漏洞挖掘

前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨，从最低3000美元上涨至7月份的14000美元，涨幅达300%，巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控，发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底)，以累积感染量定义木马活跃度，下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势，以期能够给企业安全防护带来启示。         家族名         简介         平台         攻击方式 ddgs 一个Go语言实现的挖矿僵尸网络，最早曝光于2017年10月。 Linux SSH、Redis爆破 MinerGuard 一个Go语言实现的挖矿僵尸网络，2019年4月开始爆发 Windows、Linux双平台 SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等) kerberods 2019年4月开始爆发的挖矿僵尸网络 Linux SSH爆破、Redis爆破、Confluence RCE等Web服务漏洞 kworkerds rootkit挖矿蠕虫，最早曝光于2018年9月 Linux、Windows双平台 ssh

　　　　这是我第一次尝试翻译一篇漏洞挖掘文章，翻译它也是为了加深理解它。这是一篇很有意思的漏洞挖掘文章。 　　前几天在看fd的博客，偶然看到了这篇文章，虽然有点老了。但是思路真的牛皮。我决定花费时间和精力研究它们。我决定运用我对这个漏洞的理解来讲述他们。 　　存在漏洞网站地址: http://www.google.com/tools/toolbar/buttons/apis/howto_guide.html 　　查看源代码 <html> <head> <title>Google Toolbar API - Guide to Making Custom Buttons</title> <link href="../../styles.css" rel="stylesheet" type="text/css" /> ...... 首先我们不管有没有rpo漏洞吧，先看最基础的，代码是不符合规范的 当我在sublime中输入<htm然后自动补全 代码的开头会有<!DOCTYPE html> 了解这个很重要，我们继续往下说。 　　　　rpo呢，简单点来说就是相对路径覆盖 ，源码中引用了相对路径css文件。 　　　　那么我们要做的就是覆盖这个css文件，导致css攻击钓鱼 or css-xss攻击? 　　　　现在我们知道，这算符合rpo攻击的一些条件的 1.没doctype 2.包含相对路径

0x01 Brief Description 　　java处理JSON数据有三个比较流行的类库，gson(google维护)、jackson、以及今天的主角fastjson，fastjson是阿里巴巴一个开源的json相关的java library，地址在这里，https://github.com/alibaba/fastjson，Fastjson可以将java的对象转换成json的形式，也可以用来将json转换成java对象，效率较高，被广泛的用在web服务以及android上，它的JSONString（）方法可以将java的对象转换成json格式，同样通过parseObject方法可以将json数据转换成java的对象。大概在4月18号的时候，fastjson进行了一次安全更新，通告在这里https://github.com/alibaba/fastjson/wiki/security_update_20170315，当时对这也不熟悉，断断续续看了几天也没什么收获(主要是因为太菜了TAT)。最近有人出了poc以及分析的文章就跟进了一下，漏洞还是挺有意思。 0x02 fastjson简单使用介绍 　　工欲善其事，必先利其器，要想研究这个漏洞，就要先要了解这个fastjson是干什么的。自己研究了一下这个类库。User.java code如下： package

在黑客圈子中，基于内存攻击技术的攻击手段在随着时代的变化而不断发展着，内存攻击是指通过利用软件的安全漏洞，构造恶意的输入，从而使正常程序造成拒绝服务或者是远程获得控制权，内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞，时至今日能够被广泛利用的 60% 以上的高危漏洞（CVE）都属于缓冲区溢出，而在各大CTF比赛中缓冲区溢出漏洞的重视程度始终居高不下，接下来我将总结缓冲区溢出的相关知识点并带领小白学会挖掘简单的漏洞。 缓冲区溢出： 缓冲区溢出（Buffer Overflow）,分为栈溢出与堆溢出，此类漏洞的原理是，程序由于缺乏对缓冲区的边界进行合理化的检测而引起的一种异常行为，通常是程序存在过滤不严格的输入点，通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界，从而覆盖了相邻的内存区域，造成程序中的变量覆盖，甚至控制EIP指针，从而造成程序的非预期行为， 来源： https://www.cnblogs.com/LyShark/p/11427685.html

