php代码审计之preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞

天融信阿尔法实验室 李喆

这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞,漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。

0×01 漏洞触发原理

preg_replace漏洞触发有两个前提:

01:第一个参数需要e标识符,有了它可以执行第二个参数的命令

02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令,举个例子:

//echo preg_replace(‘/test/e’, ‘phpinfo()’[......]

Read more

PHP安全编码规范之安全配置篇

天融信阿尔法实验室 李喆

因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。

0×01注册全局变量带来的安全隐患

register_globals这个是开启全局注册变量功能,为On是开启,Off是关闭。在开启后带来的安全隐患是巨大的,所以建议关闭。如果在需求上需要开启,在02[......]

Read more

apache struts2 最新s2-037漏洞分析

天融信阿尔法实验室  李喆  张萌 李明政

 

最近struts2又爆出了一个新的远程命令执行漏洞s2-037,CVE编号为CVE-2016-4438,天融信阿尔法实验室第一时间跟进了该漏洞,并搭建了相应环境对漏洞进行了复现和分析。

1 struts2 s2-037远程代码执行漏洞介绍

S2-037的漏洞利用思路建立在s2-033的基础只上,还是对method没有进行过滤导致的,漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST插件的Struts2应用,会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有[......]

Read more

ImageMagick 漏洞利用方式及分析

天融信阿尔法实验室 张萌 李喆 黄庆涛 李明政

1 ImageMagick 命令执行漏洞背景介绍

ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布。它遵守GPL许可协议。它可以运行于大多数的操作系统。ImageMagick的大多数功能的使用都来源于命令行工具。通常来说,它可以支持以下程序语言: Perl, C, C++, Python, PHP, Ruby,[......]

Read more

Apache Struts2 S2-032高危漏洞数据采样分析

天融信阿尔法实验室   姜利晓  李喆   崔伟鹏

 

S2-032在互联网上席卷而来,针对于此,特采集互联网的一些数据进行测试,探测次漏洞对网络安全的影响程度:

1 由于google 限制ip和每次查询不能超过1000条记录,针对gov.cn 域名中存在do指纹可查询900条,action 共600条,login.action ,共500条。

通过脚本工具记录完成。

以下可以通过手工查看数据,q是查询条件,start=900代表90页*10条每页,filter=0可以取消一层限制

http://www.google.com/search?q=do+[......]

Read more

Apache Struts2 s2-032技术分析及漏洞检测脚本

天融信阿尔法实验室 张萌  姜利晓 李明政

 

 

天融信阿尔法实验室针对struts s2-032远程代码执行漏洞做了相关的技术分析并提供了批量漏洞检测脚本供大家下载测试。

关于该漏洞的分布和影响,天融信阿尔法实验室正在做相关的数据整理。请进一步关注后续更新。

1 struts2 远程代码执行漏洞背景介绍

1.1 什么是Struts 2漏洞?

Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts[......]

Read more

习近平在419网络安全和信息化工作座谈会上的讲话要点

中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平19日上午在北京主持召开了网络安全和信息化工作座谈会,他首先表示,我国互联网事业快速发展,网络安全和信息化工作扎实推进,取得显著进步和成绩,同时也存在不少短板和问题。召开这次座谈会,就是要当面听取大家意见和建议,共同探讨一些措施和办法,以利于我们把工作做得更好。

在听取了十位代表的发言之后,习近平做了总结发言,以下是个人梳理的10个要点:

1.     中国互联网大有可为

我国有7亿网民,这是一个了不起的数字,也是一个了不起的成就。我国经济发展进入新常态,新常态要有新动力,互联网在这方面可以大有作为。[......]

Read more

locky勒索软件恶意样本分析2

阿尔法实验室陈峰峰、胡进

前言

随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀。本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析。

一        样本基本信息

Js下载者:f16c46c917fa5012810dc35b17b855bf.js

外壳:e7c42d7052e59db13d26e3f3777d04af.exe

核心程序:[......]

Read more

locky勒索软件恶意样本分析1

1 locky勒索软件构成概述

前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析。样本主要包含三个程序:

A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1

B PE程序(PE1):外壳程序,主要负责解密内存load PE2。

C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密。

PE1

1

PE2

2-bak

2 locky勒索软件行为分析

2.1 xx.js行为简要分[......]

Read more