一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2018年10月31日星期三

继续学习web安全,SQL注入是初学者最先接触的攻击方式了。

SQL注入

SQL注入漏洞是Web层面最高危的漏洞之一。2005年前后,SQL注入漏洞随处可见,在用户登录或搜索时,输入单引号即可检测出SQL注入漏洞。此后,随着Web应用的安全性提高,SQL注入漏洞逐渐减少,也更难检测与利用。

SQL注入原理

SQL注入漏洞往往是由于服务器对用户提交的数据输入未做到较好的过滤,导致用户插入在Web表单或URL等查询字符串中的SQL命令进行了执行。一般较多出现在登录表单的提交中。
以登录页面为例,通过万能密码来简单介绍SQL注入原理.

万能帐号

如图,为一个登录界面,用户输入username与password后,后台对帐号密码进行验证,若返回正常(一般返回值为1或true)即登录成功。

一般背后验证的代码如下:
String sql = "select * from table where user_name='" + userName +"' and pass_word='" + passWord + "'";
try{
    ResultSet res = this.conn.createStatement().executeQuery(sql);
    if(res.next()){
        int i = res.getInt(1);
        if(i>0){
            return true;
        }
    }
} catch (Exception e){
    e.printStackTrace();
}
return false;
从代码可以看出,假如用户输入的是test、test,最终SQL执行的sql语句是: select * from table where user_name ='test' and pass_word='test'
而一旦用户输入的是如上图所示的' or 1=1--,由于代码未对输入做过滤,所以最终执行的语句会是:select * from table where user_name ='' or 1=1--' and pass_word='1'
--为注释语句,所以后续条件均被注释,无法起到作用,而实际前面的判断有一个or条件是1=1,所以SQL执行的相当于是select * from table,所以验证通过,登录成功。

应对方案
通过对用户输入数据进行过滤,即可达到简单的解决。当然,SQL注入的姿势多种多样,所以解决方案也十分繁复,在持续的Web攻击学习过程中也更容易帮助我们了解攻击原理,思考应对方案。
sql = sql.replaceAll(".*([';]+|(--)+).*", " ");
Categories: , ,

