分类 "技术文章" 下的文章

2019 年 1 月 11 日,360CERT 发现某安全社区出现关于 ThinkPHP5 RCE 漏洞的威胁情报,不久之后 ThinkPHP5 官方与 GitHub 发布更新。该更新修复了一处严重漏洞,该漏洞可导致远程命令代码执行。

0×00 事件背景
2019 年 1 月 11 日,360CERT 发现某安全社区出现关于 ThinkPHP5 RCE 漏洞的威胁情报,不久之后 ThinkPHP5 官方与 GitHub 发布更新。该更新修复了一处严重漏洞,该漏洞可导致远程命令代码执行。

0×01 影响范围
ThinkPHP 5.0.x:5.0.x ~ 5.0.23
0×02 修复建议
官方在 GitHub 中进行了更新:版本更新

全文【FB

大家好,我是一个撸界混的不好,退了dd圈(黑客)很久的网友(学生),怎么说呢,最近很想赚钱买喜欢的东西,看过很多关于网络运营的文章

我只想说,8102年了,还有什么能赚金的项目?

黑阔,网络安全越来越难混了,有风险,利益小

撸界,基本都是引流了,没了当年的乐趣和利益

但是,我在想,怎么才能让这两种东西融合一下?

外面叫网络信息差,就相当于空调维修工给空调加一次fei只需要几毛钱成本,但是他会收你上百元?你还很高兴对吧,这就是信息差!

互联网时代,我认为应该利用起来这些方法!
为什么我会在晚上写这么长的文章?

因为我希望,我们可以合作共赢天下

这篇文章我会同步QQ空间和iXuan博客

我的QQ号是:1225062265

同意我的想法的可以私聊我,我们一起发财

也可以把这篇文章转发出去,给很多人看看
打字不易,请勿偷文,大佬轻喷

长话短说吧
家里的笔记本电脑,15年的美帝良心想
配置有点感人了,有时候打Mc都成问题

网赚一年以来,存了小几千块钱
于是装了一套1k6+的

配置单:

Cpu:Amd 锐龙3 2200g          淘宝909✅
主板:华擎a320m             板U套餐✅
内存:光威 4GB 2400*2       京东店家349✅
固态:阿斯加特m.2 250G    京东店家269✅
硬盘:西部数据/希捷 1t         闲鱼二手200❎
电源:大水牛   300w       京东自营105✅
机箱:      Tt  F1       我妈给买的
显卡:      用核显
散热:      Cpu用自带的

✅:已下单   ❎:未购买
 不算显示器 共计1632+200

看B站某up推荐的 1k6 装机方案

我稍微 缩了缩主板和电源
但是 提升了内存和固态

推荐CPU是锐龙3代 2200G
这款U在京东有搭配微星a320的套餐
价格在1k~1.1k之间

怎么说呢 我第一印象就是:1k6的电脑,版u站了1k1??
其它配置得水成啥。。。

因为2200G这款u是自带核显的
也就是说 买了这u不用买显卡了

我寻思着不错 但是京东自营还是有点贵啊

于是淘宝走起,我没看到2200g搭配微星a320的套餐

反而看到了华擎的a320套餐,华擎俗称妖擎,这个大家都知道的

去中关村看了报价和对比,神特么发现
华擎报价399 微星报价499
这尼玛差了100块啊,再看看配置?

华擎的a320比微星的多了m.2接口,还有一堆别的口,我也没怎么看 但是便宜100啊

淘宝那个套餐是909 2200g+华擎a320
固态本来想买SATA的固态呢

一想,你妈逼的,有了m.2口了,直接加钱上阿斯加特m2石墨烯版的,250g,基本够用了,我才不要SATA的垃圾固态呢,价格虽然贵80多,性能是 三倍

电源的话,那个up推荐的是航嘉额定300w的,将近200块,我一想,真尼玛苦逼啊

一看京东推荐的电源,有一款大水牛的,记得也不差的,大水牛300w,价格是 105 ,京东自营呢~

内存本来是京东自营的光威2133 4g单条
那天还在双十二中,价格是 189
下单第二天,我特么一看,光威自营的都便宜了10块,你妈逼的,也就是说,189我可以直接上2400了,上个屌的2133乞丐条??

