Aggregator

大家好，我是BaCde，今天来说一说2020年底针对施耐德充电桩的漏洞挖掘过程。此次挖掘最终实现了通过远程无需用户交互场景下实现Root权限shell获取（一键远程Rootshell获取）。官方已经于今年7月份公布漏洞补丁以及相应的CVE编号。

0x01 为什么选择施耐德？

作为车联网安全研究来说，充电桩作为车联网必要组成部分，具备实际的研究价值与意义。而面临如此多的品牌，选择哪个目标作为研究对象是面临的第一个问题。为了能够更快的实现我选择了几个衡量指标，包括官方有响应中心、固件可下载、市面上可以买到、互联网上有暴露的目标。分别对应合法性、静态分析、动态测试、漏洞可产生实际的影响。

根据指标通过网络上去收集信息，最终将目标锁定在施耐德。同时，施耐德也在CVE官方的CNA列表中，报送的漏洞可以获得CVE编号。

0x02 目标设定

确定了要研究的对象，接下来就要确定一下我们要实现什么样的效果。这可以使得在分析过程中保持聚焦，不偏离方向。目标设定如下：

1. 远程获取设备Root权限
2. 无需登录，无需交互

根据上述设定最直接的方式就是寻找远程命令执行漏洞，即要RCE类型漏洞。

0x03 信息收集

一切准备就绪，开始我们的漏洞挖掘之旅。

Within hours from the moment our in-house built fuzzer, hAFL1, started running ? it found a critical, CVSS 9.9 RCE vulnerability in Hyper-V?s virtual driver.

8月4日，去中心化做市商 Popsicle Finance 和收益聚合平台 Wault Finance 接连遭到攻击，分别损失 2,070 万美元和 88.8 万美元。

内网SQL Server数据库安全检测工具

CVE-2017-11826漏洞的分析与利用

在安全管理中，应急响应预案无疑是一个非常重要的内容。具体到本单位，应该如何制定应急预案呢？本文和您一起讨论这个问题

Summary An attack on the University of California-San Diego Health's system has exposed personally identifiable information to hackers. The university and several news agencies have reported on the breach. Threat Type Data Breach, Phishing Overview A phishing email may have provided attackers with personally identifiable information from patients, employees, and students for an extended period of time. The breach occurred on or around December 2, 2020 and was only discovered March 12, 2021. The attackers m

场景: 从github 代码中挖掘爬虫手段难以爬取的url, 调用：grep.app 接口

谢谢你等我来 看星辰落入海 看一看秋暮渐晚的浪漫

整理文件时发现了这个，看是否有人需要... https://github.com/hac425xxx/cpf/ cpf 一个简单的协议Fuzz工具. 毕设答辩胶片&演示视频 https://github.com/hac425xxx/cpf/tree/main/docs cpf-gui cpf 的图形

实践DevSecOps的第一个误区就是错把“DevSec”当成“DevSecOps”，缺少持续运营的运维\交付阶段。

As I began my CSR Co-op position this year, I wanted to see up-close how a corporate foundation works. What I've found is that the work the Akamai Foundation does around the world is inspiring! Whether it's partnering with STEM educators, responding to the COVID-19 crisis, planning employee volunteerism efforts, or creating a hardship fund to support our community, what we do here has a positive impact across the globe. And, thanks to this co-op opportunity, I've been able to play a real part in driving this impact forward.

通过 RFC 2231 协议自身绕过 WAF 的防护。本质上是利用了 WAF 和 服务端 的协议解析差异。

二进制的Java反序列化数据如何绕WAF?

