Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

Author:Flanker@腾讯科恩实验室

这篇文章是关于我们在苹果内核IOKit驱动中找到的一类新攻击面。之前写了个IDA脚本做了个简单扫描,发现了至少四个驱动都存在这类问题并报告给了苹果,苹果分配了3个CVE(CVE-2016-7620/4/5), 见 https://support.apple.com/kb/HT207423。 后来我和苹果的安全工程师聊天,他们告诉我他们根据这个pattern修复了十多个漏洞,包括iOS内核中多个可以利用的漏洞。

为了能更清楚地描述这类新漏洞,我们先来复习下IOKit的基础知识。

继续阅读Racing for everyone: descriptor describes TOCTOU,苹果iOS/OSX内核中的新型漏洞

HG533路由器分析教程之找到硬件调试接口

原文作者:Juan Carlos Jiménez

翻译者:光棍节

原文地址:http://jcjc-dev.com/2016/04/08/reversing-huawei-router-1-find-uart/

本系列教程以华为HG533路由器为例,开展的一系列逆向研究,包括查找调试接口,搜寻固件,数据流跟踪,flash内容提取以及对固件的漏洞挖掘等。

001

图一 华为HG533外观

继续阅读HG533路由器分析教程之找到硬件调试接口

Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

Author:heeeeen@MS509

0x00 概要

Google 12月的安全公告修复了我们提交的一个Telephony拒绝服务漏洞。

* CVE: CVE-2016-6763
* BugID: A-31530456
* 严重性: 高
* 影响的Google设备: All
* Updated AOSP versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0

0x01 漏洞详情

漏洞位于负责sip账户序列化和反序列化的SipProfileDb.java中。见deleteProfile、saveProfile和retriveSipProfileName等方法,存在目录穿越,mProfileDirectory和Sip profile name(形式为:sip账户@sip主机名)未经检查就直接拼接在了一起,而Sip profile name允许存在包括’/’和’..’等在内的特殊字符,因此本地攻击者可以通过构建包含这些特殊字符的Sip profile name,将sip序列化文件存储于属于radio用户的的任意目录。

继续阅读Android Telephony拒绝服务漏洞(CVE-2016-6763)分析

JSCPWN

Author:KK(.a.k.a @4B5F5F4B)@玄武实验室

0x00 前言

Samuel Groß近日在phrack杂志上发表了一篇关于关于Safari浏览器JavaScript引擎JavaScriptCore的漏洞利用技术论文《Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622》, 文章介绍了作者如何利用JavaScriptCore引擎的相关特性实现对一个越界访问漏洞的利用思路。出于对漏洞本身以及相关利用思路实现细节的好奇,本文作者尝试在不参考原作者所提供Exploit代码的前提下对其分享的利用思路进行“复盘”,通过这一过程不但理解了Exploit的实现细节,并且体会了exploiter在编写Exploit过程中的心路历程。于是特为此文。

继续阅读JSCPWN

一个目录穿越引发的注入 及后续——XG SDK漏洞 回顾与思考

author:小荷才露尖尖角

0x00 简介

XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。

Android逆向随笔之遇见MultiDex

Author:瘦蛟舞

0x00 Who is Multidex

很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。对于DEX文件,则是将工程所需全部class文件合并且压缩到一个DEX文件期间,也就是Android打包的DEX过程中,单个DEX文件可被引用的方法总数被限制为65536.

继续阅读Android逆向随笔之遇见MultiDex

Redis Lua远程代码执行EXP

Author:boywhp(boywhp@126.com)

前篇:LUA虚拟机逃逸http://drops.wooyun.org/tips/12677

一、概述

Redis服务器支持LUA脚本,通过如下命令行在服务器执行一段lua脚本:

redis-cli –eval exp.lua -h host_ip

Redis服务端实现了LUA沙盒机制,屏蔽了LUA的OS、文件操作等部分危险函数调用,但是未过滤loadstring函数,参考Lua虚拟机逃逸文档,即可实现Redis服务器内存读写操作,进而达成代码执行目的,本文操作测试环境Ubuntu 14.04 x64 + Redis2.8.20

继续阅读Redis Lua远程代码执行EXP

PostScript语言安全研究(一)ImageMagick新漏洞分析

Author:数据流(Flyin9_L)

前言:主流的东西太多了,还是研究一些非主流的语言好玩。PostScript(PS)是一种页面描述性语言,由Adobe开发,后由Apple推进发展。开始是应用于工业印刷绘图排版,现在广泛适用于打印机。虽然PostScript是比较冷门的语言,但与我们比较熟悉的PDF的部分元素也是由PostScript语言编写。利用PS的特性与弱点可对解析器与打印机进行攻击,而一些基础组件例如ImageMagick解析ps文件时会依赖外部解析器,所以也可对IM进行攻击。

继续阅读PostScript语言安全研究(一)ImageMagick新漏洞分析

渗透测试中的Volume Shadow Copy

Author:三好学生

0x00 前言

之前在《导出当前域内所有用户hash的技术整理》中研究过如何通过Volume Shadow Copy实现对ntds.dit文件的复制, 可用来导出域内所有用户hash。而最近在Carbon Black的博客上面又学到了一些新的利用方法,于是整理成文。

学习链接

https://www.carbonblack.com/2015/08/05/bit9-carbon-black-threat-research-team-unveils-nefarious-intents-of-volume-shadows-copies/

继续阅读渗透测试中的Volume Shadow Copy