抵御網絡釣魚*1，来自尼日利亞的🎣BEC組織長期針對全球實施電子郵件釣魚活動，研究发现，至少從2014年以前

抵御網絡釣魚*1，来自尼日利亞的🎣BEC組織

長期針對全球實施電子郵件釣魚活動，研究发现，至少從2014年以前就開始，尤其偏愛針對CN具有跨境业务、外貿商務的公司企業，開展釣魚攻擊。

BEC 釣魚攻擊簡要流程圖：

图0：BEC Cyber Phishing Attack Process

BEC 常用釣魚郵件文案類型：

图1：伪冒順丰速运

图2：伪冒领英邀请

图3：伪冒管理员终止邮箱账户

图4：伪冒商业活动

图5：伪冒Alibaba发送邀请

图6：伪冒邮件升级

图7：伪冒密码确认

图8：伪冒WeTransfer确认

图9：伪冒SFf发票开具

Hi，Everyone！

This is from N10 Phishing LAB，We are devote Phishing Hunting from today！

We detected and analyzed many Email Phishing Attack in 3 years，these Group from different country or regions，we will expose these attack tech and continue to help Goverment and Enterprise defend. We are back

大家好！

來自N10網絡釣魚實驗室，從今天開始我們致力於網絡釣魚狩獵！

我們在3年內檢測並分析了許多來自不同國家或地區的電子郵件網絡釣魚攻擊，我們將揭露這些攻擊技術並繼續幫助GOV和企業防禦。

陌上花开，缓缓归矣

阅读原文

跳转微信打开

介绍两种实战中碰到的案例！！第二种案例自己瞎折腾的，结果......

几个月前看到国外的bug bounty tips在传Host攻击技巧，前阵子又看到国内有不少文章总结，冷渗透就不再复述了，直接介绍实际业务场景中碰到的案例。

0x01 自定义Host—窃取Token

1. 找到重置密码处，填写任意一个受害者邮箱帐号，点击发送-Burpsuite抓包

2. 修改Host为自己搭建的HTTPS服务器47.xx.xx.47

只需要修改Host的值

（注意一点：看图片右上角，目标服务器是https，所以攻击者的服务器47.xx.xx.47也需要事先启一个https的服务器）

 放行数据包

3. 电话/邮件/短信等社工受害者

随便举个栗子:

“为了保障账号的安全，请及时定期修改密码，系统已为您发送重置链接，请及时查看邮箱查收”

受害者打开邮箱

 可以发现，这里收到的链接，是47.xx.xx.47

（上一步骤中攻击者自定义的Host值）

点击重置密码链接

此时受害者可能一脸蒙b

因为返回的是攻击者服务器的内容

会引起怀疑？没关系，我们已经拿到了Token

5. 攻击者查看47.xx.xx.47服务器

我使用的是python3 快速启动一个简易的https服务器

（你们可以试试python3启https）

成功获取到了重置密码链接的Token值

6. 攻击者拼接原始IP/域名为正确重置密码链接🔗

https://10.10.20.153/reset_password/Ik4xMHRoIg.Xyqm4xxxxxxxxxxxxxxxxxxx

访问URL

攻击者填写任意的新密码

图：重置密码页面

点击发送，即可成功重置用户密码

至此，完成账户入侵！

希望有用

————————————————————

以下内容明天再继续！

0x02 畸形Host—服务端缓存中毒

虽然漏洞超简单，而且评级只是中危

不过后来，用这个攻击方式

在一次秘密众测中，发现目标范围存在一大堆此类缺陷

获得了*K的赏金，也算是一个小惊喜~

闹了个乌龙

最开始误以为是F5设备的问题，

就简单写了一个英文的paper报送给官方

后来发现貌似并不是哈哈

打算明天再更

阅读原文

跳转微信打开

《冷渗透》背景故事：首先解释一下，消失的几个月去了哪————————

0x01 背景故事

首先解释一下，消失的几个月去了哪

————————————————

    Halo everyone, I am soooo embrassed that I have a long time no update my  Official Accounts. 😶Maybe you have been disappointed to me, but you don't konw what happend for me. I experienced a vary life in the past half year, for instance: track a threat actor in the DeepWeb👥, assist the Ministry of Public Security👮, join a big activity about protecting  our country and so on. 🌇Last but not least, the above are all my excuses, I am lazy, so I just wanner enjoy my life. hahaha~ But don't worry, I can adjust myself so that  write and share all my little rubbish hacking technology to you. just hope is useful to you. thx! 💯

—————————————————

碍于面子，就不用母语解释了哈哈

总结：去了黑暗一趟，带回一片面包

0x02 正文开始

目标：大型传统行业单位C集团

情况：拥有多名蓝队防守方，明面资产已被多次排查

1. icon_hash技巧查找隐形资产

其实这个小技巧相信现在蛮多人知道了，最早是去年在国外的hack圈流传，当时是国外的漏洞赏金猎人用来做资产搜集，进一步挖掘隐形资产的漏洞。期间这个技巧，我用在溯源上，挖掘到了一些重要威胁情报，言归正传。

