要结合上一篇文章一起来看 我第一次知道CVE-2015-1427这个漏洞是在2月13日(春节放假前一天),但是当时想着过年,而且觉得应该是Groovy自身的问题,就也没太在意。知道前两天兰少(lupin)问我有没有看这个漏洞,说他找到了绕过了沙盒的方法,才跑去看。
我跟lupin玩这个洞的思路不太一样,而且漏洞原理在他的文章里已经说的很清楚了,我这篇文章主要侧重这个漏洞利用的各种玩法。
之前有一个想法,想通过学习Android木马的编写来了解Android程序的编写,刚好看到了Bincker给的一个《安卓木马编写教程》。刚照着教程写完了一个入门程序,就无意间在WooYun上发现了Androrat的这个木马,看上去功能挺强大的,就决定来看一看它都是怎么实现各种功能的。
这篇文章对于我整个分析过程的重新整理,一方面为了给自己做个记录,另一方面给想要涉及Android领域的同学先抛一块砖垫脚。
2014年10月15日,德国安全研究者Stefan Horst(SE大神)发布重磅消息,全球三大CMS之一的Drupal核心代码出现SQL注入漏洞。
本着朝圣的心态,我去深入的分析了这个漏洞的成因以及利用。个人感觉这个漏洞可以说是打开了SQL注入的一扇新的大门,因为它直接呈现出预编译方法,并非SQL注入的绝对防御。
而在利用方面,我找到了一种利用这个SQL注入轻松RCE的方法,只需要两个HTTP请求哦!
在常规的视频通讯中,人们往往需要借助第三方服务器作为中转,比如甲乙两人想要通过视频通信,那么他们需要分别和第三方服务器建立信道,甲和服务器建立一个信道,乙和服务器建立一个信道。这样一来,双方的视频流畅度就会受到和第三方服务器之间的信道带宽的限制,当多人视频时,通讯效率会受到很大的局限。人们希望有一个不借助第三方服务器而能够点对点直接传输视频数据协议,于是有了WebRTC。 WebRTC,名称源自网页实时通信(英语:Web Real-Time Communication)的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的API。它于2011年6月1日开源并在Google、Mozilla基金会、Opera支持下被包括进万维网联盟的W3C推荐标准。 WebRTC主要有如下组件
