电信光猫破解-烽火科技

作者:Secer 发布时间:September 12, 2016 分类:黑客技巧,原创文章

仅作记录。

型号:烽火科技HG221GS

光猫有个配置文件未授权访问

http://192.168.1.1/cgi-bin/baseinfoSet.cgi

clip_image002

可以看到超管telecomadmin和普通帐户useradmin的密码

通过JS还原一下密码

var s= "120&105&112********"; //TELECOMPASSWORD的密码,已打码

for(var i in s){ res+=String.fromCharCode(s[i]);}

alert(res);

得到密码,使用超管帐户登录光猫

记得关掉DHCP,不然和PPPOE冲突,然后去掉配置同步更新

来到宽带设置->网络连接->连接名称:2_INTERNET_R_VID_1045

连接模式路由改成桥接

clip_image002[4]

Burpsuite之Burp Collaborator模块介绍

作者:Secer 发布时间:July 30, 2016 分类:Web安全,黑客技巧

Burp Collaborator.是从Burp suite v1.6.15版本添加的新功能,它几乎是一种全新的渗透测试方法。Burp Collaborator.会渐渐支持blind XSSSSRFasynchronous code injection等其他还未分类的漏洞类型。

本文主要介绍使用Burp Collaborator.对这几种类型漏洞进行探测。

概念:In-band attackout-band attack(带内与带外攻击)

首先介绍两个概念,带内与带外的区别核心在于是否使用不同的通信通道。

在一次攻击当中,只有一条通道,属于in-band(带内)攻击:

clip_image001

现在同一次攻击下,不止一条信道,则属于out-band(带外)攻击:

clip_image002

常规web测试模型

简单的讲,常规的web测试模型就是我们向目标发送payloads,然后分析目标返回的数据。

clip_image003

这个模型很容易建立并且容易理解,但是这个简单的模型漏掉很多bugs,比如:

§ “super-blind” injection。”blind SQL injection”表示当一个payload破坏了正常的sql查询然而应用程序返回的内容没有任何有帮助的错误信息。但是在有些情况下,一个成功的注入在目标应用的返回里面是完全看不到区别的,意思就是,不论返回的内容还是返回的时间,都没有任何区别。举个例子,注入asynchronous logging function就是一个典型的情况

§ 需要存储数据的情况。比如存储型xss理论上通过先提交payloads然后观察返回值是可以发现的。但是其他的存储型bugs很难发现,比如,stored (or second-order) SQL injection,数据先是以安全的方式存储在数据库中,然后再从数据库取出再拼接sql语句。要使用常规渗透模型发现这种漏洞,我们需要爆破每一种请求的组合,要先发送第一个request请求,然后在发送第二个request请求,然后观察返回值。

§ 我们还会漏掉一种漏洞,一次成功的攻击只发生在应用内部,对攻击者是不可见的。比如,存储型xss攻击成功要求管理员访问管理地址。

§ 还有很多涉及到内部系统与外部资源交互的情况,比如SSRF和RFI等漏洞。

加入Burp Collaborator后的web测试模型

Burp Collaborator 给传统web测试模型添加了一个新的部分,Burp Collaborator的功能有:

§ 捕捉由Burp发出的payloads触发的目标与外部系统发生数据交互行为

§ 把Burp Collaborator与目标数据交互行为产生的返回数据传回攻击者

§ 对很多新型漏洞进行可靠的探测。 clip_image004

Burp Collaborator模块包含如下特征:

§ Burp Collaborator 服务器通常运行在公网上。

§ 它使用自己的专用域名,并且这个服务器已注册为该域名的权威DNS服务器。

§ 它提供一个DNS服务,可以响应任何对他的dns请求

§ 它提供HTTP/HTTPS 服务,使用一个有效的SSL证书

§ 将来可以添加其他的服务,比如smtp和ftp。

探测external service interaction(外部服务交互攻击)

与外部服务交互行为发生在一个payload提交到目标应用上,导致目标通过某个网络协议和一个外部的域名进行信息交互。

clip_image005

这种行为有时候被称为SSRF,我们更偏向于称之为外部服务交互(”external service interaction”)攻击,因为这种情况里面,很多行为不仅仅通过HTTP协议触发,还有SMB或者FTP等。

外部服务交互可以代表一个严重的漏洞,因为他可以允许应用服务器作为一个代理来攻击其他的服务器。这包裹公网上面的第三方系统,同一个组织下的内部系统或者监听在本地的服务。根据网络结构,这可以将内部容易被攻击的系统暴露给外部的攻击者。

阅读剩余部分...