①将单位C集团的网站各种代表性的favicon.ico图标文件donwload下载到本地，再计算其hash值，丢到fofa/shodan等搜索引擎查找资产。

所谓icon图标文件

比如百度的ico：

2. 发现后台登录界面，爆破无果

找到单位C的两处隐匿资产：21x.xxx.xxx.198 和 21x.xxx.xxx.194，发现两个资产都是相同界面的系统，如下图所示：

网站使用vue.js搭建，一些小伙伴看到这种系统无从下手

因为没有什么可利用的漏洞。

粗糙一点：手动尝试几个弱口令admin/123456等，失败

蛮狠一点：尝试直接弱口令账号500/密码6000，打开burpsuite 选择cluster bomb模式爆破。失败

细腻一点：翻21x.xxx.xxx.194系统网站的JS文件（记住这里我们翻的是194的系统资产）

一般来说找两个东西：

①Key密钥和账号密码等敏感信息

②URL路径和各种api端点

手工翻阅效率太低，使用JSFinder.py工具

提取了一大堆的URL

再利用http_title工具扫一下，快速排查404、200和301等URL，如下图所示

一堆404状态码，没有可利用的URL端点

再细腻一点：上文说到过，两个一样的系统资产21x.xxx.xxx.198 和 21x.xxx.xxx.194，这里21x.xxx.xxx.194的系统没有找到可利用的东西，继续尝试找21x.xxx.xxx.198。

4. 细心有惊喜，发现一处api端点，如下图所示

打开泄露大量的用户名和账号密码（截图未保存）

（但密码加盐处理了，且不知道加密方式，非前端加密）

尝试找师傅帮忙

试了几种典型的加解密方式，未果

兜兜转转回到原地

5. 二次爆破，峰回路转

结合泄露的用户名进行密码爆破，爆破出多个账号的密码均为Password1

（ps: 以下内容部分不能贴图了，当时未保存下来，只能介绍思路）

6.成功登录系统后台，毫无收获

用其中一个账号密码：xinming.zhang/password1进入后台后

①找文件：没有找到敏感数据

②试上传：发现有上传接口，白名单机制且不解析

③换账号：更换多个账户，均没有敏感数据

兜兜转转又回到原地....

7. 组合漏洞，深度利用

写到这我都累了，当时更心累

实战中讲究心态

怎么能轻言放弃

仔细排查每个账户的功能，终于在20多个可登录后台账户中，发现了一个账户，在其：“监测-提醒”中，隐含了一个发送邮件提醒的功能。（截图未保存）

刚好这时候，我们准备进行钓鱼攻击

伪造域名，并搭建了一个该单位使用的邮件系统钓鱼网站

但经过测试发现，使用普通的邮箱是无法正常投递钓鱼邮件

原因是被网关拦截了！

推测网关做了白名单机制，即只允许接收本集团邮箱域名的邮件

于是我想到上文中，挖掘到后台的“邮件提醒”功能

是否可以组合起来利用！

8. 山重水复疑无路

但又遇到了一个困难，

这个邮件提醒功能，只能选择收件人

除此之外，并无其它可以输入的地方。

于是想到抓包，尝试纂改数据包试试

（历史截图）

分析发现

我可以篡改的地方有：收件人、发件标题和时间日期

但无法完全篡改发件内容！

什么是无法完全篡改呢？

系统在服务器后端采用了硬编码发件内容

如下图所示：

原始固定邮件内容：

测试篡改邮件内容：

发现我无法消除硬编码区域的内容。

但如果这么发送钓鱼邮件，很明显会容易引起警惕！

9. 柳暗花明又一村

这里用到了一个技巧，做到了完全“消除”硬编码的内容

有师傅告诉我，<script>标签

可以在收件箱的邮件中隐藏掉硬编码的内容！

编写话术文案+格式排版，如下图所示：

图：伪造邮件的payload

利用了<a>标签和图片超链接

话术诱导受害者点击

从而跳转到钓鱼网站

如下图所示

图：受害者接收的邮件（打码严重）

钓鱼网站就不给你们看了。

接下来就需要发送钓鱼邮件了

那发送给谁呢？

10. 回归本质—信息搜集

这里介绍一个平时做威胁情报用到的接口

可以帮我们快速的查找指定域名的邮箱账号和子域等

比如查下cia[.]gov

当然，实战中不能这么简单了事。

我打了他们的一个供应商平台

利用供应商平台在Github的信息泄露

>拿到 测试系统的管理员账号密码

>登录  测试系统

>现场挖掘测试系统漏洞

>发现一处api 未授权访问的接口，可以获取注册人的邮箱账号信息

>利用此漏洞，打该供应商用于单位C的生产系统

>成功获取单位C集团的邮箱账号，员工职业，姓名等精准信息

如下图所示：

图：未授权接口泄露的信息

ok, 万事俱备

此时     真想说一句：

二营长，把我的迫击炮拉过来！！！

拉个锤子，前辈的经验告诉我

所有的实战，要以尽可能小的动作，来达到我们的目的。

所以，不能批量发钓鱼邮件！！

筛选出了一些信息安全意识薄弱的部门员工，进行钓鱼投递

最终成功窃取到了单位C集团员工的邮箱账号密码

“鱼儿”上线结果示例：

发现这密码真是复杂，大小写字母+特殊字符+数字

后面就转交专业选手了。

至此，完成组合漏洞利用 + 供应链初步攻击！

“宇宙间最渺小的星宿，一样有着惊人的力量”