看了看京东第三方的店,
光威悍将 359元 4g*2 2400频率
顺手在那里买了阿斯加特m2固态
有个店铺优惠,这两个一起买的话。可以便宜20元~也就两个都-10计算吧,配置图在之前写出来了(๑>ڡ<)☆

游戏测试

显卡是vega8的核显对吧,跑分3w8

亲测玩,minecraft可以稳到130~150fps

玩吃鸡可以低画质流畅稳定,一点都不卡~

搞机的乐趣,谁能体会!?

文章原创,iXuan手打 (๑• . •๑)

为什么说是迟来的惊喜呢?

这个App当时我是真是推广的,推了6个人头(好像是)

在那个时候(几个月前)一直拿不到提现的权限限量太严重

直到这几天,我逛酷安突然看到了这个app,嘛,下载下来一看,里面还存着17,累计收益是28,那还等啥,我立马就提现了个10~

虽然不多,但是蚂蚁这个速度令我惊讶啊。也就三四个小时就到账了,其它App都要三四天的呀大兄弟们!

但是!这个活动我还是建议大家不要去再撸了

为什么呢,现在软件奖励不如以前了。而且很多人都注册过了,阅读收益也不好,没什么值得的

大家有钱的快去提现吧,现在提现容易许多啦

1,web类(web漏洞/敏感目录)

第三方通用组件漏洞struts thinkphp jboss ganglia zabbix
80 web
80-89 web
8000-9090 web

2,数据库类(扫描弱口令)

1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL

3,特殊服务类(未授权/命令执行类/漏洞)

443 SSL心脏滴血
873 Rsync未授权
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
11211 memcache未授权访问
27017,27018 Mongodb未授权访问
50000 SAP命令执行
50070,50030 hadoop默认端口未授权访问

4,常用端口类(扫描弱口令/端口爆破)

21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由,默认密码zebra
3389 远程桌面

端口合计详情

21 ftp

22 SSH

23 Telnet

80 web

80-89 web

161 SNMP

389 LDAP

443 SSL心脏滴血以及一些web漏洞测试

445 SMB

512,513,514 Rexec

873 Rsync未授权

1025,111 NFS

1433 MSSQL

1521 Oracle:(iSqlPlus Port:5560,7778)

2082/2083 cpanel主机管理系统登陆 (国外用较多)

2222 DA虚拟主机管理系统登陆 (国外用较多)

2601,2604 zebra路由,默认密码zebra

3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了

3306 MySQL

3312/3311 kangle主机管理系统登陆

3389 远程桌面

4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网

5432 PostgreSQL

5900 vnc

5984 CouchDB http://xxx:5984/_utils/

6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网

6379 redis未授权

7001,7002 WebLogic默认弱口令,反序列

7778 Kloxo主机控制面板登录

8000-9090 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上

8080 tomcat/WDCP主机管理系统,默认弱口令

8080,8089,9090 JBOSS

8083 Vestacp主机管理系统 (国外用较多)

8649 ganglia

8888 amh/LuManager 主机管理系统默认端口

9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞

10000 Virtualmin/Webmin 服务器虚拟主机管理系统

11211 memcache未授权访问

27017,27018 Mongodb未授权访问

28017 mongodb统计页面

50000 SAP命令执行

50070,50030 hadoop默认端口未授权访问

穷人思维

这几天看到了两件事,一贯萦绕在心里。

  事例一、北京城一个锁匠,专门做高档小区换锁业务,换一个锁千八百块很正常,净获利预算300-500元。每天收入几千元,月薪十万加,一年赚一百万不成问题。

  买房子的人都要换新锁,北京城一套房子上千万,当然都是换高档锁芯。

  我大约了解了一下换锁这个作业,其实获利很丰厚。就算是一般的小区,租房买房都要换锁,换个锁100-150之间,二十分钟就搞定了。假定每个锁净获利70元,每天换5个锁,就是350元,月收入轻松过万,这还只是平均水平。

  事例二、某鱼龙混杂的商场里的美甲店老板,月入几万,一年赚几十万。老板好赌,本年就赌输了几十万。

  一个卖宵夜的烧烤摊,一年也能赚十几万到几十万。

  商场里边任何一个摆摊的,你让他们拿出十几万块钱来是很轻松的。

  可是大部分白领在企业辛辛苦苦干一年,也才几万块钱,扣除掉五险一金,拿到手所剩无几。

  这些看起来处于底层的公民,收入却远远比作业体面的人高许多,这是为什么?