为什么这么多创业公司都在做“蜜罐”?也许这篇文章能告诉你

作者:Secer 发布时间:July 21, 2016 分类:黑客技巧

前言

信息安全发展到了今天繁荣的程度,传统的安全还是靠静态的特征码的方式来识别攻击,但是伴随着新型的APT攻击的出现,很多企业才意识到传统安全技术手段已经无法满足对内部威胁的及时发现,于是,很多传统的安全公司大佬都开始转战使用动态沙箱技术来解决问题,有卖设备型的例如Symantec ATP硬件配合终端的SEP构成、有360安全卫士联动威胁情报的方式,来探测未知威胁,当然这种方式主要是针对APT攻击的第一个环节,你黑客通过社会工程学的手段得到用户的信息,使用网络钓鱼或者水坑攻击的方式进入企业内网个人PC。但是要拿到有价值的内部敏感信息,黑客需要进一步部署攻击链,包括获取凭证、内网资产扫描等探测工作,因为很多行业包括金融机构是不允许在业务服务器上安装安全解决方案的,甚至配置日志系统都不可以,那么,目前部署蜜罐是最好的解决方案了。

那么研究蜜罐解决方案,我们目前更关注的有以下几个方面:

开源蜜罐和商业蜜罐区别?

到底蜜罐是否需要大数据分析(机器学习算法)?

蜜罐创业商业模式如何?

现有产品分析

本节介绍包括开源蜜罐分析和国内外商业蜜罐分析。

开源蜜罐按照类型可以划分为以下几种:

数据库蜜罐(典型案例:ElasticSearch Honeypot

ElasticSearch Honeypot:看了一下源码,发现是使用go语言实现的几个fake函数

Fake banner:访问根目录时候,返回函数

FakeNodes:访问/Nodes目录时候,返回函数

FakeSearch:访问/Search目录时候,返回函数

hpfeedsConnect:使用hpfeed协议通讯

发现都是伪造的函数返回,这样很有可能被入侵者发现是蜜罐,所以建议使用原始软件版本加patch的方式完成蜜罐记录功能,当然研发投入也比较大。个人建议模拟以下Elastic search漏洞:

ESA ID

CVE Link

Vulnerability Summary

ESA-2015-08

CVE-2015-5531

Elasticsearch versions from 1.0.0 to 1.6.0 are vulnerable to a directory traversal attack.

ESA-2015-06

CVE-2015-5377

Elasticsearch versions prior to 1.6.1 are vulnerable to an attack that can result in remote code execution.

ESA-2015-05

CVE-2015-4165

All Elasticsearch versions from 1.0.0 to 1.5.2 are vulnerable to an attack that uses Elasticsearch to modify files read and executed by certain other applications.

ESA-2015-02

CVE-2015-3337

All Elasticsearch versions prior to 1.5.2 and 1.4.5 are vulnerable to a directory traversal attack that allows an attacker to retrieve files from the server running Elasticsearch when one or more site plugins are installed, or when Windows is the server OS.

拿漏洞ESA-2015-08目录列举漏洞举例子,创建仓库,elasticsearch 解析出现了异常,并返回了读取文件的内容,以后都是读取的/etc/passwd 文件的内容。那么这个蜜罐怎么做呢?应该把文件变更记录做好,然后使用原始版本以patch的方式记录登录、RESTful API提交记录,这个使用真实服务模拟的研发投入也比较大。

Web蜜罐(典型案例:Glastopf)

漏洞类型仿真

未知的攻击

支持多种数据库类型

HPFeeds通讯

过内置的沙箱PHP远程文件包含,本地文件包含通过POST请求

通常对手使用搜索引擎和特殊制作的搜索请求找到他们的受害者

模拟SQL注入、爬虫响应等。

如果要是我做,还是要结合WAF精细化攻击数据。因为正常和不正常的URL访问太多。

服务蜜罐(典型案例Kippo)

伪装文件系统

• 伪装用户文件存储

•    Sftp子文件系统 上传文件存储

• 模拟一些特殊的黑客关心的文件/etc/passwd

伪造系统命令

• 文件上传下载命令 sftp、scp,同时支持客户端wget/curl命令解析

•    SSH交互执行的命令(黑客入侵常用命令):w\exit\cat\uname\chmod\ps\cd

伪装系统相关配置

•    Hostname

•    SSH服务指纹

•    SSH账号和密码

•    SSH key

与外部威胁情报联动

• 连接IP白名单威胁情报

• 上传可疑文件内容检查威胁情报

日志大数据处理

• 支持elastic search日志导出

SSH蜜罐目前开源解决方案比较成熟,但是还是缺乏BASH内部命令审计和文件变更审计。。。。

工控蜜罐

这个不在我们讨论的范围,工控有致命的弱点,通讯协议本身没有加密,Wireshark完全透视,我觉得,还是把工控防火墙做好,然后再想蜜罐的事吧。

其它蜜罐(典型案例:RDPY)

RDPY:RDPY是基于Twisted Python实现的微软RDP远程桌面协议。RDPY支持标准的RDP安全协议,通过SSL或者NLA加密验证(或者通过nltmv2验证协议)其子项目rdpy-rdphoneypot是一个基于RDP的蜜罐。使用会话场景记录并通过RDP协议来重放会话场景。

阅读剩余部分...

