天融信阿尔法实验室 » 冷风

Struts(S2-048)远程命令执行漏洞预警

冷风 — Fri, 07 Jul 2017 14:32:42 +0000

天融信.阿尔法实验室

一、CVE-2017-9791概要

1.1漏洞背景

Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插[......]

方程式最新Windows远程攻击0day漏洞威胁预警

冷风 — Sat, 15 Apr 2017 04:38:03 +0000

阿尔法实验室

一、漏洞情况分析 于2017年4月14日Shadow Brokers泄露出一份机密文档密码为Reeeeeeeeeeeeeee其压缩中包含了多个危害极大的 Windows 远程漏洞利用工具，可以覆盖全球绝大多数的 Windows 系统，只要 Windows 服务器开了135、445、3389 其中的端口之一，有很大概率可以直接被攻击，目前Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用。二、漏洞影响范围

Windows NT Windows 2000 Windows XP Windo[......]

基于taskmgr的应用层进程隐藏技术

冷风 — Thu, 22 Dec 2016 10:00:17 +0000

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩，但是由于win7之后，windows操作系统权限管理之类越来越严格，win7之后加载驱动首先需要管理员权限，另外windows加载驱动同时还需要有微软签发的驱动证书，这对于土八路来说基本是一个无解的难题，基本难以弄到正规公司的签证，同时，逆向windows的签证管理系统工作量太大，目前网上也没有签证伪造技术流传。相对驱动层来说，直接hook的ssdt表或者直接修改内核函数都较为方便，在应用层的话，其原理也是改写功能实现函数，从思路角度说，可以改写taskmgr.exe的txt段，导入表，对dll的[......]

HID攻击之TEENSY实战

冷风 — Fri, 04 Jul 2014 08:38:43 +0000

HID攻击之TEENSY实战

文/图天融信阿尔法实验室冷风

概述从传统意义讲，当你在电脑中插入一张CD/DVD光盘，或者插入一个USB设备时，可以通过自动播放来运行一个包含恶意的文件，不过自动播放功能被关闭时，autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY，你可以模拟出一个键盘和鼠标，当你插入这个定制的USB设备时，电脑会识别为一个键盘，利用设备中的微处理器，与存储空间，和编程进去的攻击代码，就可以向主机发送控制命令，从而完全控制主机，无论自动播放是否开启，都可以成功。

[......]

以人为本，知己知彼再谈APT攻击与防范

冷风 — Thu, 17 Apr 2014 05:18:29 +0000

文/图冷风

为何会有APT？ 2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。在木马病毒泛滥时代的地下经济驱动中，各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中，而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么？

在这里我们聊一聊APT究竟是什么的问题，有一句俗话这么说，要把问题看透，看透就是说，要找到本质，APT的本质是什么？这里可[......]

deDacota:通过自动化分离数据和代码防御服务端XSS漏洞

冷风 — Thu, 17 Apr 2014 01:55:57 +0000

译者：天融信阿尔法实验室宋君易【原创翻译】原文题目：deDacota: Toward Preventing Server-Side XSS via Automatic Code and Data Separation 原文地址：http://cs.ucsb.edu/~adoupe/static/dedacota-ccs2013.pdf Web应用持续受到各种方式的攻击。跨站脚本漏洞是最流行的漏洞之一，产生原因是不被信任的恶意数据通过浏览器提交给应用，并且被解释为程序代码，最终被浏览器执行，造成攻击。本文介绍一种方法可以高效、自动重写应用代码[......]

浏览器安全策略说之内容安全策略CSP

冷风 — Thu, 17 Apr 2014 00:40:49 +0000

作者：天融信阿尔法实验室

[......]