  其实,并不是企业职工,办公室白领创造的获利比不上小商贩,而是他们拿到的报酬不对等。

  小商贩是在为自己打工,为自己干事,他们的劳作报酬,根柢就是自己的劳作所得。

  企业职工,办公室白领创造的获利,企业截流了大部分,薪酬只是小部分。并且这小部分薪酬,还有60%交了五险一金。

  终究到手的,乃至不到实践创造获利的一成。

  这就是为自己打工,和为别人打工的差异。

  香港有一句话很闻名:工字不出头。

  打工并没有错,但在国内的环境打工,被克扣的太凶狠,劳作报酬率太低了。

  上一篇讲什么是有钱人思维,其间一点就是找别人帮自己打工。

  穷户没有才华找别人帮自己打工,但至少还能够为自己打工。

  然而穷户往往追求去往更好的公司,为企业创造更多的价值。

  已然自己能够创造这么多价值,为什么不考虑为自己打工呢?

  依照我的观念,全部人,都不适宜一辈子去打工,前期的打工都是为了堆集阅历,为了往后能够为自己打工做准备。

  总结起来,穷户思维,包含以下几点:

  1、我要学好专业技术,进入最好的企业打工。

  进入最好的企业打工,能够赚更高的薪酬,但其实你为企业创造了你薪酬的十倍以上收益。

  已然有这个才华,换个角度,先打工,堆集阅历和本钱,然后为自己打工,那么你能够创造的获利就都是你自己的。

  至于有人忽悠你,有必要背靠途径,才华完结你的价值,那都是忽悠韭菜乖乖帮他们卖力的,谁信谁傻瓜。

站在个人角度,依靠某一个途径赚取高薪酬本身就是一种很大的危险,一旦途径靠不住,其他途径又不适宜,就悲惨剧了。在某个途径打工一辈子,本身就不实践。当你的剩余价值被克扣完往后,途径就不再是你的靠山。

  上一篇讲的,有钱人其实都在赚穷户的钱。为有钱人打工,本质上也是被有钱人克扣的一种办法。

  背靠广阔公民的商场,才是你一展才调的当地。

  2、存钱思维。

  存钱当然是积德行善,但过度存钱就会变成守财奴。几十年时刻,通货膨胀就会让你存下来的全部钱灰飞烟灭。

  赚钱是要让钱发挥他应有的作用,坚持满足应急的钱,其他用来消费,用来进步自己,用来做出资增值,或许创业,才是正确的金钱观。

  3、只做短期计划,不做长时刻计划。

  这是大部分人的通病,上一篇有论说,就不再说了。

  4、妄图赚有钱人的钱。

  有钱人的钱难赚,你认为是在赚有钱人的钱,其实是有钱人在运用你帮他赚更多的钱。

那么,穷户该怎样逆袭?

贫穷本身就是构成穷户思维的原因,这是一个恶性循环,导致穷户的后代大约率仍是穷户。

由于贫穷更简略让人短视,短视让人选择眼前利益,忽视了长时刻利益。物质上的贫穷会构成思维上的贫穷。

长时刻为别人打工,只能长时刻接受劳作报酬不对等的实践,自己拿不到自己应有的劳作所得,极力没有意义,这更加难以脱节贫穷。

所以穷户想要脱节贫穷,就应该有更长远的计划,极力为自己学习,为自己打工。

在本钱主义国家,全部都是在帮本钱家打工。而在我国,职工在帮本钱打工,本钱在帮国家打工,层层褥羊毛。

这世上根柢没有什么救世主,唯有靠得住的只需自己。

作者:概率游戏
链接:www#zhihu#com/question/26980862/answer/476026849
来历:知乎
著作权归作者全部。商业转载请联络作者获得授权,非商业转载请注明出处。