特殊条件数据传输

作者:Secer 发布时间:April 8, 2016 分类:黑客技巧

0x00 借问酒家


有什么东西想拿却拿不出来?不妨开开脑洞。

clip_image001

缘起是2014年底的时候看到金山做的在线恶意代码分析系统“Fire eye”(https://fireeye.ijinshan.com/)。感觉很新鲜,丢了自己攒的几个样本丢了上去,分析的结果还算可以。从分析报告来看,它也是一类沙箱检测工具,把样本丢到虚拟机里跑,再在虚拟机内外布控,监测样本的各种行为,最后生成分析报告并给出判断是否恶意样本,分析报告里还包含样本运行时的截图。

clip_image002

0x01 柳暗


于是我开始有点好奇,这个沙箱大概是个什么样的,于是自己写了一些小的检测程序丢进去,把环境变量、系统信息、网络配置、进程列表、服务和驱动什么的读出来显示在窗体上,这样从分析报告里的样本截图就能读到这些信息了。

嘛,这里先说一下,本人并不会挖漏洞和逆向,说来惭愧,大学时候的汇编都是补考才过的。就是个小小的.net码农而已。

然后我在系统环境变量里发现一个别的地方没有的玩意:%FEKERNEL%,指向c:\mon\文件夹,想来应该是“FIRE EYE KERNEL”,即包含沙箱内部监控程序的核心文件夹。

有了这个发现自然不会放过,另外专门编写了程序去枚举和读取FEKERNEL里的东西,然而发现只要碰了那个文件夹,样本分析报告就会被隐去大部分内容,和FEKERNEL文件夹直接和间接(比如复制出来之后再读取复制的文件)相关的内容都被删掉了,想来应该是做了某种自我保护。只有读取文件夹大小的操作没被拦截。

0x02 花明


不过既然有了目标,路就好找了。试了几次找到了绕过保护的办法,成功读取到了FEKERNEL里的文件并把详细信息。下一步当然就是如何拿到里面的东西咯。

里面是大概几十MB的二进制文件,有EXE有DLL有SYS甚至还有PDB,估计是开发人员方便调试直接把符号文件也一起扔里面了。这么多东西怎么拿出来呢?最初的想法是通过网络传出来,然而沙箱的网络和互联网是不通的,对用户的唯一输出仅限样本分析报告。

然后我发现早几年前有人通过编写样本在注册表里写入HTML代码内容的键值在分析报告页面成功实施了XSS,觉得这个思路是可行的。然而几十MB的东西即便压缩成十几MB再按BASE64编码,写到一个监控程序会监控的地方,仍然没法全部拿出来,因为太多了。就算画在窗体上也…………

……慢着,画在窗体上?

脑袋灵光一闪,这办法可以啊!我先想到的是把BASE64串按能分辨的最小字号写在窗体上,然后进一步想到干脆利用窗体上的像素,一个像素表示一个字节,然后直接想到干脆一个像素用RGB分量存储三个字节,这样可输出的数据量就成几何级数上升。稍微计算了一下,按最高密度的数据传输方案,一个窗体能被截图下来的最大面积足够“画下”压缩过的完整目标数据。

思路有了,东西直接就搞出来了。由于FE只能上传单个可执行文件样本,于是把所有用到的东西打包成一个自解压RAR,并附带解压后执行脚本,先绕过保护读取到FEKERNEL里的所有内容并复制到另外的位置,然后用自带的WINRAR.EXE通过命令行将其压缩,最后把压缩包以二进制打开,把内容“画”在自己窗体上。

clip_image003

这样我就顺利拿到了FEKERNEL里的所有东西。当然这还得感谢FE在处理样本截图的时候没有做任何有损压缩,虽然是JPEG格式。

这个漏洞我已在去年提交给乌云:火眼恶意代码分析系统自保机制绕过导致二进制泄露

0x03 又一村


总结:如果有什么东西你知道在哪,但没法直接拿到,不妨冷静分析一下:

1. 你能控制的输入因素有哪些;

2. 阻拦你拿到数据的限制因素有什么,有没有绕过的办法;

3. 你能拿到的输出数据有哪些,其中哪些可以通过输入数据直接或间接控制,哪些输出数据包含的信息量最大。

综合考虑这三方面因素,并仔细分析,就不难达成目标了。