安全箱子的秘密

作者: 分类: 网络安全 时间: 2016-6-28 22:17 评论: 4条评论 浏览: 2572人看过 标签: ctf 三个白帽
0x01 rand缺陷导致密钥泄露

目标: http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php

随便写点东西,抓包,发现html源码里有个?x_show_source:

14660517818113.jpg

于是访问 http://0dac0a717c3cf340e.jie.sangebaimao.com:82/index.php?x_show_source ,找到源码。
分析一下,发现这里每个新的session会生成两个随机字符串,SECRET_KEY和CSRF_TOKEN。其中
CSRF_TOKEN是防御CSRF的token,会直接显示在表单中;而SECRET_KEY是类似密钥的东西,在后面需要利用这个密钥给数据签名。
但密钥是不知道的,这就是本题第一个难点,如何得知密钥。我们看到随机字符串生成函数rand_str:

function rand_str($length = 16)
{
    $rand = [];
    $_str = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOP...

阅读全文>>

phpwind 利用哈希长度扩展攻击进行getshell

作者: 分类: 网络安全 时间: 2016-5-24 8:33 评论: 18条评论 浏览: 7679人看过 标签: getshell phpwind 哈希长度扩展攻击

一哥新发的漏洞,还是蛮屌的: http://www.wooyun.org/bugs/wooyun-2016-0210850。分析补丁( http://www.phpwind.net/read/3709549 )加上一些风闻,我得知利用的是哈希长度扩展攻击。之前CTF中经常出境的MD5 Length Extension Attack,终于在实战中露了一次面。

今晚基本没睡觉,一直在调试这个漏洞,虽说不知道一哥后续getshell用的是什么方法,但我这个文章基本把该漏洞的原理讲清楚了。至于getshell的话,等漏洞公开了再看看吧。

0x01 漏洞点分析

phpwind逻辑太冗杂了,一看就是java程序员开发的。

补丁文件修补了src/windid/service/base/WindidUtility.php的appKey函数。之前的appKey函数如下...

阅读全文>>

CVE-2016-3714 - ImageMagick 命令执行分析

作者: 分类: 网络安全 时间: 2016-5-8 1:33 评论: 4条评论 浏览: 2125人看过 标签: 命令执行漏洞 ImageMagick

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/ ,不得不说,有些外国人蛮会玩的。

相对于之前的数个拥有『主页』的漏洞,这个洞确实不一般,确实是一个可以被利用的好洞,乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。

原理分析

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的( https://github.com/ImageMagic...

阅读全文>>

几期『三个白帽』小竞赛的writeup

作者: 分类: 网络安全 时间: 2016-2-14 16:47 评论: 6条评论 浏览: 4304人看过 标签: ctf 三个白帽

【过年了,每天发一篇以前的存货,一共七篇。】

自从三个白帽问世以后,收到了大家的喜欢,依托『三个白帽』乌云做了几次小竞赛,我也出了几道题。Writeup不全是大家普遍反映的问题,我这里把几道题的解题思路汇总一下。

这几道题的源代码与环境都在三个白帽的集市中,大家获取三个白帽的邀请码以后可以在集市中进行购买与启动。


题一:二次注入+文件名修改导致getshell

本题是出现在XDCTF2015线下决赛中的题目之一,被我移植到三个白帽的环境中了。考察的是代码审计功底,和对于二次注入的利用。

0x01 入口:二次注入漏洞

此题入口点是二次注入。
在common.inc.php中可以看到全局进行了转义,这样常规注入少了大部分。遍观代码,输入处没有任何反转义、反解压、数字型等特殊情况,基本可以确定不存在直接的注入漏洞。
看到上传处的代码upload.php:

$name = basename($file["name"]);
$path_parts = pathinfo($name);
if(!in_array($path_parts["extension"], ["gif", "jpg", "png", "zip"...

阅读全文>>

php框架slim架构上存在XXE漏洞(XXE的典型存在形式)

作者: 分类: 网络安全 时间: 2016-2-12 2:34 评论: 0条评论 浏览: 3182人看过 标签: XXE

【过年了,每天发一篇以前的存货,一共七篇。】

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。

slim是一个设计思路超前的知名的php轻框架,完美结合了psr7来设计,至今用户已超过100w:

QQ20151126-2@2x.png

在阅读其源码的过程中,我发现其存在一个只有在框架式CMS中才会出现的漏洞。

官方网站: http://www.slimframework.com/


漏洞详情

这个漏洞存在于最新版(3.0)中。
首先用conposer安装之

composer require slim/slim "^3.0@RC"

看其文档: http://www.slimframework.com/docs/objects/request.html#the-request-body
获取POST数据,是利用getParsedBody方法,而这个方法对POST的处理,是按照content-type来区分和解析的:

QQ20151127-0@2x.png

很典型的问题,在这篇帖子里也提到过: http://zone.w...

