离别歌

The quieter you become,the more you are able to hear.

Programming • Vulnerability • Bypass • Exploit
  • Programming

    一个不会编程的hacker不是好hacker,努力提高编码水平,接触最前沿的代码思想,构架自己的平台框架。

  • Vulnerability

    没有漏洞就没有安全,安全建立在发现漏洞与解决漏洞之间。世上没有完美的代码,也不会有零漏洞的程序。

  • Bypass

    不断地绕过,不断地突破防御机制,考验的是一个安全研究者对于漏洞原理的理解,更是猥琐的思路。

  • Exploit

    发现一个漏洞,你成功了70%;写出利用代码,完成剩下的30%。行百步者半九十。

deep

phpwind 利用哈希长度扩展攻击进行getshell

作者: 分类: 网络安全 时间: 2016-5-24 8:33 评论: 18条评论 浏览: 4427人看过 标签: getshell phpwind 哈希长度扩展攻击

一哥新发的漏洞,还是蛮屌的: http://www.wooyun.org/bugs/wooyun-2016-0210850。分析补丁( http://www.phpwind.net/read/3709549 )加上一些风闻,我得知利用的是哈希长度扩展攻击。之前CTF中经常出境的MD5 Length Extension Attack,终于在实战中露了一次面。

今晚基本没睡觉,一直在调试这个漏洞,虽说不知道一哥后续getshell用的是什么方法,但我这个文章基本把该漏洞的原理讲清楚了。至于getshell的话,等漏洞公开了再看看吧。

0x01 漏洞点分析

phpwind逻辑太冗杂了,一看就是java程序员开发的。

补丁文件修补了src/windid/service/base/WindidUtility.php的appKey函数。之前的appKey函数如下...

阅读全文>>

CVE-2016-3714 - ImageMagick 命令执行分析

作者: 分类: 网络安全 时间: 2016-5-8 1:33 评论: 3条评论 浏览: 1024人看过 标签: 命令执行漏洞 ImageMagick

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/ ,不得不说,有些外国人蛮会玩的。

相对于之前的数个拥有『主页』的漏洞,这个洞确实不一般,确实是一个可以被利用的好洞,乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。

原理分析

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的( https://github.com/ImageMagic...

阅读全文>>

ubuntu 15 下简单安装lamp环境

作者: 分类: 资源分享 时间: 2016-4-20 2:34 评论: 0条评论 浏览: 1501人看过 标签: Ubuntu 三个白帽 apache

我们来用三个白帽( http://www.sangebaimao.com/ )做演示。三个白帽平台是一个基于docker的实验环境平台,我们在三个白帽中可以简单找到适合自己实验的环境,并一键启动,拥有root权限,后续的工作就跟在正常vps上操作是一样的啦~

首先,找到ubuntu 15的镜像,点击启动:

14610869687809.jpg

启动起来了,直接点击最下方的进入结界链接:

01.png

获得一个交互式shell:

阅读全文>>

知乎某处XSS+刷粉超详细漏洞技术分析

作者: 分类: web前端 时间: 2016-4-17 15:13 评论: 3条评论 浏览: 1749人看过 标签: xss CSRF漏洞 知乎

我觉得十分经典的一个漏洞,和大家分享一下~

好久没法前端漏洞分析了,这次来一个。

老问题导致的XSS漏洞

首先看一个XSS漏洞,这个点是老问题了, http://www.wooyun.org/bugs/wooyun-2016-0171240
知乎按照洞主提供的方法进行修复了,但明显是不行的。我们看到 https://link.zhihu.com/?target=http://www.baidu.com 这个链接的源码:

14566414207565.jpg

将输入的信息传入URI参数,解码以后赋值与location.href。明显可以利用JavaScript:伪协议执行js代码。

如下: https://link.zhihu.com/?target=javascript:alert(1)

14566415103785.jpg


如何利用这个漏洞,有如下办法:

  1. 获取用户Cookie
  2. 刷粉、蠕虫等

但经过分析,这两种利用办法都无法直接达到。首先,因为知乎重要cookie加了httponly,所以打不到用户cookie;另外,因为知乎的主站是www.zhihu.com,而xss处于子域l...

阅读全文>>

几期『三个白帽』小竞赛的writeup

作者: 分类: 网络安全 时间: 2016-2-14 16:47 评论: 6条评论 浏览: 2973人看过 标签: ctf 三个白帽

【过年了,每天发一篇以前的存货,一共七篇。】

自从三个白帽问世以后,收到了大家的喜欢,依托『三个白帽』乌云做了几次小竞赛,我也出了几道题。Writeup不全是大家普遍反映的问题,我这里把几道题的解题思路汇总一下。

这几道题的源代码与环境都在三个白帽的集市中,大家获取三个白帽的邀请码以后可以在集市中进行购买与启动。


题一:二次注入+文件名修改导致getshell

本题是出现在XDCTF2015线下决赛中的题目之一,被我移植到三个白帽的环境中了。考察的是代码审计功底,和对于二次注入的利用。

0x01 入口:二次注入漏洞

此题入口点是二次注入。
在common.inc.php中可以看到全局进行了转义,这样常规注入少了大部分。遍观代码,输入处没有任何反转义、反解压、数字型等特殊情况,基本可以确定不存在直接的注入漏洞。
看到上传处的代码upload.php:

$name = basename($file["name"]);
$path_parts = pathinfo($name);
if(!in_array($path_parts["extension"], ["gif", "jpg", "png", "zip"...