富人思维

著作权归作者一切。商业转载请联络作者取得授权,非商业转载请注明出处。
我有一个朋友,男,父亲是某银行的行长,母亲是公务员,家境富裕,从小富养。

高中的时分,他到了背叛期,成果一泻千里,也听不进他人劝。高考的时分分数刚好上了本科线。他父亲劝他留在省内,读一所专科校园,这所校园和他父亲地点的银行有合作联系,每年会有一定份额的结业生直接去该银行作业。进了银行之后的作业,尽管也是要依照程序走,可是起码父亲的人脉和资源在那里,今后境遇只会好,不会差。他不情愿,固执去了偏僻省份的三本大学,好像那个校园在我省也就招5-6个人的样子。

大学里,他没有走学霸道路,也没有彻底向学渣堕落。而是动起脑筋做了小生意。从阿里巴巴上低价买进许多廉价连衣裙,然后到市中心摆地摊卖。一个月赚好几千,赚了钱就请客吃饭KTV喝酒花掉,后来他拉上他们睡房的人一同干,几个人还凑钱一同买了一辆二手面包车方便进货运货,收入十分可观。(之所以我知道得那么清楚不光由于咱们高中里是联系很好的朋友,而且我好几次帮他在阿里巴巴上挑裙子的样式~)后来某个暑假他还约请咱们几个高中老友一同去他读书的城市周边旅行(那是个旅行大省),他花销很大,可是基本上没和家里要钱。

那个时分问他结业之后计划干什么,他说觉得当地市场前景宽广,且处于西南国界边境,将来可能出国去东南亚某国倒腾卖东西,总归死活不会回到家园,过那种20岁就看得到50岁的日子。

说实话我很羡慕他。由于他有个聪明经商头脑能发现商机,也豁的出去情愿闯练,他可能过的日子,是咱们触摸不到可是却有点神往的日子,充满了冒险和刺激。

大三升大四那年暑假,他家庭遭受了变故,无非是帮一个不成器的亲属担保借款然后扛下了一切的债款。他家卖掉了给他成婚的房子,花光了积储还欠了一屁股债。

然后通过几个星期思想斗争之后,他决定回家去,考银行的职务,做一个小小的职工,每天朝九晚五,做三休一,见人便拉存款。他仍是走上了那条他爸爸妈妈希望他走的路,做了那个能看到50岁的挑选。

由于他需求安稳的收入,安稳的作业,以支撑他的家庭。

我不否认他在银行里也是有光亮的出路的,由于他自己的努力,也由于他父亲的联系。可是有的时分我也会暗自叹气。

当没有了经济力量作为后台的时分,许多挑选就会小心谨慎,患得患失。

在他家仍是很有钱的时分,他能够做一些离经叛道的作业,去投资去挣钱去浪费,就算他失利了,他的家庭支撑着他,他不必担心退路。许多高收益的作业都伴随着高危险,而有经济基础的时分,这些危险也就缺乏害怕。

当这个经济基础崩塌了之后,一旦他失利,他将不知道之后的日子怎样过,他将面对巨大的压力的时分,他只能做一个最为稳妥的挑选,由于他经不起失利。

所谓的有钱人思想,可能就是有这种“不害怕”的底气吧。

作者:安之
链接:www#zhihu#com/question/26980854/answer/34992880
来历:知乎

PS:著作权归原作者所有 iXuan博客仅收集转载

最近有很多人问我电脑卡顿怎么办
iXuan这几天刚换了系统 从网上下载搞了一套批处理脚本
活不多说 看图就明白 代码对系统无害,删除的无系统重要文件(亲测)
1.png

2.png

没有什么花言巧语 只有干货 由于都是批处理文件 体积很小
那我就直接发城T网盘了 哈哈

下载地址:

城通网盘

最近想做自媒体 发现阿里大鱼号入驻条件很简单呀
努力去写点原创的文章 我的大鱼号名字叫做“网络资讯先知”
有UC的小伙伴可以去了解一下
现在 对 现在 2018年8月27日19:30 正在写第一篇文章
具体内容呢 先不说了 哈哈
u=3569782424,3254145864&fm=58&bpow=593&bpoh=593.jpg

你说安全就安全?

