Aggregator

利用SourceMap还原网站原始代码(前端)

作者：key

说明

现在越来越多网站使用前后端分离技术，利用Webpack技术将JS类拓展语言进行打包，当然很多都是配套使用，例如Vue（前端Javascript框架）+Webpack技术；

这种技术也在普及，并且转向常态化，对渗透测试人员来说极其不友好：

1.增加了前端代码阅读的时间（可读性很差） 2.由原因1间接造成了前端漏洞的审计困难性

但是也具备一定的好处：

1.采用这种模式，后端接口将完全暴露在JS文件中

除此之外，如果生成了Source Map文件可以利用该文件还原网站原始前端代码（关于技术名词的具体含义请自行查询百科）

主流浏览器都自带解析Source Map文件功能（开发者工具-Sources【火狐下是调试器】）：

展开可以看见具体文件和代码：

但是文件过多的情况下，单个查看繁琐，不便于搜索（浏览器的开发者工具支持全局文件搜索，但搜索速度较慢），使用restore-source-tree可以解决这一问题。

restore-source-tree 安装

原作者的有BUG，使用国外友人修复后的版本：https://github.com/laysent/restore-source-tree，安装步骤如下：

git clone https://github.com/laysent/restore-source-tree cd restore-source-tree sudo npm install -g Source Map文件还原

在这类JS文件下通常会有一个注释：

map文件就是js文件所在目录下，拼接URL即可访问，将其下载下来：

wget http://hostname/static/js/app.fedfe85b2fdd8cf29dc7.js.map

restore-source-tree进行还原：

# -o 参数是指定输出目录，若不适用则为默认的output目录 restore-source-tree app.fedfe85b2fdd8cf29dc7.js.map

成功获得原代码：

Reference

https://yukaii.tw/blog/2017/02/21/restore-source-code-from-sourcemap-file/

动态JS劫持用户信息

Webpack+JSONP劫持

作者：key

注：本文已对敏感信息脱敏化，如有雷同纯属巧合。

前言

在做测试的时候发现一个请求：

POST /user/getUserInfo HTTP/1.1 Host: xxxxx Cookie: xxxx ticket=xxxxx

其对应返回的信息包含了我本身用户的敏感信息：手机号、姓名、邮箱…

通过BurpSuite的插件Logger++搜索发现该ticket值居然出现在了JS文件中：

确定漏洞

通过测试我发现以上所述请求中的Cookie为无效请求头，后端不对齐校验，但对ticket校验，也就说明此处的ticket代表了获取用户信息的关键参数，换种说法：当你知道用户的ticket参数即可获取该用户信息。

判断JS动静态

当我在Logger++插件搜索到ticket值存在JS文件内容时，我的第一想法就是这个JS文件为动态类型，其文件内容跟随用户凭证字段的变化而变化。

测试：删除Cookie字段，结果：ticket参数值消失，由此可以判断该JS内容为动态类型。

再尝试将测试账户A的Cookie字段内容替换为测试账户B的Cookie字段内容，结果：ticket参数值变为测试账户B用户的对应值，由此可以判断该JS文件路径是固定的，并不是动态路径。

Webpack+JSONP劫持

已知JS文件路径为：https://website/app.xxxxx.js

查看其文件内容发现其被Webpack打包过：

那么我们想要劫持这个JS文件内容其实就可以使用JSONP的PoC代码（因为这段JS文件内容就是自定义函数+传入参数）：

<script> function webpackJsonp(data) { alert(data) } </script> <script src="https://website/app.xxxxx.js"></script>

但这样得不到我们想要的ticket值，简单的看了下JS代码，这段JS代码内容的格式是这样的：

webpackJsonp 函数传入两个参数：第一个参数毫无用处，第二个参数传入的值包含了我们想要的ticket值。

那以上代码就可以这样修改：

<script> function webpackJsonp(data, data1) { alert(data1) } </script> <script src="https://website/app.xxxxx.js"></script>

