Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

Author:Flanker@腾讯科恩实验室

这篇文章是关于我们在苹果内核IOKit驱动中找到的一类新攻击面。之前写了个IDA脚本做了个简单扫描,发现了至少四个驱动都存在这类问题并报告给了苹果,苹果分配了3个CVE(CVE-2016-7620/4/5), 见 https://support.apple.com/kb/HT207423。 后来我和苹果的安全工程师聊天,他们告诉我他们根据这个pattern修复了十多个漏洞,包括iOS内核中多个可以利用的漏洞。

为了能更清楚地描述这类新漏洞,我们先来复习下IOKit的基础知识。

继续阅读Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

NETGEAR WNR2000路由器栈溢出漏洞分析

翻译: shan2666

原文:https://raw.githubusercontent.com/pedrib/PoC/master/advisories/netgear-wnr2000.txt

摘要:

NETGEAR WNR2000路由器允许管理员在Web界面中执行许多敏感的功能,这些都是通过名为apply.cgi的CGI脚本完成的。通过调用这个脚本,可以更改Internet设置、WLAN设置,恢复出厂默认值,重新启动路由器等。

然而,实际上apply.cgi并不是一个真正的脚本,而是一个函数——在URL中接收到特定字符串时,就会利用HTTP服务器(uhttpd)调用该函数。当逆向uhttpd时,发现通过调用apply_noauth.cgi,竟然允许未认证的用户执行相同的敏感管理功能。

继续阅读NETGEAR WNR2000路由器栈溢出漏洞分析

HG533路由器分析教程之找到硬件调试接口

原文作者:Juan Carlos Jiménez

翻译者:光棍节

原文地址:http://jcjc-dev.com/2016/04/08/reversing-huawei-router-1-find-uart/

本系列教程以华为HG533路由器为例,开展的一系列逆向研究,包括查找调试接口,搜寻固件,数据流跟踪,flash内容提取以及对固件的漏洞挖掘等。

001

图一 华为HG533外观

继续阅读HG533路由器分析教程之找到硬件调试接口

使用Hashcat破解外国字符构成的密码的终极指南

翻译: shan2666

原文:http://www.netmux.com/blog/ultimate-guide-to-cracking-foreign-character-passwords-using-has

0x00 问题描述

最近,在与一位新客户的合作过程中,我们在破解密码的哈希值的时候遇到了很大的麻烦。不久之后,我们获悉这些哈希值是从一些员工的工作站上面收集来的,而某些员工安装了外语输入键盘。无论是基于字典或基于规则的攻击,我们都试过了,但是仍然无法破解这些哈希值,所以,我们只好开始研究如何破解外国字符编码的哈希值。这篇文章是利用hashcat破解外国字符散列值的最终指南,希望当你碰到类似的挑战的时候,本文能给你带来帮助。

继续阅读使用Hashcat破解外国字符构成的密码的终极指南

Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

Author:heeeeen@MS509

0x00 概要

Google 12月的安全公告修复了我们提交的一个Telephony拒绝服务漏洞。

* CVE: CVE-2016-6763
* BugID: A-31530456
* 严重性: 高
* 影响的Google设备: All
* Updated AOSP versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0

0x01 漏洞详情

漏洞位于负责sip账户序列化和反序列化的SipProfileDb.java中。见deleteProfile、saveProfile和retriveSipProfileName等方法,存在目录穿越,mProfileDirectory和Sip profile name(形式为:sip账户@sip主机名)未经检查就直接拼接在了一起,而Sip profile name允许存在包括’/’和’..’等在内的特殊字符,因此本地攻击者可以通过构建包含这些特殊字符的Sip profile name,将sip序列化文件存储于属于radio用户的的任意目录。

继续阅读Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

JSCPWN

Author:KK(.a.k.a @4B5F5F4B)@玄武实验室

0x00 前言

Samuel Groß近日在phrack杂志上发表了一篇关于关于Safari浏览器JavaScript引擎JavaScriptCore的漏洞利用技术论文《Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622》, 文章介绍了作者如何利用JavaScriptCore引擎的相关特性实现对一个越界访问漏洞的利用思路。出于对漏洞本身以及相关利用思路实现细节的好奇,本文作者尝试在不参考原作者所提供Exploit代码的前提下对其分享的利用思路进行“复盘”,通过这一过程不但理解了Exploit的实现细节,并且体会了exploiter在编写Exploit过程中的心路历程。于是特为此文。

继续阅读JSCPWN

一个目录穿越引发的注入 及后续——XG SDK漏洞 回顾与思考

author:小荷才露尖尖角

0x00 简介

XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。

Android逆向随笔之遇见MultiDex

Author:瘦蛟舞

0x00 Who is Multidex

很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。对于DEX文件,则是将工程所需全部class文件合并且压缩到一个DEX文件期间,也就是Android打包的DEX过程中,单个DEX文件可被引用的方法总数被限制为65536.

继续阅读Android逆向随笔之遇见MultiDex

Redis Lua远程代码执行EXP

Author:boywhp(boywhp@126.com)

前篇:LUA虚拟机逃逸http://drops.wooyun.org/tips/12677

一、概述

Redis服务器支持LUA脚本,通过如下命令行在服务器执行一段lua脚本:

redis-cli –eval exp.lua -h host_ip

Redis服务端实现了LUA沙盒机制,屏蔽了LUA的OS、文件操作等部分危险函数调用,但是未过滤loadstring函数,参考Lua虚拟机逃逸文档,即可实现Redis服务器内存读写操作,进而达成代码执行目的,本文操作测试环境Ubuntu 14.04 x64 + Redis2.8.20

继续阅读Redis Lua远程代码执行EXP