【干货分享】看教程学溢出之SEH利用
作为与时俱进的Web狗,不学点二进制安全相关的东西就太狭隘了,所以翻出收藏夹收藏已久的Corelan Team二进制经典系列教程。本篇文章是我在完成这篇教程学习之后,重新总结梳理的记录,结合自己的认识来讲述栈溢出的SEH利用方式。
作为与时俱进的Web狗,不学点二进制安全相关的东西就太狭隘了,所以翻出收藏夹收藏已久的Corelan Team二进制经典系列教程。本篇文章是我在完成这篇教程学习之后,重新总结梳理的记录,结合自己的认识来讲述栈溢出的SEH利用方式。
昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析(好像是他们提交的?),和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞,而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断,而且感觉rest插件配置有点麻烦,就没有跟S2-033这个鸡肋。但是没想到居然还有后续,这次是想偷懒也没得躲了╮(╯▽╰)╭,下面就让我们来看看这个漏洞到底是个什么玩意儿~~
2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。从目前搜索的情况来看,国内开启这个功能的网站不在少数,所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。
在315打假日,知名的Java Web框架Struts2发布了新一轮的安全公告,其中最惹国内眼球的,当属这个s2-29——Possible Remote Code Execution vulnerability,可能存在远程代码执行漏洞。对于这个漏洞我第一时间就是一直在跟踪,但是由于官方透露的细节是在台上,所以这里我只能通过github上代码的变更信息,来猜测这个漏洞点。所以本篇文章仅供各位参考。
2015年12月15日国内各大安全厂商都从国外站点上关注到一条关于Joomla远程代码执行漏洞的内容,原文可以看这里。之后开启了一轮漏洞分析大战,比快,比准,比嘲讽。
而作为对于PHP SESSION序列化机制不怎么了解的我,就兴奋的阅读着各家的分析来学习这个漏洞的原理。虽然这些分析文章帮助我重现了这个漏洞的利用,并且貌似解释清楚了原理,但是,有一个问题我还是没有在这些文章中找出。
前一段时间热炒的Java反序列化漏洞,大家在玩的很嗨的时候貌似忽略了一件很重要的事情——Java在cs架构的设计中使用序列化传输是非常普遍的现象,而在像JBoss这种中间件也使用这种设计。所以,我在一边研究这个漏洞,一边看大家嗨嗨的玩的同时,也很好奇在一些通过Java实现的CS架构应用(比如:大型国企都喜欢用的会计软件、内容发布系统),是不是也会用到Apache Commons Collections这个库。
WordPress核心功能SQL注入漏洞分析
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析
0x00 漏洞概述
2015年6月17日seclists网站上公布了Dedecms的一个远程getshell漏洞细节,造成这个漏洞的原因也有些让人玩味。官方已在2015年6月18日发布了修复版本,下载链接:http://www.dedecms.com/products/dedecms/downloads/
本篇文章将分析这个漏洞的成因,并给出触发利用方法。
要结合上一篇文章一起来看 我第一次知道CVE-2015-1427这个漏洞是在2月13日(春节放假前一天),但是当时想着过年,而且觉得应该是Groovy自身的问题,就也没太在意。知道前两天兰少(lupin)问我有没有看这个漏洞,说他找到了绕过了沙盒的方法,才跑去看。
我跟lupin玩这个洞的思路不太一样,而且漏洞原理在他的文章里已经说的很清楚了,我这篇文章主要侧重这个漏洞利用的各种玩法。
之前有一个想法,想通过学习Android木马的编写来了解Android程序的编写,刚好看到了Bincker给的一个《安卓木马编写教程》。刚照着教程写完了一个入门程序,就无意间在WooYun上发现了Androrat的这个木马,看上去功能挺强大的,就决定来看一看它都是怎么实现各种功能的。
这篇文章对于我整个分析过程的重新整理,一方面为了给自己做个记录,另一方面给想要涉及Android领域的同学先抛一块砖垫脚。
2014年10月15日,德国安全研究者Stefan Horst(SE大神)发布重磅消息,全球三大CMS之一的Drupal核心代码出现SQL注入漏洞。
本着朝圣的心态,我去深入的分析了这个漏洞的成因以及利用。个人感觉这个漏洞可以说是打开了SQL注入的一扇新的大门,因为它直接呈现出预编译方法,并非SQL注入的绝对防御。
而在利用方面,我找到了一种利用这个SQL注入轻松RCE的方法,只需要两个HTTP请求哦!
最近想了解下移动端app是如何与服务端进行交互的,就顺手下了一个某app抓下http包。谁知抓下来的http居然都长这个模样:
POST /ca?qrt=***Login HTTP/1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 821 Host: client.XXX.com Connection: Keep-Alive c=B946D7CF7B9E5B589F8DE6BC9E5DACF08DA6B35DA7A899DCA5AD5A58ADDAD5E66363589EF2D385B1ACACABDAD5E65F63589EF2D3F5B43EA7ACE36DFCA5383EABE7D4F1403E379FF0DEFCAD9FABA7E6E1F243A7AAAC74E380A4A09E6593D3FEA4ABA8ACF0DDF0AEAAB3A7EAE9FBA4A09E5F97D3FEA49EA09E9B97A9A4B69EADE7E1F6B0AC9EA0DA94A95E57609EF2D3B55E659EA0DA94B55F9EB69EDAD5E668689EB6DA98AA6E576E62939DE6A69E616D868CB673636162DAEBE6AEA2ACA2E486F3AD9EA09EA898A0A4B69EABE8E1F3B29EA09EA998A0A4B69EADE3E385AE3DA7ABDB6FF4B93A9F3DEFE3FBA537ACAD77D486AD37ADABE77383B4B4ACB4DAD5E66E9EB69EA886AF634061599F97E6A69E676394D3FEA4ACACACE8E1F4B2ACACACE8E1F4B2AC9EA0DA9CAAA4B69E9EDCD3B269589EB6DADFF4B2ACABACE3E9E675&b=AD178E267CA8666F636D6C54ADC1B3AEAD736574696950776D71A9BEACADA7A8727762A8C0AA67656172736A6D676F706E6369837F726C71A5AAA4756C656963ADC1A6797870615E676E7063666C756CAC7E&ext=&v=alex