你可以看到，其实再小的漏洞，一旦组合利用起来

也可能会触发意想不到的的结果

0x03 实战总结

1. icon_hash寻找隐形资产

2. JS文件暴露URL端点，其中一处api泄露明文账号和加密的密码

3. 使用泄露的账号，组合6k+字典爆破出密码Password1

4. 通过登录后台，翻阅多个账号，找到一处较高权限用户

5. 利用其隐藏的邮件提醒功能，通过抓包分析，隐藏硬编码内容，最终成功篡改邮件内容

6. 搭建钓鱼网站，打供应商，搜集精准信息，小动作发送钓鱼邮件

实战中，细心，耐心，运气缺一不可！

我是一个小菜ji， 并不会RCE/Getshell等高级的技术

能为圈子的师傅们分享的也只有这些

希望有用！

Peace&Love

                                        ——N10th九号

阅读原文

跳转微信打开

Long time no see.

嗨！

老朋友们，好久不见

-------------------------------------

首先请允许我感慨一段

从5月底至今，

无论是工作职业   

还是感情生活，

都经历了很多事情。

我不知道，这次是以怎样的姿态回来。

但很幸运，依然满怀希望，踽踽前行。

-----------------------------------------

在这期间，探到了网络中比较深地方。

想给大家分享的东西

主要是偏思路类型的隐秘技巧，比如

一个冷门的侦察溯源技巧

一个针对通用web的小工具

...

可如果毫无保留地

还原整个case场景，

会有一些危险因素。

所以，我还需要琢磨一下

如何写这个paper。

如果你有任何好的建议或想法，

出门右拐，趁着旁若无人，进后门（公众号后台）

我们 暗中联系 (●'◡'●)

阅读原文

跳转微信打开

一个安全界的小众领域

公众号新增一个板块——业务安全情报

0x01 架构划分

公众号架构划分如下

0x02 面向对象

主要面向对象：

①金融、航司、购物、社交、直播视频等带有活动类业务的甲方企业

②风控/业务安全人员

③白帽子

④有关单位人员

0x03 黑灰产和黑客

了解一下业务安全层的黑灰产结构划分

现在我们再对 基础安全+业务安全  生态

进行简单画像划分

所以你会发现，其实这二者之间是会有交集的。

0x04 目的意义

1. 安全理解

基础安全部门+业务安全部门

所以公众号从一开始就划分了两大类

黑产研究 >>>业务安全

实战笔记 >>>基础安全

2. 甲方企业

除了需要具备，系统网站的基础安全防护来对抗攻击者外，

同时也需要不断净化业务内部的生态环境，

来抵制业务层的黑灰产。

例如，刷量刷单、薅羊毛、诈骗引流等诸如此类业务风险，

防火墙和WAF是无法做到保护的。

了解具体黑灰产作弊实现手法，

及时引入强特征风控策略

显得尤为重要。

3. 白帽子师傅

其实刷src，除了递交漏洞报告

现在很多甲方企业自营的src平台

你会看到包含了递交情报。

往往很多师傅把情报，局限于攻击入侵事件。

但对于很多甲方企业来说，

在举办某次活动时

很多时候更需要业务安全的情报。

4. 有关单位

有时在案件处理过程中

你们或许会碰到出现了一些

“云控”，“群控”，“设备农场”

