技术文章

48 articles

XZ Utils(CVE-2024-3094) 供应链投毒深度分析

事件概述

近日,微软一名软件工程师Andres Freund公开披露,其观察到liblzma库存在一些奇怪的现象,包括在用ssh远程登录异常及内存错误。经过分析,其确认在liblzma上游组件xz-utils中存在后门代码,后门或可导致攻击者能够在ssh登录认证前,执行攻击者指定的任意代码,可对Linux服务器安全造成严重影响。

综合情况看,这是一起开源软件供应链投毒攻击事件。攻击者伪装成开发者,借更新之名,秘密的向xz-utils中加入后门代码,导致xz-utils中的liblzma易受攻击。

OpenSSH用于SSH登录,广泛部署于基于Linux发行的操作系统中。其默认不依赖[......]

Read more

Linux内核常用保护和绕过技术

  • 1、内核是什么?
  • 2、内核漏洞
  • 3、Linux内核保护与绕过
    • 3.1、KASLR 保护
    • 3.2、SMEP&SMAP保护
    • 3.3、KPTI保护
  • 4、新内核漏洞利用方法
    • 4.1、pipe管道技术
    • 4.2、kernel5.x版本和kernel4.x版本的不同
  • 5、总结

1、内核是什么?

内核是操作系统的核心部分。内核负责管理计算机的硬件资源,并实现操作系统的基本功能。内核是操作系统中最重要的部分,它是操作系统与硬件之间的桥梁。内核可以被看作是操作系统的“心脏”,负责控制和管理计算机系统的所有硬件和软件资源。不同的操[......]

Read more

CVE-2022-21882 Win32k内核提权漏洞深入分析

  • 1、漏洞介绍
  • 2、漏洞影响版本
  • 3、分析环境
  • 4、背景知识
  • 5、漏洞成因
  • 6、利用漏洞的流程
    • 6.1、触发用户态回调
    • 6.2、HOOK回调函数
    • 6.3、修改窗口模式为模式1
    • 6.4、回调返回伪造偏移量
    • 6.5、泄露内核窗口数据结构
    • 6.6、如何布局内存
  • 7、EXP分析调试
  • 8、两种提权方式
    • 8.1、设置token
    • 8.2、修改Privileges
  • 9、补丁分析
  • 10、参考链接

CVE-2022-21882漏洞是Windows系统的一个本地提权漏洞,微软在2022年1月份安全更新中修补此漏洞。[......]

Read more

CVE-2021-33742:Internet Explorer MSHTML堆越界写漏洞分析

  • 1、漏洞背景
  • 2、漏洞简介
  • 3、分析环境
    • 3.1、提取漏洞模块
    • 3.2、关闭ASLR
  • 4、漏洞复现
  • 5、Internet Explorer DOM树的结构
    • 5.1、以文本为中心的设计
    • 5.2、增加复杂性层次结构
    • 5.3、原来的DOM没有经过封装
  • 6、漏洞原理分析
    • 6.1、逆向mshtml.dll中此漏洞的相关类
      • 6.1.1、CSpliceTreeEngine
      • 6.1.2、CTreeNode
      • 6.1.3、CTreePos
      • 6.1.4、CTreeDataPos
        • 6.1.4.1、Tree::Te[......]

Read more

CVE-2021-22205 GitLab RCE之未授权访问深入分析(一)

查看公众号原文

前言

安全研究员vakzz于4月7日在hackerone上提交了一个关于gitlab的RCE漏洞,在当时并没有提及是否需要登录gitlab进行授权利用,在10月25日该漏洞被国外安全公司通过日志分析发现未授权的在野利用,并发现了新的利用方式。根据官方漏洞通告页面得知安全的版本为13.10.3、13.9.6 和 13.8.8。我将分篇深入分析该漏洞的形成以及触发和利用。本篇将复现分析携带恶意文件的请求是如何通过gitlab传递到exiftool进行解析的,接下来将分析exiftool漏洞的原理和最后的触发利用。预计会有两到三篇。希望读者能读有所得,从中收获到自己独特的见解。在[......]

Read more

某mpv播放器因格式化字符串导致远程代码执行漏洞深入分析(CVE-2021-30145)

 

一、背景介绍

mpv项目是开源项目,可以在多个系统包括Windows、Linux、MacOs上运行,是一款流行的视频播放器,mpv软件在读取文件名称时存在格式化字符串漏洞,可以导致堆溢出并执行任意代码。

二、环境搭建

系统环境为Ubuntu x64位,软件环境可以通过两种方式搭建环境。

1. 通过源码编译,源码地址为:https://github.com/mpv-player/mpv/tree/v0.33.0

下载地址为:https://github.com/mpv-player/mpv/archive/refs/tags/v0.33.0.zip

2. 直接安[......]

Read more

Apache dubbo (CVE-2020-1948) 反序列化远程代码执行漏洞及其补丁绕过深度分析

Apache Dubbo简介

 

Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布式的时候,才有dubbo这样的分布式服务框架的需求,并且本质上是个服务调用的东东,说白了就是个远程服务调用的分布式框架(告别Web Service模式中的WSdl,以服务者与消费者的方式在dubbo上注册) 其核心部分包含:

  • 远程通讯: 提供对多种基于长连接的NIO框架抽象封装,包括多种线程模型,序列化,以及“请求-响应”模式的信息交换方式。
  • [......]

Read more

JAVA JNDI注入知识详解

一、前言

在漏洞挖掘或利用的时候经常会遇见JNDI,本文会讲述什么是JNDI、JNDI中RMI的利用、LDAP的利用、JDK 8u191之后的利用方式。

二、JNDI简介

JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。

这些命名/目录服务提供者:

  • RMI (JAVA远程方法调用)
  • LDAP (轻量级目录访问协议)
  • CORBA (公共对象请求代理体系结构)
  • DNS (域名服务)

JND[......]

Read more

JAVA RMI反序列化知识详解

一、前言

在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。

二、RMI简介

JAVA本身提供了一种RPC框架 RMI及Java 远程方法调用(Java Remote Method Invocation),可以在不同的Java 虚拟机之间进行对象间的通讯,RMI是基于JRMP协议(Java Remote Message Protocol Java远程消息交换协议)去实现的。

RMI调用逻辑

3

image-20200506223648108

RMI主要分为三部分

  • RMI Registry注册中心
  • [......]

Read more

相似样本查找引擎研究

目录:

一、概述。

二、基于可变长度特征的相似度。

1、两个字符串之间的相似度(最短编辑距离)。

2、从样本到变长特征。

(1)     强弱hash模型。

(2)     关键字密度模型。

三、基于固定长度特征的相似度。

1、修改的K-means算法。

2、从样本到定长特征。

(1)     基于数据频度的量化。

(2)     基于图片压缩的算法。

四、总结。

五、引用。

一、概述

在日常工作中,病毒分析师经常被要求在样本库里查找相似样本。比如在获得某APT组织的样本的情景下,希望查找其历史版本来确定组织的活动时[......]

Read more