近日,红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”,其中“自主可控”一项已经被舆论所质疑,但是被官方放在第一项进行宣传的“安全”是否属实呢?

据笔者所知,红芯浏览器的主要客户为国内政府、大型国有企业,单位主体的性质决定了其内部会有大量涉及商密、机密、甚至涉及国家安全的重要信息,而红芯浏览器则被设计为触及这些重要信息的媒介,如果它出了问题,那么后果不堪设想。

为了验证红芯浏览器的安全性到底如何,小编决定做了一个简单的安全测试。对于这种套壳浏览器,安全测试大体可以分为两个部分,一个是“壳”的安全性,一个是浏览器“内核”的安全性。

对于“壳”,由于小编没有服务器环境,暂时无法接触到“壳”的主要逻辑,暂时作罢,如果你有测试环境,可以分享给小编,我们将在后续文章中分享测试结果。
图1 需要设置服务器地址才可以登陆,进而才可以测试“壳”

那么我们就测一下”内核”。根据之前网络上的爆料文章,红芯为了兼容XP,使用了最后一个兼容XP的内核:Chromium49。说起这个内核,笔者不禁回忆起了自己的青春,当初学编写chrome扩展的时候正是基于这个版本,说起来已经是两年前的事情了。

换句话说,如果你使用了两年前的版本,你失去不仅仅是两年内Chromium的新特性、新功能,更重要的是你失去了这两年内Chromium积累的安全补丁。

本次测试文件为红芯企业浏览器的3.0.54版本。

图2 红芯浏览器3.0.54安装文件

测试项目:XSS Auditor(filter) ByPas

XSS Auditor(filter)ByPass 翻译过来意思是:XSS审计器(或称XSS过滤器)的绕过。一直以来,XSS攻击是web前端领域里面威胁最大、利用最广泛的漏洞。在国际权威组织owasp针对最流行的Top10的web攻击统计中,XSS攻击从未掉队。

图3 2013-2017之间XSS的排名变化

然而,从这张图可以看到XSS从2013年的第3滑落到2017年的第7名,这其中的原因是多方面的,但其中重要的原因,就是现代浏览器引入并不断完善的XSS Auditor对反射型XSS的“狙击”,让XSS攻击越来越难用。

XSS Auditor最早被Chrome4、IE8引入。当然,道高一尺魔高一丈,XSS Auditor的更新不是闭门造车,而是在不断的攻防对抗中完善自己。全世界的黑客都在乐此不疲寻找XSS Auditor中的缺陷,以求绕过防护进行XSS攻击。而几乎Chrome的每次更新、IE的每个补丁,都会更新XSS Auditor,让这些绕过措施失效。然后黑客又找、官方又更新……由此往复循环,才有了今天较为完善的XSS Auditor防护体系。

我是不是扯远了。回到正题,红芯用了两年前的内核,那么意味着XSS Auditor已经两年没有更新,理论上这两年内的任何一个绕过XSS审计器的利用代码都是可以生效的。

我们先构造一个简单的反射形XSS漏洞:

<?php
echo $_GET["c"]; //输入即输出
?>

我们检查红芯浏览器是否能抵御XSS攻击。地址栏输入:

http://127.0.0.1/uxss/xss.php?c=<script>alert(/xss/)</script> 

输入的js并没有执行,可见红芯是开启了XSS Auditor的。

百度随手搜了一段绕过XSS Auditor代码,即在上面的js前面加一串%00。“%00”是16进制的0,在C语言中代表字符串的结束。不同的程序对0字符的理解不同,因此这个字符经常会引发一些安全问题。输入:

http://127.0.0.1/uxss/xss.php?c=%00%00%00%00%00%00%00%00<script>alert(/xss/)</script>

图4 绕过红芯的防护,执行了XSS

成功绕过XSS Auditor执行了js。

相同的代码在我的Chrome63(非最新)上却被成功拦截。

图5 该漏洞早已被谷歌官方修复

......