“接码平台”，“硬改软改”等名词。

0x05 板块规划

业务安全情报板块，主要承载两部分内容：

面向白帽子师傅们和有关单位：

①分享业务安全层的黑灰产作弊手法和思路

面向企业和风控安全人员：

②甲方企业举办xx活动期间，

提供及时业务风险情报和黑灰产作弊完整路径

但考虑到，为了不给企业造成麻烦

在活动期间，情报内容不宜公开。

所以如果是甲方风控人员，可以后台私信单独分享。

等活动结束后，再向师傅们公开思路。

0x06 黑灰产作弊案例

下图是一个完整的作弊链

这是一个往年真实的zfb的注册拉新活动作弊案例，

作弊持续时间达1个月。

你会发现，毫无技术含量但却利用逻辑漏洞，

收益居然达到了20-30w的金额量。

而最终，这部分实名卡

可能会被流入到一些不法分子手中

进而实施匿名的诈骗等违法行为。

无论对于企业业务生态环境还是普通百姓来说

都会造成损失和危害。

0x07 总结

初心未改，肩负安全。

愿，齐心协力，

维护这，国泰民安。

阅读原文

跳转微信打开

这次，也算是无可厚非了。

这应该是我最后一次

发表这篇情报文章了吧。

有一个公众号，之前未经许可

直接复制粘贴这篇情报文章

然后发表到自己公众号

发现后和对方交流，让其删除

但沟通无果。

更可笑的，我成了不是原创了hh

又是一次，让人无语的操作。

因为事情已经过去一段时间了

而且文章也已经被人复制发表了

所以也没什么影响了。

我的初衷只是为了分享

也是为了促进圈子交流。

未来如果还有机会分享情报类的实战笔记

一定会先脱敏处理。

其实，更重要的只是思路。

后台私信很多

有不少师傅，让我建立一个封闭式社区

但，考虑到工作性质

没办法建立群聊和大家沟通。

现在，我唯一能做的

就是每隔一段时间的沉淀

将自身学到  亦或 实战遇到的技巧

分享给大家

只愿，对师傅们有用。

接下来要沉淀一段时间

什么时候回来

或许下下周，或许下个月

我们，后会有期。

以下是原文

---------------------------

为了不浪费有些大师傅的时间，先提前报备一下。

本篇不是技术文章

没有结局

也没有成功

因为最终没有拿到对方的隐私信息。

如果没有时间，可以直接翻到最后。

这篇文章的目的

主要是希望国内企业，特别是医疗单位，重视网络安全。

同时，因为很少看到针对国外黑客组织的社工类文章

所以就记录一下。

0x01 背景介绍

时间线

2020年4月28日早

在黑白之道看到这篇文章。

原文链接

下午

接到上级单位的任务，寻找一些蛛丝马迹。

信息分析

1. 观察公开的图片中，只有@THE0[.]TIME的水印

2.Google/Baidu/twitter/darkweb爬虫接口/简单搜索了一下THE0[.]TIM关键字后，发现除了公开的新闻外，都没什么有价值信息。

3. 后在Telegram搜索，发现了一个名为“00:00”的电报频道。

该频道的标签#DataBounty（数据赏金）

4. 实锤取证

THE0[.]TIME符合00:00，zero time的含义。

（ps:不想被搜索引擎的关键字轻易匹配到，所以加入[.]符号进行规避）

进入后检索历史消息

果然发现了从国内窃取的数据文件，实锤。

从历史消息来看，该黑客组织在4月15日就已经拿到数据并开始贩卖。

并声称，拿到的数据信息分为四部分：

①用户数据

②技术数据

③研究成果

④COVID-19疫情相关资料

频道中还公布了一个视频和若干图片样本。

并且图片均带有汇医慧影的水印。

因为部分视频图片的敏感性，所以就不全部放出了。

仔细观察第一张截图

看到一处

For buy:

@Unfrein[.]ded

点开后，此人电报昵称为0x1。

后来与他交流，确定此人即为，窃取国内数据的zero time黑客组织核心成员。

5. 攻击者公开信息整理

把该组织公开的信息，进行了一下整理。

①联系方式：Telegram账户：@Unfre[.]indedJabber账户:    z3r0t1m3@[.]xmpp.jp②电报频道：https://t.me/The0[.]Time

③zero time核心成员0x1

④两个区块链钱包地址:a. BTC1Mb131pc1igShCz2pD6UuzRB4BdK6AmYJ5 b. USDT1GyeoHwWpkmHbeuMqwvp7MZSwgXsK3Y

⑤区块链货币交易查询

截止2月28日下午，暂未出现交易情况

但USDT的查询地址无效

0x02 心理战

为了寻找更多的蛛丝马迹，

九号索性使用土味式英语，与ZeroTime组织核心成员0x1，进行了一次无果的社工交流。

———————————————————————

伪造身份：德国人，以假装购买数据的需求，与对方进行了交流。

目的：尽可能的调查清楚对方窃取到手的数据内容和对手情况。

———————————————————————

正文开始

halo式问候完，开门见山。

不管国内外

陌生人之间，最大的障碍无非是信任二字

人性的弱点。

①欲情故纵，首先质疑对方data的真实性。

他就为了解释证明，巴拉巴拉的说一堆。

②顺其自然，抛出愿意“相信”对方，trust you。

对方又甩了两张窃取的资料图片，证实真实性。

③“赞赏”对方，说了句酷cool。

（内心想法是，酷他个锤子，恨不得扒了你的皮）

纯粹是为了让他感觉交流舒畅，温水煮青蛙。

⑤开始试探

没购买之前，自然不会直接给我们放出数据的详细内容，但我们可以打探他窃取的内容“轮廓”。得到如下结果：

a. 1700行，1000名左右的用户信息。

b. 分别来自湖北、Youan(地域不明，猜测是云南？)、shanxi(陕西或山西)、河南地区的医疗单位账号

c. 数据格式（图片打码区域）：账号密码、权限、用户名以及注册单位等（不幸中的万幸，不包含医护人员的身份证详细地址什么的）

⑥一探到底

我想让他发一些更多未公开的信息，他后来拍了一张照片

内容是汇医慧影的AI辅助系统控制文档。

接着，他说如果我不想买，就直说。

担心问太多了，引起怀疑。

⑦假装“砍价”

为了让他相信，媒体曝光说是4btc。

我直接就砍价到1比特币，对面问号三连

1btc买它所有东西，显然不现实。

所以我说，一半。买它一半的东西，source code和data。

对方说2.5比特币，把所有的给我。

我说2比特币，有来有回地“砍”他。

砍价只是个幌子，其目的还是在于打探更多的信息。

所以，我插了一句，问他是哪个国家的

结果，对方来了句，他们是一个地下组织...