但我们还是没得到我们想要的信息：

因为第二段参数传入的值还需要进行解析，我发现这段值内容就是一段JSON对象，而对象的每个属性都在定义一个函数：

寻找ticket所在函数位置，发现其在jbTV: function...内，知道了所在函数位置，PoC代码只需要这样进行构建：

<script> function webpackJsonp(data, data1) { alert(data1['jbTV']) } </script> <script src="https://website/app.xxxxx.js"></script>

访问，成功获取：

后面只需要稍微的加个正则就可以了～

攻击方式

用户登录状态，访问该漏洞页面，触发即可获取到ticket值，将该值带入以上所列请求中即可越权获取用户信息

结尾

心细一点，漏洞就在眼前，

随着大数据时代的到来，带了很多的便利，但是也带来了更多的风险，作为一名安全行业工作者，对于这种变革更是体会深刻，笔者从事的是金融行业的安全工作，在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。

本系列故事纯属虚构，如有雷同纯属巧合平台实现前的说明小B在给老板汇报了"统一日志分析平台"项目后，老板拍板立

一个栗子 订单表结构如下： CREATE TABLE `orders` ( `id` int(11) NOT NULL AUTO_INCREMENT, `title` varchar(60) NOT NULL COMMENT '订单标题', `status` tinyint(1) NOT NULL DEFAULT '1' COMMENT '订单状态：1 待支付、2 支付中、3 已支付', PRIMARY KEY (`id`) ); 测试数据： INSERT INTO `orders` VALUES

新的一年回过头总会发现时间飞逝的同时伴随着很多感慨，在慢节奏下记录这些感慨汇总成2019的点点滴滴。

Your app security still relies on routers that can reach end-of-life. F5 Labs' Preston Hogue writes for SecurityWeek, discussing the need to think of your entire stack when protecting your apps.

IMAP（Internet Mail Access Protocol）以前称作交互邮件访问协议（Interactive Mail Access Protocol），是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下载邮件等。当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上，使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载，可以通过客户端直接对服务器上的邮件进行操作。----来源于百度百科

目前知名企业邮箱（如腾讯企业邮箱）均支持该协议，许多人喜欢用邮件客户端或者手机收发邮件，则大多数会选择开启该服务。在大多数情况下适用。（文末有脚本下载地址）。

该脚本使用Python开发，2和3版本均可运行。

随着云计算技术对科技行业的重塑性影响之下，其对安全的要求也是具有突破性的，传统的安全思路和产品已经很难适应云的环境。

小爱同学控制homeassistant in 树莓派 by 红外线 前言 租了房子以后一直想搞智能家居自动化各种事情，最近终于腾出空可以搞辣！ 研究了一圈感觉拆开关太麻烦了，零火线还要撬开关，租的房子不敢瞎搞。想了一下可以用arduino/树莓派加上小马达来实现敲击开关，不过自己做的话估计比较丑而且外壳设计这些比较偏工业，我这种纯软件程序员也并不熟悉233 于是又搜了一下，果然有roome和华硕各...

K4YT3X https://k4yt3x.com/%E5%9C%A8-windows-%E5%92%8C-linux-%E7%B3%BB%E7%BB%9F%E4%B8%8A%E7%A6%81%E7%94%A8-llmnr-%E4%BB%A5%E5%8F%8A-netbios/ -

LLMNR 和 NetBIOS 都可以解析本地其它设备的名称解析请求，但是都不验证其回复合法性。这两个服务容易被利用进行 MITM 攻击。此篇文章将会讲解如何在 Linux 和 Windows 系统上关闭 LLMNR 和 NetBIOS。

此篇文章同时是 Network Cookbook 上 《在 Windows 和 Linux 系统上禁用 LLMNR 以及 NetBIOS》 的详解。

标题缩略图来自于此链接。

什么是 LLMNR

LLMNR （Link-Local Multicast Name Resolution、链路多播本地名称解析、mDNS）是一个基于 DNS 格式的名称解析协议。支持 LLMNR 的主机可以在 DNS 服务不可用的时候在本地网络多播 LLMNR 请求从其它支持 LLMNR 的主机解析域名。此协议同样可以让主机解析本地主机域名对应的 IP。

