储或传输过程中泄露，系统漏洞被利用，逻辑漏洞被绕过等等，本课程，阿里安全专家阿刻为你解读移动App安全那些事。 图片:0.png 讲师：阿刻 阿里聚安全无线技术专家 课程简介 本课程主要介绍移动APP漏洞风险的现状，比如APP破解、盗版、重打包，一些APP安全事件、移动端的安全环境，以及风险的分类等。 第1讲：移动APP风险现状 图片:1.jpg 点击查看课程：https://yq.aliyun.com/edu/lesson/play/643 第2讲：常见APP风险及检测 图片:2.jpg 点击查看课程： https://yq.aliyun.com/edu/lesson/play/644 第3讲：阿里在移动APP安全上的解决方案 图片:3.jpg 点击查看课程：https://yq.aliyun.com/edu/lesson/play/645 稳，上次好像还看到DDOS的公开课了 ，挺不错 赞b(￣▽￣)d 技术交流QQ群： 397745473 来自:https://xianzhi.aliyun.com/forum/read/834.html?fpage=8

今天听完猪猪侠的PPT感觉自己也需要回回炉，所以就随手翻了下电脑磁盘! 图片:0_1325744597WM32.gif 这图很一目了然。。 一起回炉 技术交流QQ群： 397745473 来自:https://xianzhi.aliyun.com/forum/read/1425.html?fpage=7

本文中讲述的方法更适用于真实渗透测试环境中，因为电子邮件钓鱼往往是威胁到整个公司，而不是只威胁到红队的测试环境。因为电子邮件钓鱼具有高针对性，并且手动设置攻击载荷对攻击来说也是很麻烦的。所以请阅读这篇文章，我会通过设置一个apache重定向器或者直接设置一个服务器，通过RewrieMap从预定义的攻击payload列表中随机选取payload进行提供。 apache中RewriteMap方法允许外部的程序比如脚本，数据库，文本文件等映射到服务器内部。在官方文档中使用最多的例子：如果一家网店的url结构想从item-1234到iphone-7-white，那么网站管理员无需更改任何硬编码的代码，只需当访问item-1234时，apache来提供iphone-7-white这一url。RewriteMap提供了大量修改这些资源的方法。我们会使用RewriteMap从一个文本文档中提取的payload转换为URI，并且当被访问时，进行302跳转，使目标能够访问到我们随机的payload文件。 下图就是攻击的主要内容： 环境配置 apache环境需要更改一些设置以便服务器环境支持mod_rewrite以及RewriteMap方法。这些设置的详细信息都在我之前的 一篇文章 中写过。长话短说，打开位于/etc/apache2/的apache2.conf文件，通过增加以下代码重写htaccess文件： <Directory /var/www/>         Options Indexes FollowSymLinks         AllowOverride None         Require all granted </Directory> 如果你的重定向器的网站根目录不是默认的/var/www,你需要去更改一下AllowOverride的响应目录。 在配置服务器的文档中，我们需要在底部添加： RewriteMap payloads "rnd:/var/www/payloads.txt" 这一行代码就告诉mod_rewrite方法，当我们使用RewriteMap调用payload变量时，就会从/var/www/payloads.txt提取。apache用户必须具有读取这一文件的权限。并且应该储存在w...

如何利用burp+metasploit快速检测&利用 ImageTragick(CVE-2016–3714) From ChaMd5安全团队核心成员 小meet ImageMagick是用来处理图片的通用组件，涉及PHP,JAVA,Python,Perl和Ruby等流行语言，16年4月被发现存在RCE，攻击者只需上传构造好的图片即可获取服务器权限。（延伸阅读-->ImageMagic执行过程、漏洞分析及修复http://www.freebuf.com/vuls/104048.html） 对这个漏洞的传统检测方式是生成payload通过第三方网站查看DNS解析记录的方式，耗时又不方便，这里介绍一个快速检测利用的方法。 首先需要一个burp插件叫burp-image-size https://github.com/silentsignal/burp-image-size/releases/download/v0.3/burp-image-size-v0.3-java1.6.jar 安装时注意运行环境。 上传图片时抓包选择send toactive scan，即可调用插件对上传点进行扫描。漏洞存在则飚红显示高危漏洞。如图所示成功检测。 接下来利用metasploit getshell useexploits/unix/fileformat/imagemagick_delegate show options 查看一下选项 我这里选择默认的配置，接下来执行 exploit -j 生成了一个msf.png 将图片上传，就可以返回一个会话连接 使用sessions -i 1 与会话进行交互 参考链接： http://www.freebuf.com/vuls/104048.html http://www.mottoin.com/89312.html https://www.rapid7.com/db/modules/exploit/unix/fileformat/imagemagick_delegate 图片:image4.png 技术交流QQ群： 397745473 来自:https://xianzhi.aliyun.com/forum/read/721.html?fpage=8

*本文作者：腾讯电脑管家（企业账号），转载请注明来自FreeBuf.COM 最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析，通过调查发现Linux盖茨木马是一类有着丰富历史，隐藏手法巧妙，网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程，同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。 盖茨木马整体情况 此类Linux木马主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中，大量使用Gates这个单词。从网上公开资料可以看出，盖茨木马主要针对中国地区的服务器进行DDoS攻击，有95%的攻击目标都在中国，排名第二的是美国。接下来会对盖茨病毒的一个分支样本，进行更为细致的静态分析和动态分析。 静态分析 3.1.ELF文件信息 在静态分析中，首先会对文件类型进行判断，在Linux环境下，file工具[1]能够对ELF类型进行初步的判断。例如下表中，通过文件信息，能够得出该样本是32位ELF可执行程序，运行于IntelCPU上，静态链接。更重要的一个信息是，该样本没有除去符号表，这就为后续的逆向分析提供了丰富的调试信息。 MD5 6dfc7ea279b50b1f962523d517cd76fb 入口点 8048120 文件信息 ELF32-bitLSBexecutable,Intel80386,version1(SYSV),staticallylinked,forGNU/Linux2.2.5,notstripped Tips：file命令可以识别文件类型。 3.2.导出符号分析 使用strings工具[2]可以从ELF文件中搜索ASCII字符串，可以发现一些IP信息，加载内核命令，恶意攻击函数名。 Tips：strings命令可以从二进制文件中提取字符串。 IP信息如下： " abaec 61 .132 .163 .68 ", " abafa 202 .102 .192 .68 ", " abb09 202 .102 .213 .68 ", " abb18 202 .102 .200 .101 ", ...