很明显，警惕性。

还说，“请叫我们zero time或者00:00”。（真是一群夜半三更出门干坏事的鬼）

把握机会，再次 “赞赏”他，让他开心，加火，继续温水煮青蛙。

而后，对方又回到正题说，如果我准备好了，就开始交易。（交易他个锤子）

我假装自己比特币钱包余额不够2.2btc，跟他说，我要跟老大商量一下。

趁势又“谄媚”了一句，说你们有如此高的技术，想后期跟你们团队“合作”。（是想获得对方更多信息）

但果不其然，对方警惕。

他说，他们zero time会评估核验每一个合作或者加入的人。（没戏）

同时，又发了一张国内的病史化验报告。

说实话，到此处心情有点难受，看见几份中文大字的报告图，被一个黑产老外拿捏在手。

4月28日，交流结束。

⑧让小朋友一脸问号的一幕

4月29日，我想获取他ip试试

构思了一个方法，钓鱼URL重定向。

虽然明知这种方法，失败率很高，

就算我构造了一个URL发过去

他也不一定点开

就算他点开了

他也八九成不是真实ip

但还是想试试。

首先，因为了解对方手里窃取到的用户数据，是用于登录汇医慧影网站的。

所以，这里用一个跟踪器，构造一个重定向的URL：https://catsnthing.com/CWEDAI

用于重定向到http://en.huiyihuiying.com 汇医慧影的网站。

其目的是，对方访问后，记录他的IP地址。

有点虚哈哈

然后，找个借口。发给对方

等到下午，他回复我了，立即打开后台，查看是否有对方的IP记录。

红色框出来的，即为抓到的ip：244.242.105.51，其余均为我挂了代理测试的ip记录。

然后，我去搜索该IP的归属地时

让人大跌眼镜的一幕发生了

这是一个E类的IP地址，而且是保留地址...

此时的心情

我考虑过对方不会点击我的URL，

考虑过会挂VPN代理，

但始终没想过会出现保留地址的情况。

最开始的推测是，对方在数据包中伪造了XFF等系列头

但自己本地测试后，发现这种伪造的做法并不会干扰影响对我的URL跟踪器结果。

所以，进行到这，思路暂时断了。

目前掌握的信息只有以下内容

①记录的保留地址IP

②搜集到的公开信息

最后，在电报频道，还发现他们在售卖了国内另一个系统的数据（crmeb.com）

可信度无法判断，仅以此做个提醒

与此同时，其它国家的数据也能在其中找到。

这是一个真实的案例，也是失败的案例。

至此，只能先告一段落。

————————————————————

0x03 落幕

IP分析

4月30日

对昨天拿到的ip：244.242.108.51

在各大威胁情报引擎检索，并无收获。

只在一个地方发现该IP曾在2019年被发送过大量垃圾邮件

思考了很久...