余下全文 请看http://www.freebuf.com/articles/web/181502.html

社会工程学(Social Engineering)
,是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。

引子

我们先试想这个的一个画面:

又是一个“元气满满”的周一,你揉着惺忪的眼睛,走到公司门口,在兜里摸了半天工卡,然后放到读卡器上解锁了门禁。你缓缓推开门,走了进去,正准备放手的时候,后面跑过来一位漂亮可人的女性,她双手提满了大包小包,嘴上喊着“请等一下”。你觉得这个人好像没见过,脑海中闪过一丝迟疑,但是对方看起来纯良无害又疲累不堪。此刻,你心头涌起的保护欲与同情心让你握紧了门把手,把快要关上的门拉开,让她冲了进来……
你心想,公司这么大,这可能是平时没怎么见过的同事;或者是今天周一,有新同事入职。几个想法在脑海中绕了几个弯后,你已经走到了工位上。于是你不再想这件事,打开电脑,开始一天的搬砖。可你没想到,第二天,传来公司资料失窃的消息……

帮人开门原本是出于礼节的行为,在当今社会很常见。但在特定场合中,这种行为很可能带来灾难。有些别有用心的人会利用这种礼貌行为,扮成需要帮助的弱者,博取同情,从而顺利进入原本没有权限进入的地方,最后制造破坏。这就是“社会工程学”的一种通俗表现。

世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到:“人为因素才是安全的软肋”。而社会工程学正是利用了人的恐惧、好奇等一系列心理,或者利用人们常见弱点,通过多种方式套取个人信息或者实施诈骗。网络钓鱼就是常见的社会工程学攻击之一。

社会工程学攻击的成功几率一直很高,哪怕如今人们已经提升了对网络诈骗的防范意识,但由于多种情绪或心理因素的影响,还是免不了上当。尤其是当社会工程学遇到了当今人们几乎离不开的微信,碰撞出的各种新骗术更是防不胜防。

社会工程学攻击常常利用的心理

除了上文已经提到的同情心之外,还有很多心理会被攻击者利用,展开社会工程学攻击。
粗心大意
在便于分享的网络环境中,不论是邮件还是微信或者 QQ 的对话框都能发布各种链接。处于信息轰炸的时代,也许每个人每天都会通过短信、微信或者 QQ 等各种途径打开链接,或者无意中点开陌生邮件的附件。在点击之前,他们甚至都没来得及细看。

利用粗心实施的社会工程学攻击包括:

注册近似域名 (Typosquatting)

同形攻击

黑帽 SEO / SEO投毒

点击劫持

引用文字

尾随或捎带确认攻击

窃听

这一类中最常见的就是最近闹得沸沸扬扬的“拼夕夕”的手段。拼多多上市以后,其平台销售山寨产品的行为遭到很多人的批判。也有人因为粗心或者不了解而上当。

请输入图片描述

一不留神点击链接中了病毒很可怕,一不留神就买了假货也很糟心。在微信聊天或者微信朋友圈中,有些链接模仿大牌购物页面,用户一不留神点击进去之后,会被获取个人信息,甚至会被骗走财物。

好奇心害死猫

利用这种心理的社会工程学攻击往往伪装成偶然发送邮件或压缩包或链接,命名有与个人相关的近期旅游照也有与商品推广相关的新折扣信息等。有些人看到这些内容,往往会出于好奇而点击,最终中招。

利用好奇心实施的社会工程学攻击包括:

社交网站中的恶意软件活动(“热门视频”诈骗,明星丑闻等)

其他欺骗你的独家内容(与事故或灾难相关的视频或图片等)

社交媒体诈骗:“查一查谁访问了你的个人资料”、“测一测你今年运势如何”等;

USB攻击

邮寄 CD 攻击

新闻劫

在微信朋友圈,我们经常能看到各种测试,不论是测试运势还是上传照片变装,一旦扫码或者点击链接测试之后,你就把个人信息拱手让人了。

请输入图片描述

前不久,外媒有报道称美国认为中国黑客通过“邮寄 CD”这种古老但难以应对的方式进行攻击,用于刺探情报。虽然最终没有确切证据,相关报道很可能是诬陷。但这也说明,类似的方法在以前的确会奏效。