什么是 NetBIOS

NetBIOS（网络基本输入输出系统）是一种目前大多基于 TCP/IP 协议的会话层协议/API。它能够提供名称登录，名称解析等服务。NetBIOS 在 Windows 安装 TCP/IP 栈的时候就会被携带安装，并且默认打开。

为什么要禁用 LLMNR 和 NetBIOS

LLMNR 客户端（请求者）会认为应答是权威的，所以当有客户尝试解析域名的时候，恶意节点可以返回错误信息以至于客户端认为恶意节点的 IP 是域名对应的 IP，或者解析出不存在的 IP。由此攻击又可展开 MITM 以及 replay 等攻击。

具体的攻击实例可以参考以下文章：

• NetBIOS名称欺骗和LLMNR欺骗：该文章展示了使用 Kali 工具 Reponder 进行 LLMNR 和 NetBIOS 欺骗。
• Penetration Testing: How to use Responder.py to Steal Credentials（英文）： 此文章是 Kali 论坛上使用 Responder 进行凭证劫持的详细教程。

LLMNR Windows 禁用方法

使用本地组策略编辑器（gpedit.msc）依次打开如下项目：

计算机配置 -> 管理模板 -> 网络 -> DNS 客户端 -> 关闭多播名称解析

在英文系统中，该项名称为：

Computer Configuration -> Administrative Templates -> Network -> DNS Client -> Turn Off Multicast Name Resolution

接下来，只需要将该 GPO 项目设置为 “已启用” 即可。

Linux (Debian/Ubuntu) 禁用方法

在 /etc/systemd/resolved.conf 文件中，修改或新创建：

1 LLMNR=no NetBIOS Windows 禁用方法

在控制面板中依次：

网络和Internet -> 网络连接 -> 右键想要更改的网卡 -> 选择 “属性” -> 点击 “Internet 协议版本 4 (TCP/IPv4)” -> 点击属性属性 -> 点击高级 -> 点击 WIN 选项卡 -> 勾选 “禁用 TCP/IP 上的 NetBIOS”

Linux 禁用方法

Linux 系统下, Samba （提供了许多 Windows 相关的服务实现）中的 nmbd 服务会响应 NetBIOS 包。如果需要关闭 NetBIOS，可以编辑 smb.conf 文件。该文件在基于 Debian 的系统上位置为 /etc/samba/smb.conf。在该文件中，添加或修改如下行：

1 disable netbios = yes

/etc/init/nmbd.conf 会检查该项是否为 yes，如果该项为 yes，则 nmbd 服务进程不会启动。

- https://k4yt3x.com/%E5%9C%A8-windows-%E5%92%8C-linux-%E7%B3%BB%E7%BB%9F%E4%B8%8A%E7%A6%81%E7%94%A8-llmnr-%E4%BB%A5%E5%8F%8A-netbios/ - 2019-2024 K4YT3X. All rights reserved.

K4YT3X https://k4yt3x.com/%E8%B0%83%E6%95%B4-proxmox-lvm-%E5%AE%B9%E9%87%8F/ -

Proxmox 安装默认会占用整个磁盘，并且无法像 Ubuntu 等发行版一样在安装时调整各 LVM 的容量。此篇文章将会讲述如何调整 Proxmox LVM 的容量。

具体操作

以下三条命令将删除旧的 pve/data LVM 并创建新的容量为 100G 的 pve/data LVM。此命令将会删除分区以及所有数据，所以在使用前请备份数据或确认分区上没有需要的数据。

1 2 3 lvremove /dev/pve/data # 删除 data LVM lvcreate -L 100G -n data pve # 新建新的容量为 100G 名为 data 属于 pve 的 LVM lvconvert --type thin-pool pve/data # 声明 pve/data LVM 为 PVE 的 thin-pool type - https://k4yt3x.com/%E8%B0%83%E6%95%B4-proxmox-lvm-%E5%AE%B9%E9%87%8F/ - 2019-2024 K4YT3X. All rights reserved.