2018年10月29日星期一

  • 内网中的IOT设备的访问控制弱,导致在内网中对这些IOT设备(包括路由器,Google Home,智能电视盒子Roku,Sonos扬声器,家用恒温器等)进行DNS重绑定攻击十分有效。
    DNS重绑定攻击:恶意网页会导致访问者运行客户端脚本客户端脚本,(通过滥用域名系统(DNS)来绕过同源策略)攻击网络上其他地方的计算机。
    吐槽:IOT正如之前所言,果然是一块安全新领域啊。犹如Android生态初期。
  • 卡巴原文:DarkPulsar
    NSA在17年3月公开的机密文档中,有两个框架——DanderSpritz和FuzzBunch,而kaspersky基于这两个框架的特征,检测出了DarkPulsar后门,发现大约50个案例,分别位于俄罗斯、伊朗和埃及,常见感染Windows 2003/2008服务器,涉及核能、电信、IT、航空航天和研发等领域。
    吐槽:标题党
  • Scrounger(类似于Metasploit的工具)跟其他工具的区别主要在于:
    1. 适用于Android和iOS;
    2. 提供了类似Metasploit的命令控制台和模块;
    3. 提供了多种功能模块;
    4. 可轻松扩展其他功能;
      演示视频:Scrounger Demo
      吐槽:同时支持对iOS、Android的应用进行fuzzing,虽然操作上显得很复杂,但还是值得赞。
    1. 中继攻击
    2. 信号干扰
    3. 胎压传感器劫持
    4. 车联网利用
    5. 网络攻击
    6. 车载诊断系统(OBD)入侵
    7. 网络钓鱼
      吐槽:中继攻击危害应该最大,一旦掌握,地下停车场的车可能晚上就被偷偷开走了。
  • 捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。
    这款伪装成QRecorder的恶意软件是一款Android端银行木马,并且可从Google Play上直接下载安装,目前该恶意软件的装机量已经超过了10000台。目标设备感染了”QRecorder”之后,恶意软件会诱骗用户输入自己的银行账号凭证,并将这些数据发送给攻击者。值得一提的是,该恶意软件可以绕过基于SMS短信的双因素验证机制!
    吐槽:黑产出海收获颇多啊~
    吐槽2:GP说好的AI病毒检测呢?
  • 腾讯御见威胁情报中心对该后门进行了长期跟踪,发现该后门一直以来的特色就是使用FTP协议进行C&C通信,并且有很强的躲避技术和绕UAC技术。而最新版本的后门采用了多阶段执行、云控、绕最新UAC等技术,使得攻击更加的隐蔽和难以发现。
    为了诱使被攻击者打开宏,特意将诱饵文档中的字体修改成非常浅的颜色使用户无法阅读,而启用宏后会显示为方便阅读的黑色。
    吐槽:有时候,社工方式真的会令人忍俊不禁。
  • 提供卸载跟踪器的公司有Adjust、AppsFlyer、MoEngage、Localytics和CleverTap等。
    当用户卸载某个应用后,Adjust、AppsFlyer等会提供针对性广告投放。
    吐槽:突然又想了一下,这不是别人广告投放的正常功能——定向包投放么?
  • 《Grey Hack》是目前最真实的黑客模拟器游戏,玩家在使用aircrack-ng套件破解wifi,注册邮箱、银行后,购买代理服务器来隐藏自己的IP,从而让别人无法查找准确定位自己,随后使用工具入侵别人的服务器,这些工具包括nmap、ssh、shellweb、decipher、exploit,你可以将别人银行账户中的金钱转移到自己的银行账户中,最后更换自己的ip地址使得别人难以追踪,也可以直接修改对方的登录密码,或者利用别人的系统去做坏事…尽管玩家扮演的只是一个会利用工具的“脚本小子”,并且目前的工具很有限,游戏模式也非常简单,但是游戏中的大多数元素都是真实的,玩家可以了解一名攻击者的攻击流程,许多网络知识以及最基本的Linux命令,并且这种沉浸式体验能极大地激发玩家对网络安全的兴趣。
    吐槽:恩,推荐手机上的同类型手游 -
  • goDoH 是用于针对DoH渗透测试的POC工具。