剩余全文地址

请输入图片描述

台湾白帽Orange Tsai(蔡政达)受邀前往本届 Black Hat USA 和 DEFCON 26发表议题演讲,在《Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out》的演讲中,他分享了如何基于“不一致性”安全问题,综合利用4个功能性Bug,实现对亚马逊(Amazon)协同平台系统的远程代码执行。

以下是他的详细技术分享:

背景说明

在过去两年时间里,我重点在研究一些“不一致(inconsistency)”的安全问题,这是什么问题呢?这就有点类似我去年在 Black Hat 的演讲以及《GitHub SSRF to RCE》的研究一样,我先通过发现URL解析器和URL获取器之间的不一致问题,形成了整体SSRF绕过,最终实现更严重的漏洞利用。

另外,这篇由@0x09AL写的文章《Bypassing Web-Application Firewalls by abusing SSL/TLS》,也详细阐述了 “不一致“ 安全问题导致的重要漏洞,值得拜读。

有了之前的基础,今年我着重研究了路径解析器和规范化之间的不一致安全问题。理论上来说,因为不同对象实体具备不同的标准和实现需求,所以很难开发出一款设计严格而全面的解析器。但当解析器出现安全Bug时,为了不影响业务逻辑,研发上通常的做法是采用某种替代方法或是增加某种过滤器,而不是直接给Bug打补丁,最后的影响是治标不治本。所以,这样一来,如果过滤器和调用方法之间存在任何不一致问题,就可能轻松绕过系统本身设置的安全机制。

当我在阅读一些漏洞分析报告时,我注意到了一种叫”URL路径参数“( URL Path Parameter)的功能特性。一些研究人员已经指出,如果编程出现错误,这种特性可能会导致安全问题。通过点点滴滴的关联分析,我发现这种特性可以完美地应用在多层体系结构中,而且默认情况下,不必编码出错,就存在攻击面,可导致漏洞利用。如果你在反向代理中使用了Java后端服务,那么就可能存在这种漏洞!

早先在2015年时,我首先是在一次红队测试中发现了这种攻击面,之后,我觉得这个问题威力超强,也想看看安全圈内的知悉面,于是,我就在WCTF 2016比赛的自出题中设计了一道相关题目。

WCTF是由Belluminar和360共同举办的比赛,这与其他CTF比赛中的解题模式(Jeopardy)和攻防模式(Attack-Defense)不一样,它邀请了全球各国的前10名团队,每个团队都需要设计两道挑战题目,所以总共有20个挑战题目。你解题数量越多,你得到的点数就越多。然而,最后却没人能解出我出的这道题目。所以,那时我认为这种技术可能还并不为大多数人知晓。另外,我也对DirBuster、wFuzz、DirB 和 DirSearch这些扫描器作了测试,但只有DirSearch在2017年5月加入了这种扫描规则。

因此,今年我打算分享这个议题。但为了说服Black Hat 的审查委员会,我需要有力的用例支撑。所以,我又重拾挖洞,然而在测试中我发现,这种攻击面不仅可以造成敏感信息泄露,还能绕过访问控制列表(像我发现的这个优步OneLogin登录绕过漏洞),在某些漏洞众测项目中还能导致远程代码执行(RCE)。在这篇文章中,我就来介绍,利用这种 “不一致” 攻击面问题,综合4个功能Bug,实现对亚马逊协同平台的远程代码执行(RCE)。

多层架构的不一致性,可以形象的用以下图片来表示:

请输入图片描述

前言

首先,感谢亚马逊(Amazon)开放的漏洞披露策略,与亚马逊安全团队Nuxeo的合作非常顺畅,仅从漏洞上报进程来看,就可以看出亚马逊快速的漏洞响应速度,以及他们积极的应对措施。

开始我们要从网站 corp.amazon.com 说起,这貌似是亚马逊的一个内部协同系统,从网站的底部版权信息来看,该系统由开源项目Nuxeo部署构建。而Nuxeo又是一个庞大的Java项目,且刚开始我只是想提高一下我的Java审计技术。所以故事就从这里说起吧!