阅读全文>>

使用Let's Encrypt保护你的数据包

作者: 分类: 资源分享 时间: 2016-2-13 0:05 评论: 11条评论 浏览: 2282人看过 标签: 免费 ssl证书

【过年了,每天发一篇以前的存货,一共七篇。】

Let's Encrypt是去年底推出的一个免费SSL证书,且申请这个证书基本没有任何限制,只要你证明你是域名的所有者,你就可以为你的域名申请一个SSL证书。

我今天就来为我的 wiki.ioin.in 申请一个时髦的Let's Encrypt证书。

首先,我利用到的是acme-tiny,这是第三方人士开发的一个扩展。因为Let's Encrypt官方给出的方法比较麻烦,而acme-tiny这个小工具可以让用户敲几条命令即可生成好我们需要的证书。

下载acme-tiny: https://github.com/diafygi/acme-tiny

首先,生成一个用户私钥: account.key,acme-tiny通过这个证书来登录Let's Encrypt。再生成一个域名私钥,domain.key

openssl genrsa 4096 > account.key

openssl genrsa 4096 > domain.key

然后利用ACME协议,将domain.key生成domain.csr。如果你只有一个域名需...

阅读全文>>

php框架slim架构上存在XXE漏洞(XXE的典型存在形式)

作者: 分类: 网络安全 时间: 2016-2-12 2:34 评论: 0条评论 浏览: 1771人看过 标签: XXE

【过年了,每天发一篇以前的存货,一共七篇。】

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。

slim是一个设计思路超前的知名的php轻框架,完美结合了psr7来设计,至今用户已超过100w:

QQ20151126-2@2x.png

在阅读其源码的过程中,我发现其存在一个只有在框架式CMS中才会出现的漏洞。

官方网站: http://www.slimframework.com/


漏洞详情

这个漏洞存在于最新版(3.0)中。
首先用conposer安装之

composer require slim/slim "^3.0@RC"

看其文档: http://www.slimframework.com/docs/objects/request.html#the-request-body
获取POST数据,是利用getParsedBody方法,而这个方法对POST的处理,是按照content-type来区分和解析的:

QQ20151127-0@2x.png

很典型的问题,在这篇帖子里也提到过: http://zone.w...

阅读全文>>

wecenter反序列化造成任意SQL语句执行

作者: 分类: 网络安全 时间: 2016-2-10 23:14 评论: 0条评论 浏览: 1974人看过 标签: 反序列化漏洞

【过年了,每天发一篇以前的存货,一共七篇。】


0x01 反序列化造成的安全问题

wecenter是一款社交CMS,界面清新,功能简介,受到很多人的喜爱。wecenter基于Zend开发,安全性虽不说很顽固,但较少存在低级的SQL注入等漏洞,今天说的是一个由反序列化造成的任意SQL语句执行漏洞。

该漏洞无需登录,利用也很简单,但需要一定条件。

首先看到 /app/m/weixin.php:110

public function authorization_action()
{
    $this->model('account')->logout();
    unset(AWS_APP::session()->WXConnect);
    if (get_setting('weixin_account_role') != 'service')
    {
        H::redirect_msg(AWS_APP::lang()->_t('此功能只适用于通过微信认证的服务号'));
    }
    else if ($_GET['code'] OR $_...

阅读全文>>

新型php漏洞挖掘之debug导致的安全漏洞(Edusoho)

作者: 分类: 网络安全 时间: 2016-2-10 1:39 评论: 0条评论 浏览: 1568人看过 标签: 信息泄露

【过年了,每天发一篇以前的存货,一共七篇。】

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。
今天这个漏洞是Edusoho的一个user表dump漏洞。
首先,我简要说明一下漏洞原理。
【漏洞源码下载: https://mega.nz/#!4chVWCAB!xBVyC9QqxMCmeuLu3rGx__PwgkLe_a5NWUITLS3QzuM


Edusoho开启调试模式以后将会在程序出错后输出debug信息,其中包括当前环境中所有变量的值。默认的index.php是不开启debug的,但/api/index.php将会开启debug:

跟进一下框架的异常处理方法。Index.php里注册了异常处理:

ErrorHandler::register();

ExceptionHandler::register();

这里用的是Symfony框架自带的异常处理类:use Symfony\Component\Debug\ExceptionHandler;
跟进:

调...


阅读全文>>

php7 + nginx + mysql 安装小计

作者: 分类: PHP 时间: 2016-2-9 1:10 评论: 1条评论 浏览: 1753人看过 标签: php php7

【过年了,每天发一篇以前的存货,一共七篇。】

思路是,先用源,安装好php5和php5所依赖的所有项目,再安装phpbrew,通过phpbrew管理php版本,并安装7.0.0。
首先安装一些依赖

apt-get install gcc
apt-get install libmcrypt-dev libreadline-dev

安装php5所依赖的所有项目

apt-get build-dep php5-cli

其中还包括mysql,会让你输入mysql的root密码。
安装完成后,查看此时的php版本,发现是php5.6.14(debian8的系统,源也算新)

14501107090770.jpg

安装phpbrew (https://github.com/phpbrew/phpbrew)

curl -L -O https://github.com/phpbrew/phpbrew/raw/master/phpbrew
chmod +x phpbrew
sudo mv phpbrew /usr/local/bin/phpbrew
phpbrew init

好,实际上就是下载了phpbrew的可执行文件并放到PA...

阅读全文>>

Top ↑ sitemap More