离别歌

The quieter you become,the more you are able to hear.

Programming • Vulnerability • Bypass • Exploit
  • Programming

    一个不会编程的hacker不是好hacker,努力提高编码水平,接触最前沿的代码思想,构架自己的平台框架。

  • Vulnerability

    没有漏洞就没有安全,安全建立在发现漏洞与解决漏洞之间。世上没有完美的代码,也不会有零漏洞的程序。

  • Bypass

    不断地绕过,不断地突破防御机制,考验的是一个安全研究者对于漏洞原理的理解,更是猥琐的思路。

  • Exploit

    发现一个漏洞,你成功了70%;写出利用代码,完成剩下的30%。行百步者半九十。

deep

神奇的opener对象

作者: 分类: web前端 时间: 2016-8-30 0:32 评论: 2条评论 浏览: 588人看过 标签: opener

    看到微博上coding发了一个文章,https://coding.net/u/tvvocold/pp/125176 ,这个玩法比较老了,但可能还是有不少人不知道。大概一年前,在某个曾经很火的白帽子社区,有个白帽子的签名是他的博客,点击浏览完毕以后返回该社区,就会发现:咦,我已经退出登录了?于是重新输入账号、密码登录,成功被钓鱼。该白帽子通过这个方法,应该成功钓到了好几个其他白帽子的密码。(缅怀一下,很多该社区分享的东西,外面不科(chao)普(zuo)根本不知道,说起来很可笑)

    效果类似这个:http://naotu.baidu.com/file/b8a9e8886e91624dfe6bb6f3e2130bda?token=143a14685143a021 ,你在该站中点击我的博客:

    sp160830_012931.png

    成功打开了drops.leavesongs.com。此时留心的话,已经可以看到原标签发生了变化:

    sp160830_013040.png

    转回去看看,变...

阅读全文>>

答案与没有答案的旅行

作者: 分类: 心得与体会 时间: 2016-8-21 1:23 评论: 11条评论 浏览: 595人看过 标签: 答案

当我站在山顶上俯瞰半个鼓浪屿和整个厦门的夜空的时候,我知道此次出行的目的已经完成了,我要开始收拾行李,明天早上离开这里。

前几天有人问我,大学四年结束了,你也不说点什么?乌云发生了一些事情,所有人都缄默不言,你也是一样吗?你逃到南方,难道不回家了吗?当然要回家,我只是想找到我要找的答案。其实这次出来一趟很累,晚上几乎是热汗淋漓回到住处,厦门的海风伴着妮妲路过后带来的淅淅沥沥的小雨,也去不走我身上任何一个毛孔里的热气。好在旅社的生活用品一应俱全,洗完澡后我爬到屋顶。

旅社是一个老别墅,说起来也不算老,比起隔壁一家旧中国时期的房子要豪华得多,竖立在笔山顶上与厦门岛隔海相望。站在屋顶向下看,灯火阑珊的鼓浪屿街市参杂在绿树与楼宇间,依稀还可以看到熙熙攘攘的游客。大概是夜晚渐深的缘故,周围慢慢变得宁静下来,我忘记白天在奔波什么,直到站在这里的时候,我才知道我寻找的答案并不在南方。

当然也不在北方,北京的很多东西让我非常丧气,包括自掘坟墓的中介和颐指气使的大人们;北京也有很多东西让我喜欢,我喜欢颐和园古色古香的玉澜堂,我喜欢朝阳门那块“永延帝祚”的牌坊,喜欢北京鳞次栉比的老宅子和南锣鼓巷的小吃。但这些都...

阅读全文>>

谈一谈php://filter的妙用

作者: 分类: 网络安全 时间: 2016-7-25 0:28 评论: 12条评论 浏览: 2232人看过 标签: php filter

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内...

阅读全文>>

掌阅iReader某站Python漏洞挖掘

作者: 分类: 网络安全 时间: 2016-7-14 15:04 评论: 5条评论 浏览: 2064人看过 标签: redis python安全

Python作为新一代的web开发语言,不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务,我们结合这些服务的一系列安全问题,将可以做很多有趣的事情。

目标端口开放了 6379、8080~8086、8889、8079

首先,8080~8086、8889都是web服务,而且是一个站,6379是redis、8079是一个web服务但有http基础认证。

逐一击破。

  • 8080~8086、8889:存在弱口令admin - admin1234
  • 6379:存在redis未授权访问
  • 8079:存在弱口令user - 123,登录查看发现是Supervisord管理页面

从易到难,先看redis,也许可以直接通过redis拿下root。

redis已经被人扫过,写过公钥:

14655868157516.jpg

写入/root/.ssh/和/root/目录提示如下:

(error) ERR Changing directory: Permission denied 

可能是redis被降权了。再试一下写crontab。

14655680201594.jpg

可能真是被...

阅读全文>>

安全箱子的秘密

作者: 分类: 网络安全 时间: 2016-6-28 22:17 评论: 4条评论 浏览: 1470人看过 标签: ctf 三个白帽
0x01 rand缺陷导致密钥泄露

目标: http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php

随便写点东西,抓包,发现html源码里有个?x_show_source:

14660517818113.jpg

于是访问 http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php?x_show_source ,找到源码。
分析一下,发现这里每个新的session会生成两个随机字符串,SECRET_KEY和CSRF_TOKEN。其中
CSRF_TOKEN是防御CSRF的token,会直接显示在表单中;而SECRET_KEY是类似密钥的东西,在后面需要利用这个密钥给数据签名。
但密钥是不知道的,这就是本题第一个难点,如何得知密钥。我们看到随机字符串生成函数rand_str:

function rand_str($length = 16)
{
    $rand = [];
    $_str = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOP...