为什么会是抓到的IP是保留地址

把这件事跟实验室的顾师傅分享了

我们不断篡改HTTP数据头，

反复对IP记录器的钓鱼URL进行碰撞。

也办法复现保留地址的IP场景

世界观感觉要崩塌了。

柳暗花明

然后我们又回到了IP Logger的记录后台

顾师傅多年的爬虫经验

对HTTP数据包的头部有着敏感的嗅觉

发现，User-Agent像极了Tor浏览器的头部信息。

立即动手实验，

我们使用Tor浏览器访问百度，对比我们IP Logger抓到的头部信息

果不其然，丝毫未差，一模一样。

可是这跟我们的保留地址IP有什么关系呢？

在查阅了一些关于Tor浏览器的资料后

意外发现了一篇国外的文章

文章介绍了，他在对一次攻击行为的数据包流量进行分析时，

惊讶地发现，拿到的IP是254.110.107.86，

查看归属地，发现同样也是一个保留地址。

但他发现，其它数据包流量中最后有一行是86.107.110.254的IP地址

而86.107.110.254恰好是IP地址254.110.107.86的反转。

——————————————————

作者的解释是

对方机器使用的是小端模式（little endian）

而不是大端模式（big endian）

这时候我们老大说了一句

这或许就是为什么

114.114.114.114和8.8.8.8这两个IP

会用做DNS服务器的其中一个原因。

因为可能有的机器采用大端模式，有的采用小端模式。

而114.114.114.114和8.8.8.8这两个IP

无论怎么反转，都还是不变，对大小端机器都适用。

在小端模式中,低位字节放在低地址,高位字节放在高地址;在大端模式中,低位字节放在高地址,高位字节放在低地址

——————————————————

大胆推测

这是不是像极了我们当下的情况。

抓到的IP：244.242.108.51

将其反转：51.108.242.244

IP归属地，从保留地址>>>到英国

蓦然回首，柳暗花明。

于是，我们多了一条线索

IP：51.108.242.244

归属地：英国

虽然这应该还只是，对方多重Tor节点中的最后一个IP而已。

这是一个真实的案例，也是失败的案例。

至此，只能告一段落。

毕竟眼前的ZeroTime，是一个国际黑产组织

手握多少0day不知道

其安全技术可能领先于一般的水平。

一己之力固然难以抗衡

虽然明知是南墙，但还是想撞一撞。

感觉像是写了一个故事，却又是真实场景。

虽然不在国家单位工作，

但我们服务于国家，

更授命保护于国家。

毕竟，我们是中国白帽子。

阅读原文

跳转微信打开

这次面向白帽子师傅们，分享一个二维码劫持漏洞案例

----------------------------

思考了一段时间

情报类的实战笔记

不适合未经脱敏地外放

以后，我会去掉具体细节

跟大家分享思路。

这次面向白帽子师傅们，

分享一个实战中

碰到的二维码劫持漏洞案例

------------------------------------

0x01 场景再现

vue类型的网站，登录口，有三种登陆方式。

（ps:你要是只看到了两种登陆方式，抬头反思三秒钟）

选择扫码登录，弹出“微信扫码登录”

直觉告诉我，这里可能存在漏洞。

0x02 漏洞分析

微信扫码后，显示需要关注该网站的公众号

待微信绑定公众号后，即可注册/登录。

注册了一个账号后。

再进行扫码登录

扫码>> 弹出“前往包含的公众号”

 “点击授权”

微信网页跳转，>>>点击确认登录

会发现浏览器Web端页面跳转，

登录成功！

分析

①浏览器Web端分析

回到最开始的地方，Web端网站的扫码登录入口点

此时，浏览器进入二维码轮循状态，

不断向服务器发送请求，

判断是否扫描了二维码。

点开任意一个轮循环发送的请求数据包

你会发现post body的其中一个参数，“loginId”。

记住这个值：f4a891xxxxxxxx

②微信客户端分析

在扫码前往公众号后，需要“点击授权”确认后，即可成功登录。

我们在微信PC端，提取这个“点击授权”的URI超链，进行分析

https://xxxx.com/#/login/auth?loginId=f4a891xxxxxxxxxxxxxxx

发现携带了参数loginId值，并且与上一步中的loginId值相同！

有什么用呢？

一旦受害者扫码

攻击者能否“代替”对方点击授权，如何代替？

因为我们有了loginId，通过自行构造出“点击授权”的URI

构造漏洞利用思路：

两个身份：受害者，攻击者。

前提条件：受害者注册了该网站，可用微信扫码直接登录

攻击场景：攻击者打开该网站，选择微信扫码登录。

截图，截取二维码发给受害者。

受害者扫码>>点击“前往该公众号”

攻击者获取loginId  构造“点击授权”的URI链接

从而完成账户入侵

0x03 漏洞复现

① 打开登录网站

②点击扫码登录

③记录轮循数据包的loginId值f4a89xxxxxxxxxx

④直接截取web端登录的二维码图片，发给受害者

有个前提：

 二维码在有效期内，因为时间过长，二维码会失效

受害者视角

受害者扫码

一旦点击“前往图中包含的公众号”。

此时，我们视角转换，

不需要关心受害者会接下来进行什么操作，

他都已经沦陷了

攻击者视角

通过loginId值的拼接

自行构造出URI

https://xxxx.com/#/login/auth?loginId=f4a89xxxxxxxxxx

攻击者微信客户端直接打开该链接

点击“确认登录”

OK

Web端浏览器页面跳转

使用受害者账户登录成功！

至此，完成复现。

总结

如果要真正用到社工钓鱼，可以自行搭建一个服务器

用于对接该网站的扫码登录入口

从而保证二维码更新，不失效。

这个，已经看过很多大师傅写过了

就不再重复。

希望有用，如果没有

我想下篇或许会有。

阅读原文

跳转微信打开

文章第二次删了，原因在里面。

刚刚朋友传来消息

由于上篇文章被多次转发

他看到群里

有一些  “大佬”

看到对方tg账号

一个个都跑去联系对方了。

这是什么操作？

如果是有关单位

这件事早就在处理了

如果你是因为好玩

那我觉得你不适合这个圈子

今年疫情这么严峻

做不到白衣天使们的英勇无畏，比肩神明

但，我们至少有能力爱护国家，不拖后腿

如果只是普通人，就做好普通的事。

为了给大家分享思路

我是发了两遍，又删了两遍

属实抱歉。

原本开公众号的初心

是想保持和国外黑客圈子一样的open&free的精神

这样能和大家一起互相学习，共同进步，

来守护网络安全。

现在看来

真正有价值的东西，永远只会聚焦于顶端

也只能掌握在少数人手里。

阅读原文

跳转微信打开

一些内心独白

虽然整个任务，

几乎都是自己一个人在做，不牵扯其他人

但因为涉及company & job保密

暂时没办法发

抱歉...

