wireshark和威胁分析

TL;DR 前段时间看了一个介绍wireshark和威胁分析相关的议题(视频演讲和pdf见参考链接),现在抽出点儿时间总结和记录一下。 由于工作需要,那段时间搜集和整理了wireshark基本使用和技巧相关资料,但是总感觉不太完整不够深入,直到看到这个议题之后,深深感觉外国佬是真的细,真的强。 wireshark wireshark简述 wireshark主要用在网络故障排查、协议分析、流量统计、威胁发现等方面,是安全、运维、开发等从业人员必备技能之一。wireshark抓取OSI七层协议所有数据包并根据内置规则进行协议解析为友好可读的数据实时展示给用户,也可保存下来留后分析。此外类似的抓包工具还有tshark和tcpdump,但由于tshark和tcpdump都是没有GUI且不够友好所以目前使用wireshark的人更多一些。 过滤器 这里要注意区分一下捕获过滤器和应用显示过滤器,捕获过滤器是有选择性的捕获特定数据包,而应用显示过滤器是在开始抓包之后,过滤显示已经抓到的包。捕获过滤器的优先级更高,它能够避免抓取的数据包过大但也可能会错失一些“重要”数据包。 捕获过滤器遵循BPF(Berkeley Packet Filter)语法 例如 host xxx.xxx.xxx.xxx not ar net xxx.xxx.xxx.xxx/xx dst host xxx.xxx.xxx.xxx port xx ip tcp port xx tcp portrange xx-xx 一些恶意软件的捕获过滤器语句 Blasater Worm: • dst port 135 and tcp port 135 and ip[2:2]==48 Welchia Worm: • icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA Looking for worms calling C2s: • dst port 135 or dst port 445 or dst port 1433 and tcp[tcpflags] & (tcp-syn) ! 阅读全文 箭头
9个评论-3683个浏览
收藏 收藏

CVE-2017-11882及利用样本分析

CVE-2017-11882及利用样本分析 1.本文由复眼小组ERFZE师傅原创 2.本文略微偏向基础,首先介绍了该漏洞的成因,并且分析了该漏洞在蔓灵花,摩诃草,响尾蛇APT组织用于实际攻击活动中的详细调试过程 3.本文全文字数共2234字,图片95张 预计阅读时间14分钟 0x01 漏洞描述 成因:Windows的公式编辑器EQNEDT32.EXE读入包含MathType的OLE数据,在拷贝公式字体名称时没有对名称长度进行校验,使得攻击者可以通过刻意构造的数据内容覆盖栈上的函数返回地址,从而劫持程序流程。 影响版本:Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, Microsoft Office 2016 POC:https://github.com/Ridter/CVE-2017-11882 0x02 漏洞分析 笔者复现及分析环境:Windows 7 Service Pack 1、Microsoft Office 2010、x32dbg、IDA 7.0 EQUATION.exe存在: 设置注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE: Debugger键值为x32dbg路径。 生成POC: 打开该文档,于WinExec()函数处设断: 成功断下后,查看栈中返回地址: 继续向上查看栈,发现调用WinExec()的函数: 通过IDA分析sub_4115A7功能: 跟进sub_41160F查看: 未校验长度,直接使用strcpy()函数,此处应该就是漏洞触发位置。进一步确定具体位置: 于0x411658处设断,重新运行。第二次成功断下后,查看ESI寄存器指向内存内容: 此时ECX寄存器值为0xC,即复制48个字节到EDI寄存器指向内存,而var_28实际大小只有36个字节: 到达函数结束处: 阅读全文 箭头
7个评论-3794个浏览
收藏 收藏