 

0x00 关于本文    是的没错我又去蹂躏安全工具了，和以前我单个单个地欺负不同，这次发现的攻击手段是通用的，可以通杀大部分源码泄露漏洞利用程序。    本文会包含常见泄露漏洞的原理介绍（Git/Svn），利用工具自身的安全风险分析，简单易懂的POC制作方式，针对常见工具的攻击测试，以及提升反制威力的方法及展望。
0x01Git泄露：漏洞原理介绍    Git是什么大家应该都很清楚（不知道Git是啥的人多半是不肯来光临这个博客的）    有些开发人员直接把代码clone到服务器的web目录来部署，但是开发人员或许不知道的是，clone下来的不只是代码，还有一个.git目录，这个目录被叫做版本库。攻击者可以通过访问这个目录，解析其中的文件，dump整站源码。    想要更深入地理解Git泄露漏洞，了解攻击流程，就需要了解.git目录的结构
    tree一下这个目录，发现内容如下


    index文件中包含了这个项目中的各个文件的信息，包括文件路径和Git对象的对应的40位哈希值。在这里我们不需要对Git对象理解的很深入，只需要知道里面包含了文件内容，是让攻击者垂涎欲滴的东西就可以了。    想要拿到Git对象，就需要转去objects目录。objects目录存放了所有的git对象，对于一个git对象，40位哈希的前两位会作为目录名，而后面的38位会作为文件名，存在objects下面。举个例子，一个Git对象那个的hash是cb75d8439f004f41d5f85ffa5f8d017df395651a，那么它就会被存在cb/75d8439f004f41d5f85ffa5f8d017df395651a。    知道了这些信息之后，就可以知道Git泄露攻击是如何进行的了，首先攻击者访问index文件，解析后得到文件名和对象哈希。接着按着对象哈希一个一个去objects目录获取到Git对象，解析后得到文件。

0x02 Git泄露利用工具的安全风险    显而易见的，手动解析index文件并去下载然后再去解析Git对象是一项烦人又重复的活，因此有大量的工具被开发出来解放黑客们的双手。这些工具可以将整个攻击流程自动化，自动下载项目的所有文件，并且重建整个项目的目录结构。    但是在这个过程中存在一个严重的安全风险，这些工具在重建项目的目录结构的时候，往往没有考虑到路径穿越风险，而是直接将目录连接起来，因此通过创建恶意的git目录可以在攻击者的磁盘中写入任意文件，实现远程代码执行！
0x03 简单易懂的POC制作方式    直接用git工具制作POC是不可行的，它会提示文件在仓库之外
    好在有个叫做GitPython的库不关心这个问题，因此可以用GitPython来生成POC。    首先在仓库外的某个目录放一个文件，该文件会写入到攻击者的电脑上的相同路径。
    接着打开python，用GitPython将其加入项目中然后commit，注意，要用../../../(很多个../)加上文件的绝对路径的方式来加入。
    在下图生成的POC中，POC只是为了证明可以写到非预期目录，只加了一个../

    在执行完了后，整个git项目的文件夹就成了蜜罐

0x04 对常见工具的测试    为了试验该手段的通用性，使用常见工具对蜜罐进行测试，以文件是否成功写入到非预定目录为判断标准。
    一个成功的例子如图，dumpall工具将tohacker.txt写到了预期目录192.168.208.190_None之外。