　　好久没更新博客了，更新一波。　　 　　场景:　　　　 　　window.location.href=”” 　　location=”” 　　location.href=”” 　　window.location.* 　　 常见地点:任何二次跳转处 可能存在问题的参数:*_url ,url_*,url 危害:跳转和xss 　　　　 首选xss 最简单的: 伪协议 ,以location为例子 location=”javascript:alert(1) ” location=”javascript:alert(1) ” 利用伪协议2: location=”data:html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg” base64编码可以不要== 漏洞挖掘发现每次都过滤javascript:(这里不探讨过滤了alert怎么绕过。) 一系列绕过思路: \x JS十六进制 javascript: -> \x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a location="\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3aalert(1)" \u Unicode编码 javascript:-> \u006A\u0061\u0076\u0061\u0073\u0063

点击上方“ 程序人生 ”，选择“置顶公众号” 第一时间关注程序猿（媛）身边的故事 01 入门介绍 说到黑客，大家可能觉得很神秘，其实狭义上的黑客就是去寻找网站、系统、软件等漏洞，刚入门的黑客大部分从事渗透工作，而渗透大部分属于web安全方向，就是 利用漏洞来取得一些数据或达到控制，让对方程序崩溃等效果。 02 一些常用的名词解释 挖洞 的话，就相当于在程序中查找漏洞，举一个不大恰当但容易理解的比喻，就像韩非子说所的那个自相矛盾的故事：楚国有个人自称自己的矛是世界上最锋利的矛，没有什么盾牌它刺不破，同时又说自己的盾是世界上最坚固的盾，没有什么矛能刺破它， 虽然两句话在语法上并没有什么不妥，但却有个致命的逻辑漏洞 ，因为用他的矛刺他的盾，将导致“不可预知”的结果，当然了， 在程序中这种“不可预知”的结果往往会导致各种问题，崩溃或执行非预期功能都有可能，这个就是漏洞了。 再来说说 后门 ，这个很好比喻，就像是警匪片中的卧底或者是笑傲江湖中的岳不群，表面上做一套，背地里做另一套。在软件中就是这个软件提供给你了你需要的功能，但在背后它可能偷偷摸摸地干了一些你不想他干的事，例如窃取你电脑上的文件。 0day 和挖洞是相关的，漏洞发布后，厂商一般不能说马上把漏洞填补了，那么这段时间这个漏洞是可利用的，久而久之，我们把那些刚发布的漏洞（或者说根本没发布自己偷偷用的漏洞）叫做0day，当然了

扫描器开发学习 一、目标 扫描器开发之前要确定自己的目标，我的目标更偏向于指纹识别、RCE类漏洞扫描。因为渗透测试的过程资产收集得越多，那么渗透成功的可能性也就越高，远程执行类漏洞简单粗暴。 学习过程中总是受到各种不可抗拒外力的中断，无法专注精力长时间学习一样事物，内心过于焦躁，全世界的安全技巧不可能全都学完，基础学科才是值得牢记的知识点。把基础知识与套路联动在一起才能突破瓶颈。为了把学习内容不间断的留存在脑子里，之选择了做笔记的方式记录下来。是因为反正也没有什么人看博客，童鞋们焦虑得很。 【通过展示高收益操作来获取人群的认同,这是无数金融家的梦想。】 二、学习技能树 拥有快速学习能⼒的白帽⼦， 是不能有短板的。有的只是⼤量的标准板和⼏块⻓板。又复习一遍猪猪侠的《我的白帽学习路线》把里面提到的知识点筛选出来，时时提醒自己应该学习什么。 基础知识 硬件&OS： ​ 网易云课堂 study.163.com/curricula/cs.htm 1、 高等数学 2、 计算机组成原理 - 总线/存储器 - 运算器 - Cpu处理器 - 输入输出外设 离散数学基础 概率论与数理统计 3、 操作系统 - 启动/调用 - 进程/线程 - 内存管理 - 文件系统 计算机网络 线性代数 4、 计算机系统结构 - CPU结构 - 指令集 - 寻址方式 近世代数 网络： TCP/IP详解-卷1 应用：