Java代码审计之垂直越权

  垂直越权的业务场景主要是低权限的用户可以访问高权限用户的功能,或者是用户在没有通过认证授权的情况下能够直接访问需要通过认证才能调用的接口或者文本信息。 审计思路   主要原因还是权限校验细粒度未覆盖接口,首先可以通过pom.xml、web.xml或者是相关注解进行一些权限控制措施的定位。例如通过web.xml找到权限过滤器,检查对应的安全控制措施,例如相关的接口进行访问前会对当前会话进行登陆检查等。然后结合实际业务检查是否存在遗漏或者缺陷,这里就是相关Filter、Interceptor以及类似Shiro等权限控制框架等措施的审计了。   如果没有发现相关的权限校验机制或者覆盖面不全的话,那么很可能相关的业务接口就会存在垂直越权问题了。可以从服务端或者view层入手,常见的场景如下: 常见场景 仅对登陆态进行检查   比较常见的权限控制措施是防止非登陆的用户进行业务操作,但是其权限细粒度仅仅覆盖登陆的会话,没有进一步进行细化,例如检查是否是管理员还是普通用户。从而导致越权漏洞的产生。   例如如下接口,主要实现的是管理员通过id重置用户密码的业务,整个过程只需要传入需重置的用户id以及新密码,即可发送对应的邮件给相关用户并完成重置操作。 /** * 重置密码 * * @param id * @return */ @RequestMapping("/resetpwd") public String resetpwd(@RequestParam("id") Long id,@RequestParam("newPwd") String newPwd, HttpSession session) { try { SecurityLoginaccountDto loginAccount = loginaccountService.get(id); newPasswordEmail(loginAccount.getLoginName(), loginAccount.getEmail(), newPwd); loginaccountService.resetpwd(id, CryptographyUtil.hashMd5Hex(newPwd)); PageMessageUtil.saveSuccessMess 阅读全文 箭头
3个评论-3334个浏览
收藏 收藏

什么是“杀猪盘”

杀猪盘,网络流行词,是一种网络交友诱导投资赌博类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。2019年12月16日,该词入选“2019年度中国媒体十大新词语”。不同于其他骗局的“短平快”,杀猪盘最大的特点就是放长线“养猪”,养得越久,杀得越狠。就像现实世界的“酒托”,骗子会包装成某个身份与你邂逅,隔着网线陪在你身边,聊天,倾诉,培养感情,待你充分信任对方后,再引你至博彩网站,“瞬间爆炸完成单杀”。杀猪盘套路第一步,寻找目标首先他们会寻找年龄在30岁以上的成功人士,这个年龄段的人士一般都有经济基础,成功人士对感情有一定需求,所以会符合他们的要求,把这样的男士当做目标。第二步,取得信任骗子会在添加好友之后,频繁与人士聊天,让你对其产生信任,有些骗子甚至会对你关怀备至,与你确定恋爱关系,让你对她的信任更深。第三步,怂恿投资等到关系稳定,骗子便开始怂恿你在她们自制的平台购买股票,大多数人就会试着小额投入几笔,骗子会通过后台操作,让你小赚几笔。第四步,大量投入当你尝到甜头之后,骗子会并声称自己已经掌握了这个股票APP的规律,只要跟着他(她)投资稳赚不赔。这时,你已经深信不疑,便往平台里面大量投入。第五步,无法提现等到受害人投入大量金额之后,看到平台金额并未增加,准备将里面的金额提现,发现提不出来。第六步,销声匿迹再想与对方交涉时,骗子已经消失得无影无踪。等到受害人恍然大悟,发现自己上当受骗后,钞票已经进入骗子的口袋了。 阅读全文 箭头
9个评论-3306个浏览
收藏 收藏