    DoH - DNS over HTTPS 是一个进行安全化的域名解析的方案,目前尚处于实验性阶段。其意义在于以加密的HTTPS协议进行DNS解析请求,避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击)来达到保护用户隐私的目的。
    吐槽:DNS的攻击和欺骗技术越来越成熟,而DNS的防护才刚刚开始。
  • 一个开源项目 - Data Life通过MitM代理监控手机网络通信,并对通信进行分析。
    吐槽:疑似刚刚启动的项目,analysis模块还没开始(估计整合一下已有的就可以了)。
  • weblogic中会对上传的xml文件进行解析,所以存在XXE漏洞。
    吐槽:恩,捡漏也是需要能力的。
  • 文章简单介绍了传真机的通信方式,也提供了一些传真机漏洞的传送门,可以看看。
    吐槽:传真机算淘汰设备之一了,研究研究即可。
  • 威胁猎人统计了近一个月内黑灰产针对主流电商平台(京东、淘宝、拼多多和苏宁等)的攻击数据,发现:
    • 黑灰产虚假注册主流电商平台账号达到 1545980个,其中虚假京东账号约占40%;
    • 黑灰产针对主流电商平台接口的攻击量达到134743987次,其中爬虫攻击占42.62%,攻击登陆接口(批量登录和撞库)占13.30%;
    • 针对主流电商平台黑灰产工具样本新增768种,其中辅助类工具占54%,信息采集工具占22%,抢购工具占16.7%,账号注册类工具占7.3%。
      吐槽:看的多了难免觉得疲劳,毕竟猎人关注的黑产大部分都是流水线工作,较为成熟的体系必然是十分枯燥的。
  • WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页,均显示为已被美国国土安全局接管,如下图所示:
    但是该站点实际仍在对外提供木马样本下载,因此判断该图片系攻击者刻意为之,营造出该网站已被美国政府部门接管,现为“无害”状态,以干扰安全人员分析判断。
    吐槽:致命伪装
  • 需要root的工具集合:ANDRAX
    吐槽:现在都流行整合工具然后就号称自己搞了个渗透平台了?
  • 恩,已经下架了。主要是后台通过intent方式拉活,一种比较普遍的灰色做法。
    吐槽:最终还是钱爸爸最牛B。
    • 怪咖一:不忍殺生?這隻病毒請你自我刪除檔案?
    • 怪咖二:他用防毒軟體,但為了__寧可中毒
    • 怪咖三:不要錢的三隻勒索病毒
    • 怪咖四:不加密檔案但裝萌討比特幣的勒索病毒
    • 怪咖五:不懈邊緣人的勒索病毒
    • 怪咖六:不給「代言」費的名人病毒
      吐槽:看在彩虹小马很可爱的份上,给我300比特币怎么样?
    • 端口转发
    • 公钥
    • 禁用根登录
    • 计划任务限制
    • 禁用空密码
      吐槽:从攻击的角度出发,做防御还是不错的。
  • 在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。JBoss高危漏洞主要涉及到两种:
    • 第一种是利用未授权访问进入JBoss后台进行文件上传的漏洞,例如:CVE-2007-1036,CVE-2010-0738,CVE-2005-5750以及JBoss jmx-consoleHtmlAdaptor addURL() File Upload Vulnerability。
    • 另一种是利用Java反序列化进行远程代码执行的漏洞,例如:CVE-2015-7501,CVE-2017-7504,CVE-2017-12149,CVE-2013-4810。
      吐槽:所以基础框架的漏洞带来的危害往往是最大的。
  • 一旦赛门铁克邮件网关开启了密码重置功能
    在赛门铁克邮件网关的安装过程中,这个密码key都是静态的,在此我们也不会公布这个密码信息。在这种加密机制下,如果攻击者发起加密令牌(token)中形如“admin:”的加密,并把它传递给下述GET参数 “authorization”, 那么,他就会收到一个有效的管理员会话。
    吐槽:登录口做的功能越多,越容易失误。

