Use DNS Rebinding to Bypass IP Restriction

Author:Pocky
Posted at

0x00 前言

在不久前的一个渗透测试中,我遇到一个客户自己实现的代理。这个代理可以用来翻墙,但是由于这个代理搭建在客户内网中,所以同样可以访问内网资源。
报告给客户后,客户予以修复。在之后的复测中,访问内网资源的时候返回 403,只能请求非黑名单 IP 段中的地址。

>>> export all_proxy=http://u:p@proxy_server:1234
>>> curl 10.0.0.1 -v
* Rebuilt URL to: 10.0.0.1/
*   Trying proxy_server...
* TCP_NODELAY set
* Connected to proxy_server (proxy_server) port 1234 (#0)
* Proxy auth using Basic with user 'u'
> GET http://10.0.0.1/ HTTP/1.1
> Host: 10.0.0.1
> Proxy-Authorization: Basic dTpw
> User-Agent: curl/7.51.0
> Accept: */*
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 403 Forbidden
< Content-Type: text/plain; charset=utf-8
< X-Content-Type-Options: nosniff
< Date: Mon, 11 Dec 2016 13:10:23 GMT
< Content-Length: 43
<
Request URL http://10.0.0.1/ is forbidden.

于是利用一般性的绕过方式,比如:

继续阅读Use DNS Rebinding to Bypass IP Restriction

Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

Author:Flanker@腾讯科恩实验室

这篇文章是关于我们在苹果内核IOKit驱动中找到的一类新攻击面。之前写了个IDA脚本做了个简单扫描,发现了至少四个驱动都存在这类问题并报告给了苹果,苹果分配了3个CVE(CVE-2016-7620/4/5), 见 https://support.apple.com/kb/HT207423。 后来我和苹果的安全工程师聊天,他们告诉我他们根据这个pattern修复了十多个漏洞,包括iOS内核中多个可以利用的漏洞。

为了能更清楚地描述这类新漏洞,我们先来复习下IOKit的基础知识。

继续阅读Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

HG533路由器分析教程之找到硬件调试接口

原文作者:Juan Carlos Jiménez

翻译者:光棍节

原文地址:http://jcjc-dev.com/2016/04/08/reversing-huawei-router-1-find-uart/

本系列教程以华为HG533路由器为例,开展的一系列逆向研究,包括查找调试接口,搜寻固件,数据流跟踪,flash内容提取以及对固件的漏洞挖掘等。

001

图一 华为HG533外观

继续阅读HG533路由器分析教程之找到硬件调试接口

Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

Author:heeeeen@MS509

0x00 概要

Google 12月的安全公告修复了我们提交的一个Telephony拒绝服务漏洞。

* CVE: CVE-2016-6763
* BugID: A-31530456
* 严重性: 高
* 影响的Google设备: All
* Updated AOSP versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0

0x01 漏洞详情

漏洞位于负责sip账户序列化和反序列化的SipProfileDb.java中。见deleteProfile、saveProfile和retriveSipProfileName等方法,存在目录穿越,mProfileDirectory和Sip profile name(形式为:sip账户@sip主机名)未经检查就直接拼接在了一起,而Sip profile name允许存在包括’/’和’..’等在内的特殊字符,因此本地攻击者可以通过构建包含这些特殊字符的Sip profile name,将sip序列化文件存储于属于radio用户的的任意目录。

继续阅读Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

JSCPWN

Author:KK(.a.k.a @4B5F5F4B)@玄武实验室

0x00 前言

Samuel Groß近日在phrack杂志上发表了一篇关于关于Safari浏览器JavaScript引擎JavaScriptCore的漏洞利用技术论文《Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622》, 文章介绍了作者如何利用JavaScriptCore引擎的相关特性实现对一个越界访问漏洞的利用思路。出于对漏洞本身以及相关利用思路实现细节的好奇,本文作者尝试在不参考原作者所提供Exploit代码的前提下对其分享的利用思路进行“复盘”,通过这一过程不但理解了Exploit的实现细节,并且体会了exploiter在编写Exploit过程中的心路历程。于是特为此文。

继续阅读JSCPWN

一个目录穿越引发的注入 及后续——XG SDK漏洞 回顾与思考

author:小荷才露尖尖角

0x00 简介

XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。

Android逆向随笔之遇见MultiDex

Author:瘦蛟舞

0x00 Who is Multidex

很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。对于DEX文件,则是将工程所需全部class文件合并且压缩到一个DEX文件期间,也就是Android打包的DEX过程中,单个DEX文件可被引用的方法总数被限制为65536.

继续阅读Android逆向随笔之遇见MultiDex

Redis Lua远程代码执行EXP

Author:boywhp(boywhp@126.com)

前篇:LUA虚拟机逃逸http://drops.wooyun.org/tips/12677

一、概述

Redis服务器支持LUA脚本,通过如下命令行在服务器执行一段lua脚本:

redis-cli –eval exp.lua -h host_ip

Redis服务端实现了LUA沙盒机制,屏蔽了LUA的OS、文件操作等部分危险函数调用,但是未过滤loadstring函数,参考Lua虚拟机逃逸文档,即可实现Redis服务器内存读写操作,进而达成代码执行目的,本文操作测试环境Ubuntu 14.04 x64 + Redis2.8.20

继续阅读Redis Lua远程代码执行EXP