离别歌

The quieter you become,the more you are able to hear.

Programming • Vulnerability • Bypass • Exploit
  • Programming

    一个不会编程的hacker不是好hacker,努力提高编码水平,接触最前沿的代码思想,构架自己的平台框架。

  • Vulnerability

    没有漏洞就没有安全,安全建立在发现漏洞与解决漏洞之间。世上没有完美的代码,也不会有零漏洞的程序。

  • Bypass

    不断地绕过,不断地突破防御机制,考验的是一个安全研究者对于漏洞原理的理解,更是猥琐的思路。

  • Exploit

    发现一个漏洞,你成功了70%;写出利用代码,完成剩下的30%。行百步者半九十。

deep

谈一谈php://filter的妙用

作者: 分类: 网络安全 时间: 2016-7-25 0:28 评论: 0条评论 浏览: 27人看过 标签: php filter

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内...

阅读全文>>

掌阅iReader某站Python漏洞挖掘

作者: 分类: 网络安全 时间: 2016-7-14 15:04 评论: 4条评论 浏览: 1111人看过 标签: redis python安全

Python作为新一代的web开发语言,不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务,我们结合这些服务的一系列安全问题,将可以做很多有趣的事情。

目标端口开放了 6379、8080~8086、8889、8079

首先,8080~8086、8889都是web服务,而且是一个站,6379是redis、8079是一个web服务但有http基础认证。

逐一击破。

  • 8080~8086、8889:存在弱口令admin - admin1234
  • 6379:存在redis未授权访问
  • 8079:存在弱口令user - 123,登录查看发现是Supervisord管理页面

从易到难,先看redis,也许可以直接通过redis拿下root。

redis已经被人扫过,写过公钥:

14655868157516.jpg

写入/root/.ssh/和/root/目录提示如下:

(error) ERR Changing directory: Permission denied 

可能是redis被降权了。再试一下写crontab。

14655680201594.jpg

可能真是被...

阅读全文>>

安全箱子的秘密

作者: 分类: 网络安全 时间: 2016-6-28 22:17 评论: 4条评论 浏览: 1121人看过 标签: ctf 三个白帽
0x01 rand缺陷导致密钥泄露

目标: http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php

随便写点东西,抓包,发现html源码里有个?x_show_source:

14660517818113.jpg

于是访问 http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php?x_show_source ,找到源码。
分析一下,发现这里每个新的session会生成两个随机字符串,SECRET_KEY和CSRF_TOKEN。其中
CSRF_TOKEN是防御CSRF的token,会直接显示在表单中;而SECRET_KEY是类似密钥的东西,在后面需要利用这个密钥给数据签名。
但密钥是不知道的,这就是本题第一个难点,如何得知密钥。我们看到随机字符串生成函数rand_str:

function rand_str($length = 16)
{
    $rand = [];
    $_str = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOP...

阅读全文>>

phpwind 利用哈希长度扩展攻击进行getshell

作者: 分类: 网络安全 时间: 2016-5-24 8:33 评论: 18条评论 浏览: 5125人看过 标签: getshell phpwind 哈希长度扩展攻击

一哥新发的漏洞,还是蛮屌的: http://www.wooyun.org/bugs/wooyun-2016-0210850。分析补丁( http://www.phpwind.net/read/3709549 )加上一些风闻,我得知利用的是哈希长度扩展攻击。之前CTF中经常出境的MD5 Length Extension Attack,终于在实战中露了一次面。

今晚基本没睡觉,一直在调试这个漏洞,虽说不知道一哥后续getshell用的是什么方法,但我这个文章基本把该漏洞的原理讲清楚了。至于getshell的话,等漏洞公开了再看看吧。

0x01 漏洞点分析

phpwind逻辑太冗杂了,一看就是java程序员开发的。

补丁文件修补了src/windid/service/base/WindidUtility.php的appKey函数。之前的appKey函数如下...

阅读全文>>

CVE-2016-3714 - ImageMagick 命令执行分析

作者: 分类: 网络安全 时间: 2016-5-8 1:33 评论: 3条评论 浏览: 1241人看过 标签: 命令执行漏洞 ImageMagick

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/ ,不得不说,有些外国人蛮会玩的。

相对于之前的数个拥有『主页』的漏洞,这个洞确实不一般,确实是一个可以被利用的好洞,乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。

原理分析

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的( https://github.com/ImageMagic...