2018年10月24日星期三


  • 入网:未root手机,因为权限问题,无法转换wifi工作模式进而dos掉对方的真实AP;所以只能社工。
    渗透:routersploit
    吐槽:理论上入网,特别是公共区域入网还是比较容易的;在手机上做渗透,搞路由器,随着手机计算能力的提升,以后会越来越多。
  • github的问题列表上有人曝出0.9.4.2 以下的版本web 上传接口对上传的apk包zip解压的时候存在漏洞可导致任意文件写入。
    原因: 自写zip解压代码,未对文件名做校验,直接os.path.join(EXT_PATH,filename)写入文件,导致存在形如../../../的目录穿越漏洞。
    解决方案:直接用z.extract函数将zip压缩包中的文件解压缩保存至指定目录,extract函数会自动将目录穿越符和UNC符号过滤掉,所以就没有任意文件写入啥事了。
    吐槽:自行实现功能的局限性往往就在于此,各种漏洞需要自行cover;而公用模块的问题则在于一旦出现问题,则全军覆没。
  • web攻击中的各种脑洞——利用php的解析特性,将语句转化为位运算表达式(php会自动解析为字符)来上传以绕过安全策略,让PHP执行——此为第一篇[一些不包含数字和字母的webshell](https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html);
    通过glob通配符特性过滤,调用上传的文件执行。这里一句话讲不清,建议通篇阅读文章。
    吐槽:长期浸淫在安全对抗行业中的人,脑洞之清奇,可见一斑。自愧不如
  • 黑产的故事,见文即可。
    吐槽:QQ、微信拉近了人们的距离,也拉低了欺诈、黑产的门槛。
  • Danger-zone是一款可将域、IP 和email地址之间的数据关联,并可视化输出存储到Elasticsearch和JSON文件中。
    在ES搜索的基础上,结合virustotal和Whoxy提供的免费查询服务,搭建了这样一个免费的域名、IP和Email关联查询(情报)系统
    吐槽:强烈推荐个人(安全行业)可搭建一个相关情报服务系统。
  • 尝试了一种猥琐方式通过捆绑安装的方式将 Powshell 后门植入到软件安装包的方式绕过杀毒软件检测的方法。
    吐槽:捆绑的方式绕过杀软,个人觉得仅仅是由于加壳、混淆等原因绕过了而已。尤其是PC上行为拦截那么多,动态执行过程中即可能被kill掉。
  • 文章总结:
    1. 服务器上存在博彩信息与挖矿程序,说明被多波不同利益团队的黑客入侵;
    2. 此服务器于2018年9月21日被黑客入侵后加上相应的博彩内容,相应的IP为175.41.27.93;
    3. 此服务器在2016年2月份甚至更早就已经被黑客植入网马了;
    4. 服务器在2017年12月19日被植入挖矿程序;
    5. 系统被增加了隐藏账号test$,并且在2018年9月21日14:38发现账号guest有IP为212.66.52.88,地理位置为乌克兰登录的情况。
      吐槽:甲方生活在水深火热之中,急需我等拯救啊。
  • 光标劫持攻击——技术主要利用的是Chrome浏览器的一个漏洞,而这种漏洞是由于HTML代码无法正确解码低分辨率鼠标光标所导致的。它会将光标变成一个128×128像素的透明“大方框”,当用户点击了某个特定位置时,他们其实点击的是其他地方。
    吐槽:黑客总有你想象不到的攻击手段。
  • 卡巴分析了当前主流了双因子认证方式:短信、app与USB口令,其认证流程及存在的风险。
    吐槽:国内目前主流的还是短信,也正在慢慢朝app方向发展(存在较大风险)。
  • 我国也有了自己的标准了,具体参见:在线预览|GB/T 36643-2018
    吐槽:有了标准就有了可参考性,日后更方便了情报的分享和建设。
  • 本期报告聚焦国内外知名机器学习、人工智能类开源软件安全开发现状,通过分析多款知名人工智能类开源软件产品的安全缺陷,评估开源项目的代码安全控制情况。360代码卫士团队为本期报告提供了技术支持。
    吐槽:数字为CNCERT出的开源代码漏扫报告。恩~
  • 国外安全公司zscaler对黑帽SEO的分析。同样紧跟热点,同样黑站然后挂跳转。
    介绍了很多黑帽SEO手法,可以看看。
    吐槽:国内外黑产殊途同归啊。
  • 360安全中心监测到有款远控木马试图借用 “网易”官方签名躲避查杀,大肆传播。
    吐槽:Android端签名管理目前来看还是比较规范了,除了喜欢用外包的一些银行外
  • 原理是通过itunes的usb管理模块,模拟返回定位信息来进行虚拟定位。
    使用开源代码库:libimobiledevice
    吐槽:ios体系内的需求大,门槛其实较低。好去处~
  • 黑客通过Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。
    吐槽:不是一篇好文章
