Aggregator

动态JS劫持用户信息

Webpack+JSONP劫持

作者：key

注：本文已对敏感信息脱敏化，如有雷同纯属巧合。

前言

在做测试的时候发现一个请求：

POST /user/getUserInfo HTTP/1.1 Host: xxxxx Cookie: xxxx ticket=xxxxx

其对应返回的信息包含了我本身用户的敏感信息：手机号、姓名、邮箱…

通过BurpSuite的插件Logger++搜索发现该ticket值居然出现在了JS文件中：

确定漏洞

通过测试我发现以上所述请求中的Cookie为无效请求头，后端不对齐校验，但对ticket校验，也就说明此处的ticket代表了获取用户信息的关键参数，换种说法：当你知道用户的ticket参数即可获取该用户信息。

判断JS动静态

当我在Logger++插件搜索到ticket值存在JS文件内容时，我的第一想法就是这个JS文件为动态类型，其文件内容跟随用户凭证字段的变化而变化。

测试：删除Cookie字段，结果：ticket参数值消失，由此可以判断该JS内容为动态类型。

再尝试将测试账户A的Cookie字段内容替换为测试账户B的Cookie字段内容，结果：ticket参数值变为测试账户B用户的对应值，由此可以判断该JS文件路径是固定的，并不是动态路径。

Webpack+JSONP劫持

已知JS文件路径为：https://website/app.xxxxx.js

查看其文件内容发现其被Webpack打包过：

那么我们想要劫持这个JS文件内容其实就可以使用JSONP的PoC代码（因为这段JS文件内容就是自定义函数+传入参数）：

<script> function webpackJsonp(data) { alert(data) } </script> <script src="https://website/app.xxxxx.js"></script>

但这样得不到我们想要的ticket值，简单的看了下JS代码，这段JS代码内容的格式是这样的：

webpackJsonp 函数传入两个参数：第一个参数毫无用处，第二个参数传入的值包含了我们想要的ticket值。

那以上代码就可以这样修改：

<script> function webpackJsonp(data, data1) { alert(data1) } </script> <script src="https://website/app.xxxxx.js"></script>

但我们还是没得到我们想要的信息：

因为第二段参数传入的值还需要进行解析，我发现这段值内容就是一段JSON对象，而对象的每个属性都在定义一个函数：

寻找ticket所在函数位置，发现其在jbTV: function...内，知道了所在函数位置，PoC代码只需要这样进行构建：

<script> function webpackJsonp(data, data1) { alert(data1['jbTV']) } </script> <script src="https://website/app.xxxxx.js"></script>

访问，成功获取：

后面只需要稍微的加个正则就可以了～

攻击方式

用户登录状态，访问该漏洞页面，触发即可获取到ticket值，将该值带入以上所列请求中即可越权获取用户信息

结尾

心细一点，漏洞就在眼前，

随着大数据时代的到来，带了很多的便利，但是也带来了更多的风险，作为一名安全行业工作者，对于这种变革更是体会深刻，笔者从事的是金融行业的安全工作，在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。

本系列故事纯属虚构，如有雷同纯属巧合平台实现前的说明小B在给老板汇报了"统一日志分析平台"项目后，老板拍板立

一个栗子 订单表结构如下： CREATE TABLE `orders` ( `id` int(11) NOT NULL AUTO_INCREMENT, `title` varchar(60) NOT NULL COMMENT '订单标题', `status` tinyint(1) NOT NULL DEFAULT '1' COMMENT '订单状态：1 待支付、2 支付中、3 已支付', PRIMARY KEY (`id`) ); 测试数据： INSERT INTO `orders` VALUES

新的一年回过头总会发现时间飞逝的同时伴随着很多感慨，在慢节奏下记录这些感慨汇总成2019的点点滴滴。

Your app security still relies on routers that can reach end-of-life. F5 Labs' Preston Hogue writes for SecurityWeek, discussing the need to think of your entire stack when protecting your apps.

IMAP（Internet Mail Access Protocol）以前称作交互邮件访问协议（Interactive Mail Access Protocol），是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下载邮件等。当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上，使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载，可以通过客户端直接对服务器上的邮件进行操作。----来源于百度百科

目前知名企业邮箱（如腾讯企业邮箱）均支持该协议，许多人喜欢用邮件客户端或者手机收发邮件，则大多数会选择开启该服务。在大多数情况下适用。（文末有脚本下载地址）。

该脚本使用Python开发，2和3版本均可运行。

随着云计算技术对科技行业的重塑性影响之下，其对安全的要求也是具有突破性的，传统的安全思路和产品已经很难适应云的环境。

0x00 前言

在这篇文章中，我将记录一下如何使用Golang实现一个webshell。

小爱同学控制homeassistant in 树莓派 by 红外线 前言 租了房子以后一直想搞智能家居自动化各种事情，最近终于腾出空可以搞辣！ 研究了一圈感觉拆开关太麻烦了，零火线还要撬开关，租的房子不敢瞎搞。想了一下可以用arduino/树莓派加上小马达来实现敲击开关，不过自己做的话估计比较丑而且外壳设计这些比较偏工业，我这种纯软件程序员也并不熟悉233 于是又搜了一下，果然有roome和华硕各...

LLMNR 和 NetBIOS 都可以解析本地其它设备的名称解析请求，但是都不验证其回复合法性。这两个服务容易被利用进行 MITM 攻击。此篇文章将会讲解如何在 Linux 和 Windows 系统上关闭 LLMNR 和 NetBIOS。

Proxmox 安装默认会占用整个磁盘，并且无法像 Ubuntu 等发行版一样在安装时调整各 LVM 的容量。此篇文章将会讲述如何调整 Proxmox LVM 的容量。

作为安全研究人员，有时需要编译一些完全不安全的二进制文件用来研究缓冲区溢出等漏洞。最新的 GCC 在编译是会默认加上许多安全功能来防止安全漏洞的出现，而为了触发漏洞我们必须关闭这些安全功能。这篇文章将讲述如何编译并运行不安全的 GCC 编译二进制。

2019补完计划

A deep dive into a wide variety of cloud-related security data breaches, both maliciously caused and accidental.

## 2019年度总结 2019年度进度 ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ 100% 2019年要过完了, 博主今年又干了啥呢. 远行 基本没离开过家门 最远

上周看到一些朋友在发青藤云的聊天记录，绕过一个发200块红包。周末的时候就简单做了个测试。
首先使用绕过D盾的webshell，发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容，看原理是采用的深度学习的方式。猜测是有监督的方式来实现的（仅为猜测）。我这里绕过的思路采用的是，使用开源程序进行修改，带入一句话后门代码。

记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];这样的代码，如果不看上下文，这个妥妥的文件包含漏洞。不过上文有过滤和判断处理，导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码，把影响执行的代码注释掉（因为适应多种环境，适用但文件的情况）。
最终修改的代码如下：

前言 在使用 Laravel 框架进行开发项目的时候，Facades 是一个经常能用到的模块，比如在使用缓存(Cache)、日志(Log) 等组件的地方。 use Illuminate\Support\Facades\Cache; $name = Cache::get('name'); use use Illuminate\Support\Facades\Log; Log::info('this