（内心os: 这么菜的文章也被要求bao mi）

不过，目的终究是服务于国家

只是暂时不能服务于各位师傅

哈哈~

以后会再发的

别取关我！！！

最后，跟黑白之道编辑道歉

未能如约赴稿

最讨厌欺骗

自己却成了不守信用之人

对不起

记住这张图，记住这个故事

我会再回来的

                                       ——九号

阅读原文

跳转微信打开

续上篇，业务安全层黑产引流硬件工具

如果你没有看到上一篇

可以先看👉  业务安全之黑产引流工具（上） 

    前一文章中，我们对业务安全层灰黑产使用的语音引流工具，进行了一个场景复现的Demo测试。而在此前，购买这个硬件工具，受到了来自卖这款工具灰黑产的嘲讽，这篇文章，我们来扒一下他的皮。

一、故事篇

在情报库中发现这款工具后，添加了卖工具老板的QQ，打听了一下价格

简单来说，两种方案价格：

①一款语音包软件（100RMB） + 一个硬件小工具（57RMB） == 157 RMB

②一个脚本配合语音包软件（150RMB）+ 一个硬件小工具（57RMB）== 207RMB

买了第一个方案。

在等硬件工具快递过来中，想先看看对方的语音包软件。

但对方怎样都不肯先给我，当时以为是他们自己写的apk

两天后...

去取快递时，发现还是顺丰到付23元忍不住口吐芬芳：“这老板买菜必涨价”。

然后，我跟他说收到快递了。

安全考虑，先把对方发过来的apk丢到模拟器

打开的一刻让我瞬间失望

不过是一款，游戏开黑的语音包而已。还是免费下载的软件

于是

这次，彻底压不住邪火了，感觉多年未交的智商税被扣除了。

故事结束，正文开始

————————————————————

二、行动篇

目标：①复现硬件 ②搜集信息

————————————————————

1. 拆解

首先我们要做的就是，拆开小工具。

拆开看，里面就一个很小的电路板，但中间电路部分被502胶水黏住的。

一时间无法完整还原电路。

2. 寻找痕迹

在对方QQ空间发现了，此人在给宣传工具时曾拍摄过的照片。

放大

虽然像素很模糊，但大概能看清，“阿杰电子”。

最初的想法是，直接taobao等搜索该名字，但一无所获。

3. 分析

①电子元件，六个电阻R1-R6，配合两个电容C1-C2。

（这么丑的图就不放大了）

②接线分析

一个耳机头 + 一个小电路板

因为没有万用表可以用

搞硬件的BigLee师傅远程带用电池+LED做了个简易万用表

目的在于测出耳机头的红蓝绿铜色，四根线的接法。

然后，拿出初中物理知识，绘制了一个简易电路图

④复现

手里只有几个小电阻和一块板子，没有电容。

测试发现，其实多余的电阻电容可只是整流所用。

可以进一步简化

耳机线是有四根线的，其中两根是左右声道，去掉一根毫无影响。

最后，只用三个小电阻+剪一根坏掉的耳机头就实现了完整的功能。

五块七不到的成本卖到了一百五十七，二百零七。

业务安全层的黑产技术真的很Low，但牟利真的大。

写到这里，依然记得卖工具老板的那句

或许，对他来说，这里已然是知识的天花板。

但，我们还得前行。

————————————————————

三、危害篇

之所以想写这篇文章，是因为看见有黑产，在大学校园做博彩引流。

————————————————————

流程大概是：

①从校园自媒体(如表白墙)发布，找男朋友

②加联系方式QQ

③QQ回复你，“这个不常用，你可以叫我微信”