K4YT3X https://k4yt3x.com/%E7%94%A8-gcc-%E7%BC%96%E8%AF%91%E4%B8%80%E4%B8%AA%E5%AE%8C%E5%85%A8%E4%B8%8D%E5%AE%89%E5%85%A8%E7%9A%84%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6/ -

作为安全研究人员，有时需要编译一些完全不安全的二进制文件用来研究缓冲区溢出等漏洞。最新的 GCC 在编译是会默认加上许多安全功能来防止安全漏洞的出现，而为了触发漏洞我们必须关闭这些安全功能。这篇文章将讲述如何编译并运行不安全的 GCC 编译二进制。

GCC 编译开关

GCC 关闭所有安全功能的完整命令如下：

1 gcc -m32 -g -mpreferred-stack-boundary=2 -no-pie -fno-stack-protector -Wl,-z,norelro -z execstack

• -m32： cross compile 成 x86 32 位二进制（可选）
• -g：启用调试功能（可选）
• -mpreferred-stack-boundary=2：将内存对齐到 4-byte
• -no-pie：禁用 PIE（地址无关可执行文件）
• -fno-stack-protector：移除堆栈保护措施
• -Wl,-z,norelro：禁用 RELRO（read only relocation)
• -z execstack：禁用 NX，使堆栈空间内容可执行

此命令参考了 https://security.stackexchange.com/a/216710 中使用的命令。

编译完成之后可以用 Trapkit 提供的 checksec.sh 小工具来校验各安全功能的开关情况。

禁用 Linux ASLR

要使二进制的执行环境完全不受保护，还需要关闭 ASLR（位置空间布局随机化）。使用以下命令关闭 ASLR。注意，使用此命令将会关闭全局 ASLR 并使系统不安全，建议在 VM 中使用此命令。

1 sudo bash -c 'echo 0 > /proc/sys/kernel/randomize_va_space' - https://k4yt3x.com/%E7%94%A8-gcc-%E7%BC%96%E8%AF%91%E4%B8%80%E4%B8%AA%E5%AE%8C%E5%85%A8%E4%B8%8D%E5%AE%89%E5%85%A8%E7%9A%84%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6/ - 2019-2024 K4YT3X. All rights reserved.

2019补完计划

A deep dive into a wide variety of cloud-related security data breaches, both maliciously caused and accidental.

## 2019年度总结 2019年度进度 ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ 100% 2019年要过完了, 博主今年又干了啥呢. 远行 基本没离开过家门 最远

上周看到一些朋友在发青藤云的聊天记录，绕过一个发200块红包。周末的时候就简单做了个测试。
首先使用绕过D盾的webshell，发现被标记为恶意。这就有点意思了。我去看了一下聊天记录的内容，看原理是采用的深度学习的方式。猜测是有监督的方式来实现的（仅为猜测）。我这里绕过的思路采用的是，使用开源程序进行修改，带入一句话后门代码。

记得Phpmyadmin的index.php文件中包含有include ROOT_PATH . $_REQUEST['target'];这样的代码，如果不看上下文，这个妥妥的文件包含漏洞。不过上文有过滤和判断处理，导致无法包含任意文件。我将其修改为包含任意文件。同时保留来一些源码，把影响执行的代码注释掉（因为适应多种环境，适用但文件的情况）。
最终修改的代码如下：

前言 在使用 Laravel 框架进行开发项目的时候，Facades 是一个经常能用到的模块，比如在使用缓存(Cache)、日志(Log) 等组件的地方。 use Illuminate\Support\Facades\Cache; $name = Cache::get('name'); use use Illuminate\Support\Facades\Log; Log::info('this

本系列中的故事纯属虚构，如有雷同实属巧合