未分类

24 articles

xrkmon-基于ImmunityDebugger的api调用监控脚本

github地址:https://github.com/humblepride/xrkmon

简述

基于调试器Immunity Debugger的一套Python脚本,可以监控API调用、修改API调用参数及结果,可以很方便的解决调试中遇到的很多小问题,在一定程度上提高调试效率。 事实上,在熟悉代码的基础上,可以很容易的添加更多高级的功能。

What is this:

a set of py scripts for Immunity Debugger, to to monitor api calls, modify api rets, etc… u can add function[......]

Read more

apache struts2 最新s2-037漏洞分析

天融信阿尔法实验室  李喆  张萌 李明政

 

最近struts2又爆出了一个新的远程命令执行漏洞s2-037,CVE编号为CVE-2016-4438,天融信阿尔法实验室第一时间跟进了该漏洞,并搭建了相应环境对漏洞进行了复现和分析。

1 struts2 s2-037远程代码执行漏洞介绍

S2-037的漏洞利用思路建立在s2-033的基础只上,还是对method没有进行过滤导致的,漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST插件的Struts2应用,会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有[......]

Read more

ImageMagick 漏洞利用方式及分析

天融信阿尔法实验室 张萌 李喆 黄庆涛 李明政

1 ImageMagick 命令执行漏洞背景介绍

ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布。它遵守GPL许可协议。它可以运行于大多数的操作系统。ImageMagick的大多数功能的使用都来源于命令行工具。通常来说,它可以支持以下程序语言: Perl, C, C++, Python, PHP, Ruby,[......]

Read more

Apache Struts2 S2-032高危漏洞数据采样分析

天融信阿尔法实验室   姜利晓  李喆   崔伟鹏

 

S2-032在互联网上席卷而来,针对于此,特采集互联网的一些数据进行测试,探测次漏洞对网络安全的影响程度:

1 由于google 限制ip和每次查询不能超过1000条记录,针对gov.cn 域名中存在do指纹可查询900条,action 共600条,login.action ,共500条。

通过脚本工具记录完成。

以下可以通过手工查看数据,q是查询条件,start=900代表90页*10条每页,filter=0可以取消一层限制

http://www.google.com/search?q=do+[......]

Read more

Apache Struts2 s2-032技术分析及漏洞检测脚本

天融信阿尔法实验室 张萌  姜利晓 李明政

 

 

天融信阿尔法实验室针对struts s2-032远程代码执行漏洞做了相关的技术分析并提供了批量漏洞检测脚本供大家下载测试。

关于该漏洞的分布和影响,天融信阿尔法实验室正在做相关的数据整理。请进一步关注后续更新。

1 struts2 远程代码执行漏洞背景介绍

1.1 什么是Struts 2漏洞?

Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts[......]

Read more

locky勒索软件恶意样本分析2

阿尔法实验室陈峰峰、胡进

前言

随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀。本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析。

一        样本基本信息

Js下载者:f16c46c917fa5012810dc35b17b855bf.js

外壳:e7c42d7052e59db13d26e3f3777d04af.exe

核心程序:[......]

Read more

locky勒索软件恶意样本分析1

1 locky勒索软件构成概述

前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析。样本主要包含三个程序:

A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1

B PE程序(PE1):外壳程序,主要负责解密内存load PE2。

C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密。

PE1

1

PE2

2-bak

2 locky勒索软件行为分析

2.1 xx.js行为简要分[......]

Read more

struts2漏洞s2-029分析

天融信阿尔法实验室   张萌

一、概述

struts2 029漏洞已经爆出一段时间,网上有一些相关分析,首先,漏洞确定是出现在OGNL解释执行的过程,具体漏洞测试poc网上已经有很多,我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面测试都可以执行,不过修改的安全参数稍微不同。

2.2.1只需要下面几个:

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['allowPackage[......]

Read more

CVE-编号管理机构(CNAs)介绍

1.       关于CVE

CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题(来自搜狗百科)。

CVE 开始建立是在1999年9月,起初只有321个条[......]

Read more

IE漏洞攻防编年简史

本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。

更新记录

2016年01月08日 – 撰写初[......]

Read more