    测试结果如下表所示
工具名称工具地址攻击是否成功GitHackhttps://github.com/lijiejie/GitHack是GitHackhttps://github.com/BugScanTeam/GitHack是dumpallhttps://github.com/0xHJK/dumpall是GitHackerhttps://github.com/WangYihang/GitHacker是dvcs-ripperhttps://github.com/kost/dvcs-ripper否git-dumperhttps://github.com/arthaud/git-dumper是    在测试的工具中，除了dvcs-ripper外全部攻击成功（dvcs-ripper失败原因还没分析），证明了该反制手段的通用性
0x05 Svn泄露原理    Svn和Git类似，也是一种版本管理工具。    有些开发人员在部署的时候偷懒，没有通过”export“的方式将代码导出，而是直接拷贝目录，导致下面的.svn文件夹也被拷贝了。（嗯，和Git泄露如出一辙啊）
    和Git不同，Svn的泄露有两种可能的情况。
    当Svn版本小于1.6的情况下（也有说1.7的，没试），.svn文件夹中的entries会以明文存储目录和文件信息。其中包含了文件名，这个时候访问/.svn/text-base/文件名-.svn-base就可以拿到文件。    当Svn版本更高的情况下，.svn文件夹中的entries不会包含目录和文件信息，攻击者首先需要访问/.svn/wc.db文件，这个文件是个sqlite3数据库，其中的Node表中包含了文件的信息，包括文件名和哈希等。在获取到这些信息后，访问/.svn/pristine/哈希的前两位/哈希.svn-base即可访问到文件。举个例子，有一个文件对应的哈希是a94a8fe5ccb19ba61c4c0873d391e982fbbd3，那其路径为/.svn/pristine/a9/a94a8fe5ccb19ba61c4c0873d391e987982fbbd3.svn-base。
0x06 简单易懂的POC制作方式    针对低版本的Svn，我抄袭了这里的格式，使得POC如下图所示。首先entries的开头为"10"，表示自己是个低版本的Svn的文件，接着按照之前写Git的POC的方式写个恶意的文件路径，然后空行写个"file"，以此表明上面写的路径是个文件，最后把文件放在对应的Web目录以便于扫描器去下载。
    高版本的Svn有些复杂，于是我找了个网站来生成Svn项目，并用TortoiseSVN添加文件再checkout到目录中，这个时候就可以看到.svn目录了。接着再用SQLite编辑工具编辑目录中的wc.db中的Node表，更改文件目录为恶意路径。最后再如法炮制放置文件即可    
0x07 对常见工具的测试    测试的方式和标准与测试Git泄露利用工具的标准一致，但是优先测试低版本的泄露，如果低版本的泄露无效再测试高版本的（人都是懒惰的），测试结果如下表所示
    
工具名称工具地址攻击是否成功svnExploithttps://github.com/admintony/svnExploit是SvnHackhttps://github.com/callmefeifei/SvnHack/是（必须放在根目录）Seay-Svnhttps://github.com/Introspelliam/tools/是dumpallhttps://github.com/0xHJK/dumpall是（只支持高版本）svn-extractorhttps://github.com/anantshri/svn-extractor是 （只支持高版本）dvcs-ripperhttps://github.com/kost/dvcs-ripper否（跑不起来且不想跑,perl写的东西没一个用着省心的）
    在测试的工具中，除了dvcs-ripper外全部攻击成功（这玩意跑都跑不起来），证明了该反制手段的通用性


0x08如何提升杀伤力的    如果只是在非预期的目录写一个文件的话并不能达成反制效果，因此有如下几种方法可以参考使用（未经测试仅供参考）：

1. 对于类unix系统可以写入crontab，增加定时任务，反弹shell回来
2. 对于Windows系统可以写入开始菜单启动项，或者dll劫持
3. 可以把攻击工具的脚本给替换掉，下次执行就能上线

    除此之外，可以通过发来的包的TTL值判断操作系统(Windows默认是128，Linux是64或者255)，实现更精准的反制
0x09展望    很显然，这种手法不只适用于Git/Svn泄露的利用程序，什么DS_STORE，Java任意文件下载利用，估计都跑不了。

在先前的文章中《近距离看GPU计算（2）》，我们谈到GPU相比CPU有更大的内存带宽，此言不虚，这也是众核GPU有源源不断数据弹药供给，能够发挥强大算力的主要原因。如下表所示(GDDR和H...

1. 前言本文分享了Linux内核网络数据包发送在UDP协议层的处理，主要分析了udp_sendmsg和udp_send_skb函数，并分享了UDP层的数据统计和监控以及socket发送队...

Linux内核网络UDP数据包发送系列：Linux内核网络UDP数据包发送（一）Linux内核网络UDP数据包发送（二）——UDP协议层分析Linux内核网络UDP数据包发送（三）——IP...