四个漏洞(Bug)

对我来说,当我拿到Java源码时,我首先会看看 pom.xml 配置文件,然后再去查找是否存在过期的引用包。在Java生态系统中,很多漏洞都像 OWASP Top 10 – A9 描述的组件漏洞那样,如涉及Struts2,、FastJSON、XStream等反序列化组件时,就可能存在漏洞

pom.xml主要描述了项目的maven坐标,依赖关系,开发者需要遵循的规则,缺陷管理系统,组织和licenses,以及其他所有的项目相关因素,是项目级别的配置文件。

这里的Nuxeo项目中,初看貌似其中的包都是最新的,但我却发现了一个”老朋友“ – Seam框架。Seam是基于 JBoss 的web框架,隶属红帽Linux系统的分支,在早前几年非常流行,但现在仍然存在大量基于Seam的web应用。

我曾在2016年对Seam进行过审计,也发现了其中一些风险隐患,但最终在这里,貌似也无法直接照搬实现。我们先继续往下分析。

  1. BUG 01:路径规范化错误导致的访问控制列表(ACL)绕过
    当从WEB-INF/web.xml文件中查看访问策略时,我发现Nuxeo项目使用了一个通用的验证过滤器NuxeoAuthenticationFilter,并把/*类型目录映射到了这个过滤器上。这种验证机制下,大部份网页都需要进行验证,但也存在一个包含login.jsp这样页面的访问入口白名单,所有这些功能都由一个名为bypassAuth的方法来具体实现:
protected boolean bypassAuth(HttpServletRequest httpRequest) {

// init unAuthenticatedURLPrefix
try {
    unAuthenticatedURLPrefixLock.readLock().lock();
    String requestPage = getRequestedPage(httpRequest);
    for (String prefix : unAuthenticatedURLPrefix) {
        if (requestPage.startsWith(prefix)) {
            return true;
        }
    }
} finally {
    unAuthenticatedURLPrefixLock.readLock().unlock();
}
// ...
return false;

}

从上述代码可知,bypassAuth方法会检索当前请求页面与unAuthenticatedURLPrefix作一个比较,但是,bypassAuth方法是如何去检索当前请求页面的呢?为此,Nuxeo写了一个getRequestedPage方法来从HttpServletRequest.RequestURI中提取出当前的请求页面,这样一来,第一个问题就出在这里了!

protected static String getRequestedPage(HttpServletRequest httpRequest) {
String requestURI = httpRequest.getRequestURI();
String context = httpRequest.getContextPath() + '/';
String requestedPage = requestURI.substring(context.length());
int i = requestedPage.indexOf(';');
return i == -1 ? requestedPage : requestedPage.substring(0, i);

}

为了去处理URL路径参数,Nuxeo用分号对所有的尾部进行了截断,但是,URL路径参数的行为是各式各样的,每个web服务器都有自己的实现方式,Nuxeo的这种处理方式在WildFly、JBoss 和 WebLogic中可能会很安全,但在这里的Tomcat下可能就有问题了。也就是,getRequestedPage方法和 Servlet 容器之间的差异导致的安全问题!

由于它的截断机制,我们就能伪造一个与访问控制列表(ACL)白名单匹配,但又是Servlet 容器中未经授权的请求。这里,我们选择login.jsp作为前缀请求文件,访问控制列表(ACL)绕过的请求如下:

$ curl -I https://collaborate-corp.amazon.com/nuxeo/[unauthorized_area]
HTTP/1.1 302 Found
Location: login.jsp
...
$ curl -I https://collaborate-corp.amazon.com/nuxeo/login.jsp;/..;/[unauthorized_area]
HTTP/1.1 500 Internal Server Error
...

从上可以看到,我们设计了绕过重定向进行身份验证的请求,但多数响应页面返回的是一个500的错误。因为 servlet 逻辑无法获取到一个有效的用户框架信息,所以它抛出了一个 Java 的NullPointerException异常。尽管出现这样的错误,我们还是一样可以从中找到突破口。(PS:除了这种方法之外,我还发现了另外一种快捷的入侵方式,留作下次再分享)

剩余全文地址