  • 在pentester环境中存在Cookie篡改与命令注入的WEB程序,我们下载下来搭建,下载地址:rack_cookies_and_commands_injection
    文章详细讲解了整个攻击过程:
    1. 指纹识别:收集有关Web应用程序和正在使用的技术的信息。
    2. 暴力强制验证页面。
    3. 篡改机架cookie以获得管理员权限。
    4. 从管理页面,通过注入获取命令,以运行底层操作系统上的任何命令。
      吐槽:道理我都懂,还是得下手实践啊
  • 面对企业的物理隔离网络,360通过Ghost tunel——一个利用WiFi信号的隐蔽传输通道,只要物理隔离网络的客户端安装有无线设备或无线网卡(无线网卡不需要连接无线、无线网卡禁用也可以入侵)都可以遭到攻击者近距离入侵,不需要在隔离网络上使用U盘安装恶意程序。
    吐槽:APT攻击几乎集安全攻防之大成,学习学习,了解即可。
  • 攻击者通过SSH暴力破解获取系统账号后,一方面通过下载及运行ELF二进制挖矿程序,利用系统CPU/GPU资源进行XMR(门罗币)挖矿;另一方面,通过在系统里面的JS文件中插入JS网页挖矿的代码,利用远程访问系统JS网页的客户端资源进行XMR网页挖矿。
    吐槽:往后大型网站或者服务器将是攻击重点(网络资产集中地);企业安全越来越重要了
  • 近年来,黑客已不再像以往一般着重攻击企业或用户的计算机,转而采取“广撒网,多捞鱼”的策略,将攻击目标转向了全新的领域。对各大垂直领域的兴趣尤为浓厚,CrowdStrike的报告中也对一些垂直领域入侵案例的比例做了统计:
    • 技术(互联网、科技)行业:36%
    • 服务行业:17%
    • 酒店行业:8%
    • 政府、国防机构:7%
    • 非政府组织:7%
      吐槽:忽然对安全行业有了信心,有新的行业就会有新的安全问题,重点是,能否跟得上节奏。
  • 2018年上半年勒索软件的活动还有所增加,并且相关勒索软件还通过各种升级更新来尝试避开现有的安全解决方案,比如说PyLocky(趋势科技将其标记为RANSOM_PYLOCKY.A)就是一个很好的例子。
    PyLocky还有反机器学习的能力,同时使用了Inno Setup Installer(一款基于开源脚本的安装器)和PyInstaller,因此这样会增加静态分析方法的检测难度,其中就包括了基于机器学习的解决方案。
    吐槽:安全的本质就是攻防对抗咯
    1. 台湾 Web 安全研究者 Orange Tsai - A New Era of SSRF
    2. Web 缓存欺骗攻击技术 – Web Cache Deception
    3. 票据欺骗 – Ticket Trick
    4. Friday the 13th: JSON Attacks
    5. 云出血 - Cloudbleed
    6. 高级 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities
    7. AWS S3 存储桶的访问控制分析 - A deep dive into AWS S3 access controls
    8. 利用 HTTP 请求编码绕过 WAF – Request Encoding to bypass web application firewalls
    9. 浏览器安全白皮书 – Cure53 – Browser Security Whitepaper
    10. 利用 PHP7 的 OPcache 执行 PHP 代码 – Binary Webshell Through OPcache in PHP 7
      吐槽:看看就好,较为前沿的一些web技术
  • 思路十分有指导意义,见图;第一篇AI在黑产的利用讲述的也较为全面(信息整合)。
    吐槽:较好的信息整合,适合作为入门读物
  • 由于短网址服务自身存在的设计缺陷问题,尤其是一般短网址采用6位或者7位字母和数字的集合,可以被很好的预测,从而被针对性的爆破。
    还有其他诸如:SSRF、XSS、SQL注入等问题。
    吐槽:2B安全遍地开花的节奏
  • Vpay暴雷,所以收益过高的都有极大风险——甚至是欺诈风险。
    吐槽:雪崩之时,没有一片雪花是无辜的。
  • 近期最热的八卦了。马蜂窝造假太不走心。
    吐槽:这个瓜可以吃很久。
  • 吐槽:羡慕有蜜罐网络的大佬。
  • 预计到2019年,全球网络犯罪成本可能将超过2万亿美元
    吐槽:个人感觉翻译有误,这里应该是讲的网络犯罪产业链收入将产生超过2万亿美元。对国内机翻人员无语。
  • 从APP账户中的0元,到之后破解APP数据库后,我可以进行以下操作:
    • 修改APP账户的金额
    • 任意购买自动售货机中的东西
    • 继续用余额购买
    • 余额为0之后可重新更改余额
    • 如此重复消费购买自动售货机中的商品
      吐槽:结合kaspersky的双因子报告可以得出,国内APP作为因子的验证方式还有很长的路要走。