利用屏幕保护程序进行权限维持

0x00:简介 1、屏幕保护程序,当初的设计是为了防止长期屏幕的显示,预防老化与缩短屏幕显示器老化的一种保护程序。 2、攻击者可以利用屏幕保护程序来隐藏shell,达到一定的权限维持。 3、如果想长期隐藏,请作免杀处理 0x01:过程 1、屏幕保护的存放位置 Win32 Win64 2、制作恶意程序 然后放至受孩者的电脑上 (我这里是放到了C盘的tmp下) 3、通过CMD来植入恶意程序(注:本机测试请先备份好注册表) 利用代码:reg add “hkcu\control panel\desktop” /v SCRNSAVE.EXE /d c:\tmp\jjj.exe 投放完毕 4、设置监听 执行exploit 等待一分钟 shell到手 5、通过powershell来植入恶意程序(注:本机测试请先备份好注册表) 利用代码: New-ItemProperty -Path ‘HKCU:\Control Panel\Desktop’ -Name ‘SCRNSAVE.EXE’ -Value ‘c:\tmp\jjj.exe’ 执行前 执行后 投放完毕 MSF设置完监听 执行exploit 等待一分钟 shell到手 0x02:后话 1、就是用户在线使用电脑的情况下,是不会启动屏幕保护程序的,也就是说恶意程序会不起作用。 2、这种程序很容易就会被发现,建议可以做成跟系统相似的屏幕保护程序,便于隐藏。 3、建议做免杀处理 4、敌不动,我动。敌动,我不动 0x00:简介 1、屏幕保护程序,当初的设计是为了防止长期屏幕的显示,预防老化与缩短屏幕显示器老化的一种保护程序。 2、攻击者可以利用屏幕保护程序来隐藏shell,达到一定的权限维持。 3、如果想长期隐藏,请作免杀处理 0x01:过程 1、屏幕保护的存放位置 Win32 Win64 2、制作恶意程序 然后放至受孩者的电脑上 (我这里是放到了C盘的tmp下) 3、通过CMD来植入恶意程序(注:本机测试请先备份好注册表) 利用代码:reg add “hkcu\control panel\desktop” /v SCRNSAVE.EXE /d c:\t 阅读全文 箭头
6个评论-3380个浏览
收藏 收藏

APP测试之安全机制问题及Bypass

APP测试之安全机制问题及Bypass 前言 在一次APP漏洞挖掘的过程中又遇到了之前都会遇到的一个问题今天来讨论一下APP安全渗透测试及漏洞挖掘中遇到的这个问题并进行一些总结,其中有一些方法之前也有许多师傅分享过,这里再次遇到正好想归结到一起,若对移动APP安全机制绕过有兴趣的师傅也能够一起交流或加以补充。 相信也会有很多师傅在挖掘漏洞中遇到以下的几种令人抓头的场景: 等等。 一般情况下在对APP测试时burp抓包需要配置代理和下载安装burp的客户端证书才可以正常的进行下一步测试,但是在HTTPS信任机制和APK自有的安全机制下测试时或许就不是那么容易了,经常会出现网络错误、抓不到包、丢包,无法正常发送请求等情况。主要可以归结为:IOS/安卓系统的固有的信任机制问题,另一方面是APK的SSL证书的绑定、SSL证书双向校验和代理检测问题。 系统固有的信任机制 IOS设备上测试 虽然安装了burp证书但是你会发现有https的数据包仍然无法抓到,仔细深究其实还是信任机制的问题,默认情况下ios系统不会对第三方安装的证书开启完全信任,由此就导致了虽然安装了证书但还是无法抓到https的包。 默认情况下IOS设备的对安装的根证书的完全信任是处于关闭状态,所以要解决以上问题,还需要将该设置为完全信任。 设置好后就可以正常抓包了。 如果前面都没问题排除了系统固有的信任机制问题还是无法正常抓到包这种情况下一般就属于第二种可能了----APK自有的安全机制 APK的安全机制 https协议验证服务器身份的方式通常有三种,一是根据浏览器或者说操作系统(Android)自带的证书链;二是使用自签名证书;三是自签名证书加上SSL Pinning特性所谓SSL pinning即证书绑定。 另外一种是双向认证,客户端与服务端分别存放不同的证书,客户端在通讯时会校验服务端的证书的一致性,反之,服务端在建立通讯前也要验证客户端证书的一致性,验证皆无问题后才建立通讯。 SSL pinning 一般情况下,关于SSL Pinning的反制,主要有两种办法,第一种是反编译APP文件,篡改内部证书信息。涉及到逆向,调试,重签名等 阅读全文 箭头
2个评论-3315个浏览
收藏 收藏
更多

加载中,请稍候

请求超时,点击重新加载

提问
写文章

装饰 推荐专栏

换一换

边信道
杀猪盘
渗透训练营
哈拉少安全小队

装饰 权威推荐

广东省应急响应平台
广东网警
广东省计算机信息网络安全协会
专栏
小密圈

装饰 安全达人

换一换

魁梧的台灯
风中凌乱的汪汪
超级饲养员
别黑凡皇
怕孤独的长颈鹿
个性的乌冬面
celawida