阅读全文>>

phpwind 利用哈希长度扩展攻击进行getshell

作者: 分类: 网络安全 时间: 2016-5-24 8:33 评论: 18条评论 浏览: 5950人看过 标签: getshell phpwind 哈希长度扩展攻击

一哥新发的漏洞,还是蛮屌的: http://www.wooyun.org/bugs/wooyun-2016-0210850。分析补丁( http://www.phpwind.net/read/3709549 )加上一些风闻,我得知利用的是哈希长度扩展攻击。之前CTF中经常出境的MD5 Length Extension Attack,终于在实战中露了一次面。

今晚基本没睡觉,一直在调试这个漏洞,虽说不知道一哥后续getshell用的是什么方法,但我这个文章基本把该漏洞的原理讲清楚了。至于getshell的话,等漏洞公开了再看看吧。

0x01 漏洞点分析

phpwind逻辑太冗杂了,一看就是java程序员开发的。

补丁文件修补了src/windid/service/base/WindidUtility.php的appKey函数。之前的appKey函数如下...

阅读全文>>

CVE-2016-3714 - ImageMagick 命令执行分析

作者: 分类: 网络安全 时间: 2016-5-8 1:33 评论: 3条评论 浏览: 1529人看过 标签: 命令执行漏洞 ImageMagick

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/ ,不得不说,有些外国人蛮会玩的。

相对于之前的数个拥有『主页』的漏洞,这个洞确实不一般,确实是一个可以被利用的好洞,乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。

原理分析

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的( https://github.com/ImageMagic...

阅读全文>>

ubuntu 15 下简单安装lamp环境

作者: 分类: 资源分享 时间: 2016-4-20 2:34 评论: 2条评论 浏览: 1903人看过 标签: Ubuntu 三个白帽 apache

我们来用三个白帽( http://www.sangebaimao.com/ )做演示。三个白帽平台是一个基于docker的实验环境平台,我们在三个白帽中可以简单找到适合自己实验的环境,并一键启动,拥有root权限,后续的工作就跟在正常vps上操作是一样的啦~

首先,找到ubuntu 15的镜像,点击启动:

14610869687809.jpg

启动起来了,直接点击最下方的进入结界链接:

01.png

获得一个交互式shell:

阅读全文>>

知乎某处XSS+刷粉超详细漏洞技术分析

作者: 分类: web前端 时间: 2016-4-17 15:13 评论: 3条评论 浏览: 2446人看过 标签: xss CSRF漏洞 知乎

我觉得十分经典的一个漏洞,和大家分享一下~

好久没法前端漏洞分析了,这次来一个。

老问题导致的XSS漏洞

首先看一个XSS漏洞,这个点是老问题了, http://www.wooyun.org/bugs/wooyun-2016-0171240
知乎按照洞主提供的方法进行修复了,但明显是不行的。我们看到 https://link.zhihu.com/?target=http://www.baidu.com 这个链接的源码:

14566414207565.jpg

将输入的信息传入URI参数,解码以后赋值与location.href。明显可以利用JavaScript:伪协议执行js代码。

如下: https://link.zhihu.com/?target=javascript:alert(1)

14566415103785.jpg


如何利用这个漏洞,有如下办法:

  1. 获取用户Cookie
  2. 刷粉、蠕虫等

但经过分析,这两种利用办法都无法直接达到。首先,因为知乎重要cookie加了httponly,所以打不到用户cookie;另外,因为知乎的主站是www.zhihu.com,而xss处于子域l...

阅读全文>>

几期『三个白帽』小竞赛的writeup

作者: 分类: 网络安全 时间: 2016-2-14 16:47 评论: 6条评论 浏览: 3503人看过 标签: ctf 三个白帽

【过年了,每天发一篇以前的存货,一共七篇。】

自从三个白帽问世以后,收到了大家的喜欢,依托『三个白帽』乌云做了几次小竞赛,我也出了几道题。Writeup不全是大家普遍反映的问题,我这里把几道题的解题思路汇总一下。

这几道题的源代码与环境都在三个白帽的集市中,大家获取三个白帽的邀请码以后可以在集市中进行购买与启动。


题一:二次注入+文件名修改导致getshell

本题是出现在XDCTF2015线下决赛中的题目之一,被我移植到三个白帽的环境中了。考察的是代码审计功底,和对于二次注入的利用。

0x01 入口:二次注入漏洞

此题入口点是二次注入。
在common.inc.php中可以看到全局进行了转义,这样常规注入少了大部分。遍观代码,输入处没有任何反转义、反解压、数字型等特殊情况,基本可以确定不存在直接的注入漏洞。
看到上传处的代码upload.php:

$name = basename($file["name"]);
$path_parts = pathinfo($name);
if(!in_array($path_parts["extension"], ["gif", "jpg", "png", "zip"...

阅读全文>>

Top ↑ sitemap More