Use DNS Rebinding to Bypass IP Restriction

Author:Pocky
Posted at

0x00 前言

在不久前的一个渗透测试中,我遇到一个客户自己实现的代理。这个代理可以用来翻墙,但是由于这个代理搭建在客户内网中,所以同样可以访问内网资源。
报告给客户后,客户予以修复。在之后的复测中,访问内网资源的时候返回 403,只能请求非黑名单 IP 段中的地址。

>>> export all_proxy=http://u:p@proxy_server:1234
>>> curl 10.0.0.1 -v
* Rebuilt URL to: 10.0.0.1/
*   Trying proxy_server...
* TCP_NODELAY set
* Connected to proxy_server (proxy_server) port 1234 (#0)
* Proxy auth using Basic with user 'u'
> GET http://10.0.0.1/ HTTP/1.1
> Host: 10.0.0.1
> Proxy-Authorization: Basic dTpw
> User-Agent: curl/7.51.0
> Accept: */*
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 403 Forbidden
< Content-Type: text/plain; charset=utf-8
< X-Content-Type-Options: nosniff
< Date: Mon, 11 Dec 2016 13:10:23 GMT
< Content-Length: 43
<
Request URL http://10.0.0.1/ is forbidden.

于是利用一般性的绕过方式,比如:

继续阅读Use DNS Rebinding to Bypass IP Restriction

Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

Author:Flanker@腾讯科恩实验室

这篇文章是关于我们在苹果内核IOKit驱动中找到的一类新攻击面。之前写了个IDA脚本做了个简单扫描,发现了至少四个驱动都存在这类问题并报告给了苹果,苹果分配了3个CVE(CVE-2016-7620/4/5), 见 https://support.apple.com/kb/HT207423。 后来我和苹果的安全工程师聊天,他们告诉我他们根据这个pattern修复了十多个漏洞,包括iOS内核中多个可以利用的漏洞。

为了能更清楚地描述这类新漏洞,我们先来复习下IOKit的基础知识。

继续阅读Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

NETGEAR WNR2000路由器栈溢出漏洞分析

翻译: shan2666

原文:https://raw.githubusercontent.com/pedrib/PoC/master/advisories/netgear-wnr2000.txt

摘要:

NETGEAR WNR2000路由器允许管理员在Web界面中执行许多敏感的功能,这些都是通过名为apply.cgi的CGI脚本完成的。通过调用这个脚本,可以更改Internet设置、WLAN设置,恢复出厂默认值,重新启动路由器等。

然而,实际上apply.cgi并不是一个真正的脚本,而是一个函数——在URL中接收到特定字符串时,就会利用HTTP服务器(uhttpd)调用该函数。当逆向uhttpd时,发现通过调用apply_noauth.cgi,竟然允许未认证的用户执行相同的敏感管理功能。

继续阅读NETGEAR WNR2000路由器栈溢出漏洞分析

HG533路由器分析教程之找到硬件调试接口

原文作者:Juan Carlos Jiménez

翻译者:光棍节

原文地址:http://jcjc-dev.com/2016/04/08/reversing-huawei-router-1-find-uart/

本系列教程以华为HG533路由器为例,开展的一系列逆向研究,包括查找调试接口,搜寻固件,数据流跟踪,flash内容提取以及对固件的漏洞挖掘等。

001

图一 华为HG533外观

继续阅读HG533路由器分析教程之找到硬件调试接口

使用Hashcat破解外国字符构成的密码的终极指南

翻译: shan2666

原文:http://www.netmux.com/blog/ultimate-guide-to-cracking-foreign-character-passwords-using-has

0x00 问题描述

最近,在与一位新客户的合作过程中,我们在破解密码的哈希值的时候遇到了很大的麻烦。不久之后,我们获悉这些哈希值是从一些员工的工作站上面收集来的,而某些员工安装了外语输入键盘。无论是基于字典或基于规则的攻击,我们都试过了,但是仍然无法破解这些哈希值,所以,我们只好开始研究如何破解外国字符编码的哈希值。这篇文章是利用hashcat破解外国字符散列值的最终指南,希望当你碰到类似的挑战的时候,本文能给你带来帮助。

继续阅读使用Hashcat破解外国字符构成的密码的终极指南

Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

Author:heeeeen@MS509

0x00 概要

Google 12月的安全公告修复了我们提交的一个Telephony拒绝服务漏洞。

* CVE: CVE-2016-6763
* BugID: A-31530456
* 严重性: 高
* 影响的Google设备: All
* Updated AOSP versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0

0x01 漏洞详情

漏洞位于负责sip账户序列化和反序列化的SipProfileDb.java中。见deleteProfile、saveProfile和retriveSipProfileName等方法,存在目录穿越,mProfileDirectory和Sip profile name(形式为:sip账户@sip主机名)未经检查就直接拼接在了一起,而Sip profile name允许存在包括’/’和’..’等在内的特殊字符,因此本地攻击者可以通过构建包含这些特殊字符的Sip profile name,将sip序列化文件存储于属于radio用户的的任意目录。

继续阅读Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

JSCPWN

Author:KK(.a.k.a @4B5F5F4B)@玄武实验室

0x00 前言

Samuel Groß近日在phrack杂志上发表了一篇关于关于Safari浏览器JavaScript引擎JavaScriptCore的漏洞利用技术论文《Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622》, 文章介绍了作者如何利用JavaScriptCore引擎的相关特性实现对一个越界访问漏洞的利用思路。出于对漏洞本身以及相关利用思路实现细节的好奇,本文作者尝试在不参考原作者所提供Exploit代码的前提下对其分享的利用思路进行“复盘”,通过这一过程不但理解了Exploit的实现细节,并且体会了exploiter在编写Exploit过程中的心路历程。于是特为此文。

继续阅读JSCPWN

一个目录穿越引发的注入 及后续——XG SDK漏洞 回顾与思考

author:小荷才露尖尖角

0x00 简介

XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。