一个目录穿越引发的注入 及后续——XG SDK漏洞 回顾与思考

author:小荷才露尖尖角

0x00 简介

XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。

Android逆向随笔之遇见MultiDex

Author:瘦蛟舞

0x00 Who is Multidex

很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。对于DEX文件,则是将工程所需全部class文件合并且压缩到一个DEX文件期间,也就是Android打包的DEX过程中,单个DEX文件可被引用的方法总数被限制为65536.

继续阅读Android逆向随笔之遇见MultiDex

Redis Lua远程代码执行EXP

Author:boywhp(boywhp@126.com)

前篇:LUA虚拟机逃逸http://drops.wooyun.org/tips/12677

一、概述

Redis服务器支持LUA脚本,通过如下命令行在服务器执行一段lua脚本:

redis-cli –eval exp.lua -h host_ip

Redis服务端实现了LUA沙盒机制,屏蔽了LUA的OS、文件操作等部分危险函数调用,但是未过滤loadstring函数,参考Lua虚拟机逃逸文档,即可实现Redis服务器内存读写操作,进而达成代码执行目的,本文操作测试环境Ubuntu 14.04 x64 + Redis2.8.20

继续阅读Redis Lua远程代码执行EXP

PostScript语言安全研究(一)ImageMagick新漏洞分析

Author:数据流(Flyin9_L)

前言:主流的东西太多了,还是研究一些非主流的语言好玩。PostScript(PS)是一种页面描述性语言,由Adobe开发,后由Apple推进发展。开始是应用于工业印刷绘图排版,现在广泛适用于打印机。虽然PostScript是比较冷门的语言,但与我们比较熟悉的PDF的部分元素也是由PostScript语言编写。利用PS的特性与弱点可对解析器与打印机进行攻击,而一些基础组件例如ImageMagick解析ps文件时会依赖外部解析器,所以也可对IM进行攻击。

继续阅读PostScript语言安全研究(一)ImageMagick新漏洞分析

渗透测试中的Volume Shadow Copy

Author:三好学生

0x00 前言

之前在《导出当前域内所有用户hash的技术整理》中研究过如何通过Volume Shadow Copy实现对ntds.dit文件的复制, 可用来导出域内所有用户hash。而最近在Carbon Black的博客上面又学到了一些新的利用方法,于是整理成文。

学习链接

https://www.carbonblack.com/2015/08/05/bit9-carbon-black-threat-research-team-unveils-nefarious-intents-of-volume-shadows-copies/

继续阅读渗透测试中的Volume Shadow Copy

iOS冰与火之歌(番外篇) – 基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权

Author:蒸米@阿里移动安全

0x00 序

这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS(又称Trident三叉戟)0day漏洞了。为了修复该漏洞,苹果专门发布了一个iOS 9.3.5版本。这个漏洞的厉害之处在于可以直接从沙盒内对内核进行攻击(无需沙盒逃逸),并且同时影响iOS(9.3.4)和OS X (10.11.6)。因此,本篇文章将会从PEGASUS漏洞形成的原因开始分析,然后一步一步教大家写出OS X上利用PEGASUS提权的攻击代码。

《iOS冰与火之歌》这一系列文章的目录如下:

  1. Objective-C Pwn and iOS arm64 ROP
  2. 在非越狱的iOS上进行App Hook(番外篇)
  3. App Hook答疑以及iOS 9砸壳(番外篇)
  4. 利用XPC过App沙盒
  5. UAF and Kernel PWN
  6. 基于PEGASUS(三叉戟)的OS X 10.11.6本地提权 (番外篇)

另外文中涉及代码可在我的github下载: https://github.com/zhengmin1989/iOS_ICE_AND_FIRE

继续阅读iOS冰与火之歌(番外篇) – 基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权

Fuzz第一步:打开Edge的几种方法

Author:Blast

Edge属于Universal App,这类程序不能简单的通过CreateProcess系列函数打开,有人问我打开Edge的几种方式,这里总结一下。如果要给它做Fuzz的话,可以考虑下面三种打开方式去启动Edge。(水了一篇,多多包涵:) )

0x01 第一种方式——ShellExecute


第一种方式,利用系统自动调用默认浏览器的功能,即:

继续阅读Fuzz第一步:打开Edge的几种方法

BlackHat 2016 回顾之 JNDI 注入简单解析

Author:RickGray

(两个多月没产出了,感觉最近身体被掏空~)

BlackHat 2016 (USA) 刚结束不久,作为 Web🐶 的我立马去过了一遍与 Web 相关的议题。Web 相关的议题也不算太多,比较精华的就是 @pentester 大牛的议题 – “A Journey From JNDI LDAP Manipulation To RCE”,其介绍了 Java 中利用 JNDI 进行 RCE 的具体思路和案例,早在今年 1 月时就已经爆出过 Spring 框架的一个 RCE,该漏洞原理最根本就是利用了 JNDI 的注入,反序列化只起到一个触发 JNDI 注入的作用。

本文在学习议题 PPT 的基础上,结合自己的一些理解,按理论基础了解到具体利用实现的一个过程进行回顾。(也是一名不会 Java 的 Web🐶 尝试理解漏洞原理和 EXP 构造的一个记录过程,文章内容如有不当还望指出

继续阅读BlackHat 2016 回顾之 JNDI 注入简单解析

绝对防御之全盘加密与自毁

Author:lxj616

0x00 概述


本文基于Ubuntu 16.04,配置全盘加密的操作系统,设置自毁机制,并简单介绍其原理

说到自毁,有很多人会质疑“自毁”是否属于过度防御,因为全盘加密已经阻止了未授权的访问,还有必要设置自毁机制吗?

加密会提示入侵者数据经过了加密,而自毁可以清除加密数据曾经存在过的痕迹

加密只能拦截入侵者错误的尝试,而自毁可以让你察觉入侵者错误的尝试

加密机制可能被窃听技术攻破,而自毁一旦触发无人能破

继续阅读绝对防御之全盘加密与自毁

细数iOS上的那些安全防护

龙磊,黑雪,蒸米 @阿里巴巴移动安全

0x00 序


随着苹果对iOS系统多年的研发,iOS上的安全防护机制也是越来越多,越来越复杂。这对于刚接触iOS安全的研究人员来说非常不友好,往往不知从何入手。因此,为了让大家能够更加系统性的了解iOS上的安全机制,我们从三个方面着眼:代码签名(CodeSign)、沙盒机制(SandBox) 和利用缓解(Exploit Mitigation),对iOS的系统安全机制做了一个总结。希望能够给大家的学习以及研究带来一定的帮助。注意,以下内容是以最新版的iOS 9.3.4做为标准进行讲解。

继续阅读细数iOS上的那些安全防护