阅读全文>>

wecenter反序列化造成任意SQL语句执行

作者: 分类: 网络安全 时间: 2016-2-10 23:14 评论: 0条评论 浏览: 3303人看过 标签: 反序列化漏洞

【过年了,每天发一篇以前的存货,一共七篇。】


0x01 反序列化造成的安全问题

wecenter是一款社交CMS,界面清新,功能简介,受到很多人的喜爱。wecenter基于Zend开发,安全性虽不说很顽固,但较少存在低级的SQL注入等漏洞,今天说的是一个由反序列化造成的任意SQL语句执行漏洞。

该漏洞无需登录,利用也很简单,但需要一定条件。

首先看到 /app/m/weixin.php:110

public function authorization_action()
{
    $this->model('account')->logout();
    unset(AWS_APP::session()->WXConnect);
    if (get_setting('weixin_account_role') != 'service')
    {
        H::redirect_msg(AWS_APP::lang()->_t('此功能只适用于通过微信认证的服务号'));
    }
    else if ($_GET['code'] OR $_...

阅读全文>>

新型php漏洞挖掘之debug导致的安全漏洞(Edusoho)

作者: 分类: 网络安全 时间: 2016-2-10 1:39 评论: 0条评论 浏览: 2655人看过 标签: 信息泄露

【过年了,每天发一篇以前的存货,一共七篇。】

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。
今天这个漏洞是Edusoho的一个user表dump漏洞。
首先,我简要说明一下漏洞原理。
【漏洞源码下载: https://mega.nz/#!4chVWCAB!xBVyC9QqxMCmeuLu3rGx__PwgkLe_a5NWUITLS3QzuM


Edusoho开启调试模式以后将会在程序出错后输出debug信息,其中包括当前环境中所有变量的值。默认的index.php是不开启debug的,但/api/index.php将会开启debug:

跟进一下框架的异常处理方法。Index.php里注册了异常处理:

ErrorHandler::register();

ExceptionHandler::register();

这里用的是Symfony框架自带的异常处理类:use Symfony\Component\Debug\ExceptionHandler;
跟进:

调...


阅读全文>>

SRCMS 多处越权+权限提升管理员漏洞

作者: 分类: 网络安全 时间: 2016-1-25 21:28 评论: 1条评论 浏览: 2948人看过 标签: thinkphp 越权漏洞

现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。
今天这个漏洞是SRCMS里由于Model的不合理使用造成的多处越权漏洞。
首先,我简要说明一下漏洞原理。
【漏洞源码下载: https://mega.nz/#!4UxCTaxJ!DpVvhBPK7YE9D_jdFQ0CjQ1ylJ4sQws-CT3LIJ5AA8Y


今天在 http://zone.wooyun.org/content/25144 里看到SRCMS更新了,其实之前一段时间就star了这套源码,但一直没看。因为我要写这个系列(现代框架系列),所以这次我下载源码进行了阅读。
在挖漏洞之前,先表示我对代码作者的感谢,感谢作者贡献了一套优秀的代码。漏洞是所有程序在所难免的,所以不必有什么心理压力。
SRCMS是一个开源的企业安全应急响应中心,基于ThinkPHP框架开发。我将ThinkPHP归为半现代框架,因为它在近些年的发展中已经越来越多地引入现代化的一些元素(命名空间、ORM等)。当然也由于这些元素的引入,...

阅读全文>>

Joomla远程代码执行漏洞分析(总结)

作者: 分类: 网络安全 时间: 2015-12-27 22:29 评论: 8条评论 浏览: 3229人看过 标签: 命令执行漏洞 joomla 反序列化漏洞

joomla漏洞出来这么久了,我也于当天在drops发表了这篇文章( http://drops.wooyun.org/papers/11330 )。今天再看,还是有点急促,有些原理上的东西没说清楚。

我在自己博客里,把这篇文章增加一些原理上的说明,发出来留个底稿。

漏洞点 —— 反序列化session

这个漏洞存在于反序列化session的过程中。
漏洞存在于 libraries/joomla/session/session.php 中,_validate函数,将ua和xff调用set方法设置到了session中(session.client.browser和session.client.forwarded)

protected function _validate($restart = false)
    {
        ...

        // Record proxy forwarded for in the session in case we need it later
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        {
            $this...


阅读全文>>

『三个白帽』某题的writeup

作者: 分类: 网络安全 时间: 2015-11-13 0:41 评论: 12条评论 浏览: 4784人看过 标签: ctf 三个白帽

    先介绍一下三个白帽,三个白帽是一个关于信息安全学习、交流和实践平台,我们以简单、直观、好玩的方式来把信息安全的内容表现出来。我们可以很方便地在三个白帽里创建、启动、关闭linux环境。比如这次CTF,我就是在三个白帽里创建的环境。

    三个白帽地址:http://www.sangebaimao.com/

    下面是这一题的一些writeup。

    0x01 找到源码 

    目标 http://24caf446e2bb0e659.jie.sangebaimao.com/

    首先扫描发现其包含.git目录,但访问/.git/index发现没有这个文件,可能是被破坏了。 

    用lijiejie的工具无法还原,但用某些工具还是可以办到的,详见我之前的文章:https://www.leavesongs.com/PENETRATION/XDCTF-2015-WEB2-WRITEUP.h...

阅读全文>>

Top ↑ sitemap More