天融信阿尔法实验室 李喆
这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞,漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。
preg_replace漏洞触发有两个前提:
01:第一个参数需要e标识符,有了它可以执行第二个参数的命令
02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令,举个例子:
//echo preg_replace(‘/test/e’, ‘phpinfo()’[......]
天融信阿尔法实验室 李喆
因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。
register_globals这个是开启全局注册变量功能,为On是开启,Off是关闭。在开启后带来的安全隐患是巨大的,所以建议关闭。如果在需求上需要开启,在02[......]
“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。
本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。
更新记录
2016年01月08日 – 撰写初[......]
近来,我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例:
识别要点:
这封邮件的欺骗程度更高!
By kernux TopSec α-lab
选取无系统硬盘进行说明。
1. 首先在硬盘上安装Windows系统,过程简单,直接光盘启动电脑,或者PE安装,都可以。
2. 安装完成Windows后,开始安装Kali Linux。同样光盘启动电脑,或者U盘启动,进入安装后,具体分区过程如下:
选择Manual后
第一个是Windows分区,后面是空闲空间,在这里建立一个boot分区
再建立一个加密分区,选择Configure encryted volumes
然后开始擦出分区信息,如果是新硬盘[......]
AlphaFuzzer挖掘某通讯软件的内存破坏漏洞
AlphaFuzzer是一款多功能的漏洞挖掘框架,截止到1.3版本,AlphaFuzzer只包含了文件格式的漏洞挖掘框架。从1.4版本开始,AlphaFuzzer增加了网络协议漏洞挖掘框架。
如上图为测试版网络协议框架的界面,数据窗口用于定义数据包的文件格式,与文件格式挖掘框架使用相同的解析引擎。行为窗口用来定义测试时候需要的一些网络行为,支持的api语句有:
Recv:接受数据。
SendAll:发送数据窗口构建的数据。
SendHex:发送指定的二进制数据。
SendTxt:发送指定的文本型数据。
Sleep:系统等待一[......]
一般在进行常规的ring0级别的windows调试的时候都会使用windbg。但是有的时候windbg中断过于频繁,比方说经常会出现这样的场景,需要追踪一个特定的被删除的文件backdoor.exe,backdoor.exe被杀毒软件删除掉了,想观察到backdoor.exe被删除的完整的栈回溯。这个时候使用ollydbg进行追踪下断或者使用官方的监控工具procmon.exe往往是徒劳的。一般来说杀毒软件都是通过deviceiocontrol下发相关的iocode,ring0层的穿越驱动通过解析iocode和它的buffer来确定删除的文件。国内杀毒软件的穿[......]
[......]
文/图 天融信阿尔法实验室 冷风
概述
从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。
[......]