数字转型是基于一种可驱动新的操作模型的 API，提供对业务逻辑、应用程序和数据的直接访问。虽然这种访问对于员工，合作伙伴和客户来说非常方便，但它也使 API成为黑客和恶意网络的攻击目标。随着越来越多的攻击和漏洞，扩展安全性现在变得越来越重要。 现有的解决方案（例如访问控制，速率限制等）提供基本保护，但不足以完全阻止恶意攻击。今天的安全团队需要识别并响应动态变化的攻击，这些攻击利用了各个 API的自我漏洞而提高了攻击的成功率。想想在未来，人工智能可以检测 API以及其他泄露数据的异常行为，自动阻止对整个 API基础架构的攻击，并设计完善解决方案是多么值得期待的事。此方法为 IT基础架构提供了深入的可见性，并使安全团队能够在识别出恶意行为时立即采取行动。 API违规 2019年，澳大利亚最大的房地产估价公司LandMark White发生API漏洞，导致房产估价细节和客户信息泄露。在这种情况下，本来只供内部使用的API却可以从公司域外访问。 这些漏洞导致了不同程度的公司违规行为，包括账户被接管，私人信息和照片被盗以及信用卡号码的提取。在此次违规行为之后，该公司的良好声誉遭到破坏，他们的客户和银行合作伙伴急忙寻找其他替代品。 从泄露到发现漏洞整个过程持续了数周或数月才被检测到，同时其他类似的违规行为已经花了将近一年时间才能完全解决。除LandMark White外

两大审计的基本方法 1. 跟踪用户的输入数据，判断数据进入的每一个代码逻辑是否有可利用的点，此处的代码逻辑可以是一个函数，或者是条小小的条件判断语句。 2. 根据不同编程语言的特性，及其历史上经常产生漏洞的一些函数，功能，把这些点找出来，在分析函数调用时的参数，如果参数是用户可控，就很有可能引发安全漏洞 1、寻找漏洞前准备理解 理解现在的 cms 大致可分为两种，单入口模式和多入口模式 . 　　多入口模式 cms ： 每一个功能都 需要访问不同的文件。 　　单入口模式的 cms ： MVC的开发出来的 So ，挖掘漏洞方式 　　1、 搜索一些获取用户输入数据的函数，来找到用户输入数据的源头，之后我们从这里为起点，跟踪数据的流向，分析在这整个过程中数据的处理情况，进而定位可能触发漏洞的点。 　　2、 搜索一些经常产生安全问题的函数，比如执行数 据库查询的函数，执行系统命令的函数，文件操作类函数等等，在通过回溯这些函数在被调用时参数，判断参数是否我们可控，进而定位漏洞点。 常用的正则 PHP \$_SERVER|\$_COOKIE|\$_REQUEST|\$_GET|\$_POST 获取用户输入 eval\(|assert\(|system\( 命令执行 require\(|require_once\(|include\(|include_once\( 文件包含 file_get

前言 最近在看php代码审计，学习下代码审计，看了不少师傅的博客，写的很好，下面不少是借鉴师傅们的，好记性不如烂笔头，记下，以后可以方便查看。 php代码审计需要比较强的代码能力和足够的耐心。这篇文章是写给我这样的 刚刚开始审计的菜鸟，下面如果写的哪里有错误的话，还望提出,不吝赐教。 在这里也立个flag：一周至少审计一种CMS（大小不分），希望自己能够坚持下去，任重而道远。 代码审计--准备 1，先放一张大图，php代码审计的几个方向，也是容易出问题的地方，没事的时候可以多看看。 2，代码审计也就是拿到某网站的源码，进行审计，从而发现漏洞，但是我们审计的时候并不一定要一行一行的去看吧，这样未免也太浪费时间了，所以我们需要工具进行帮助我们。当属 "Seay源代码审计系统2.1" 优先选择（ 静态分析，关键字查找定位代码不错，但是误报很高 ）。 我们在做代码审计的时候，个人建议先要把审计的某CMS随便点点，先熟悉一下功能。代码审计前先进行黑盒测试是个不错的选择，知道哪里有问题，然后再去找出问题的代码。 要关注变量和函数， 1.可以控制的变量【一切输入都是有害的 】 2.变量到达有利用价值的函数[危险函数] 【一切进入函数的变量是有害的】 ------来源t00ls 代码审计--漏洞 一，漏洞类型 1.sql注入 2.文件操作[上传/写入/读取/删除] 3.文件包含 4.命令执行 5