阅读全文>>

ubuntu 15 下简单安装lamp环境

作者: 分类: 资源分享 时间: 2016-4-20 2:34 评论: 1条评论 浏览: 1652人看过 标签: Ubuntu 三个白帽 apache

我们来用三个白帽( http://www.sangebaimao.com/ )做演示。三个白帽平台是一个基于docker的实验环境平台,我们在三个白帽中可以简单找到适合自己实验的环境,并一键启动,拥有root权限,后续的工作就跟在正常vps上操作是一样的啦~

首先,找到ubuntu 15的镜像,点击启动:

14610869687809.jpg

启动起来了,直接点击最下方的进入结界链接:

01.png

获得一个交互式shell:

阅读全文>>

知乎某处XSS+刷粉超详细漏洞技术分析

作者: 分类: web前端 时间: 2016-4-17 15:13 评论: 3条评论 浏览: 2042人看过 标签: xss CSRF漏洞 知乎

我觉得十分经典的一个漏洞,和大家分享一下~

好久没法前端漏洞分析了,这次来一个。

老问题导致的XSS漏洞

首先看一个XSS漏洞,这个点是老问题了, http://www.wooyun.org/bugs/wooyun-2016-0171240
知乎按照洞主提供的方法进行修复了,但明显是不行的。我们看到 https://link.zhihu.com/?target=http://www.baidu.com 这个链接的源码:

14566414207565.jpg

将输入的信息传入URI参数,解码以后赋值与location.href。明显可以利用JavaScript:伪协议执行js代码。

如下: https://link.zhihu.com/?target=javascript:alert(1)

14566415103785.jpg


如何利用这个漏洞,有如下办法:

  1. 获取用户Cookie
  2. 刷粉、蠕虫等

但经过分析,这两种利用办法都无法直接达到。首先,因为知乎重要cookie加了httponly,所以打不到用户cookie;另外,因为知乎的主站是www.zhihu.com,而xss处于子域l...

阅读全文>>

几期『三个白帽』小竞赛的writeup

作者: 分类: 网络安全 时间: 2016-2-14 16:47 评论: 6条评论 浏览: 3180人看过 标签: ctf 三个白帽

【过年了,每天发一篇以前的存货,一共七篇。】

自从三个白帽问世以后,收到了大家的喜欢,依托『三个白帽』乌云做了几次小竞赛,我也出了几道题。Writeup不全是大家普遍反映的问题,我这里把几道题的解题思路汇总一下。

这几道题的源代码与环境都在三个白帽的集市中,大家获取三个白帽的邀请码以后可以在集市中进行购买与启动。


题一:二次注入+文件名修改导致getshell

本题是出现在XDCTF2015线下决赛中的题目之一,被我移植到三个白帽的环境中了。考察的是代码审计功底,和对于二次注入的利用。

0x01 入口:二次注入漏洞

此题入口点是二次注入。
在common.inc.php中可以看到全局进行了转义,这样常规注入少了大部分。遍观代码,输入处没有任何反转义、反解压、数字型等特殊情况,基本可以确定不存在直接的注入漏洞。
看到上传处的代码upload.php:

$name = basename($file["name"]);
$path_parts = pathinfo($name);
if(!in_array($path_parts["extension"], ["gif", "jpg", "png", "zip"...

阅读全文>>

使用Let's Encrypt保护你的数据包

作者: 分类: 资源分享 时间: 2016-2-13 0:05 评论: 11条评论 浏览: 2644人看过 标签: 免费 ssl证书

【过年了,每天发一篇以前的存货,一共七篇。】

Let's Encrypt是去年底推出的一个免费SSL证书,且申请这个证书基本没有任何限制,只要你证明你是域名的所有者,你就可以为你的域名申请一个SSL证书。

我今天就来为我的 wiki.ioin.in 申请一个时髦的Let's Encrypt证书。

首先,我利用到的是acme-tiny,这是第三方人士开发的一个扩展。因为Let's Encrypt官方给出的方法比较麻烦,而acme-tiny这个小工具可以让用户敲几条命令即可生成好我们需要的证书。

下载acme-tiny: https://github.com/diafygi/acme-tiny

首先,生成一个用户私钥: account.key,acme-tiny通过这个证书来登录Let's Encrypt。再生成一个域名私钥,domain.key

openssl genrsa 4096 > account.key

openssl genrsa 4096 > domain.key

然后利用ACME协议,将domain.key生成domain.csr。如果你只有一个域名需...

阅读全文>>

php框架slim架构上存在XXE漏洞(XXE的典型存在形式)

作者: 分类: 网络安全 时间: 2016-2-12 2:34 评论: 0条评论 浏览: 2025人看过 标签: XXE

【过年了,每天发一篇以前的存货,一共七篇。】

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。

slim是一个设计思路超前的知名的php轻框架,完美结合了psr7来设计,至今用户已超过100w:

QQ20151126-2@2x.png

在阅读其源码的过程中,我发现其存在一个只有在框架式CMS中才会出现的漏洞。

官方网站: http://www.slimframework.com/


漏洞详情

这个漏洞存在于最新版(3.0)中。
首先用conposer安装之

composer require slim/slim "^3.0@RC"

看其文档: http://www.slimframework.com/docs/objects/request.html#the-request-body
获取POST数据,是利用getParsedBody方法,而这个方法对POST的处理,是按照content-type来区分和解析的:

QQ20151127-0@2x.png

很典型的问题,在这篇帖子里也提到过: http://zone.w...

阅读全文>>

Top ↑ sitemap More