④加微信用语音引流工具，开始话术自动“养鱼”。

⑤数天后，微信朋友圈风格秒变，从女神变成菠菜营销

⑥总有人机智辨别，也总有人抵挡不住温柔的陷阱

你也许会觉得，灰黑产搞这么麻烦，直接装一个变身器就好。

但业务安全层灰黑产的核心要义是，批量。

薅羊毛，刷量刷赞，语音引流等都是遵循这个核心。

————————————————————

四、防护篇

————————————————————

①对于个人，提高安全警惕就好。

②对于企业

从硬件角度，没办法做真人检测，

但由于这款硬件工具需要配合语音包软件使用。

所以我能给风控安全部门的建议是：

①app包检测

②SDK检测无障碍服务

③对于司法行政

如果有需要

可以提供相关情报信息

最后，感谢BigLee和Paladin2Wink两位师傅的帮助。

也感谢jianmicro业务情报来源。

也许这些事，没多大意义。

我的想法很简单

无需像英雄一样被人致敬

那就如凡人一般爱护国家

疫情期间，理应如此

疫情过后，更是如此

如果这篇文章写的不好

请多担待，菜是原罪

下一篇，实战笔记之收获通用漏洞

阅读原文

跳转微信打开

业务安全之引流工具硬件篇（司法执政进，风控进）

简单介绍

业务安全层和传统安全圈的黑产不一样

传统安全圈的黑产可能是以技术为核心。

而薅羊毛，刷量刷单，恶意爬虫等业务安全层的灰黑产则更为普遍。

借用一张图，以往年pinduoduo被薅为典型代表，进行的圈层分类。

在风控领域，核心圈的黑产并不多见

中低端的职业圈黑灰产，大部分没有深厚的技术

但却是利益链牵扯最多的一环。

职业圈以“工作室” “设备农场”  “机群”等模式，批量绕过策略为核心驱动力

来进行低成本的投入，获得高回报的灰色利益。

正片开始

本节（硬件篇）  介绍一款   

业务安全层黑灰产

使用的语音引流工具

写在最后

大部分关注冷渗透的有两类大师傅们

①白帽子人员

②司法执政人员

所以方向也会偏向两类

①冷门的漏洞挖掘

②业务安全层的黑灰产场景复现和小众情报

以下内容

无论是实战挖掘，还是场景复现

都几乎是靠自己一个人研究和探索

希望有用

阅读原文

跳转微信打开

记录在一次秘密众测中get到的冷门漏洞思路。（只是中低危，老师傅请绕路）

一、故事背景

实战笔记之服务端逻辑重构漏洞

滑动验证码攻防对抗

实战笔记之X厂滑动验证码漏洞挖掘

好久不见。

记得写完上一篇文章《实战笔记之服务端逻辑重构漏洞》后。

...

比3月29号提前了两天，不算如期而至。

期间参加了一次秘密众测，中间get到一个比较冷门的漏洞点，虽然危害不高，但想简单记录分享一下。老师傅绕路，下篇文章再见~

二、实战案例

复现场景

复现步骤

还有一些升级的payload玩法，因为都是前车之鉴，所以网上都能找到的，不再累赘。

欢迎各位师傅，在后台留言批评指点。

下一篇。记录一下对业务安全层的黑灰产硬件工具研究。

阅读原文

跳转微信打开

以JohnDoe为核心的，所谓的匿名者成员，已经开始对国内的信息化系统和网站服务器攻击。

起因：

咋们国家是一个爱好和平，严厉打击犯罪势力的国家。

但境外藏独份子，诋毁国家名誉，以人脸识别技术和生物特征扫描技术侵犯所谓的西藏人民“自由”为理由，开展了对中国国内，科大讯飞、中集集团、网智天元、浩瀚深度 厂商、中国电信集团和政府网站为主要目标的攻击。

过程：

以JohnDoe为核心的，所谓的匿名者成员，已经开始对国内的信息化系统和网站服务器攻击。    

2020年2月11日，公开扬言对地图中几处标记国内地点的服务器进行攻击。

2020年2月12日，对外声称已经入侵了中国电信集团网站

2020年2月12日傍晚，JohnDoe公布了中国国内的一些系统漏洞。

漏洞是以Hadhoop数据库统的未授权访问导致的数据泄露问题为主。

并在Tibettruth网站上，公开了一张工具截图。

北京时间，2020年2月13日晚。

北美的天已经开始亮了，国外猖狂的藏独份子把今天当作一个主要攻击时间。

国家内忧，不能让这些小老鼠成为外患。

疫情当前，能力有限。

谨以此文，做个不知道有用没有的提示。

望，国泰民安。    

阅读原文

跳转微信打开

发送恶意数据包，导致服务端逻辑重构，造成Cookie中毒、图片验证码“变形虫”、手机号“劫持”，钓鱼短信。

篇幅较长，建议先收藏。

阅读时间：10min

一、故事背景

二、实战案例

0x01 Set-Cookie 重构

0x02 Captcha 重构

0x03 SMS_Code 重构

利用重放攻击，造成的短信轰炸漏洞，已经是众所周知了。但其实这个接口还可能劫持任意手机号进行恶意注册登录、重置他人密码，还可能进行短信验证码钓鱼你知道吗？话不多说，实战。

好了，思路被榨干了...

要去自闭一段时间了，什么时候回来或许9号，或许19号，或许29号。

0x04 总结

或许身处黑暗，或许面目狰狞，还会被人看作狡黠阴暗。但无论网络世界有多邪恶，请不要忘记，白帽子的心里依然充满阳光。九号N10th。

阅读原文

跳转微信打开

隐秘接口处XSS带来的惊喜，绕过验证思路。实战总结的灰黑产精准识别方案。

续上篇，实战笔记之X厂滑动验证码漏洞挖掘

关键字：接口XSS、重复校验、灰黑产识别

阅读简介：第二节，绕过和攻击

                 第三节：风控防御

一、背景介绍  

    在业务安全领域，滑动验证码已经是国内继，传统字符型验证码之后的标配。众所周知，打码平台和机器学习这两种绕过验证码的方式，已经是攻击者很主流的思路，不再阐述。冷渗透介绍的是一个冷门的绕过思路和防御方案。这些积累，均来自于实战之中，希望有用。

二、黑产攻击者

知己知彼，百战不殆。

如果不清楚攻击者的手段，又如何能制定防御方案？

1. 滑动验证码绕过思路

漏洞名字：session参数重复校验漏洞

思路介绍：

    此思路来源于一次对黑产路径的溯源复现，由于每次拖动滑块后，会发送一个Request请求数据包到服务器，服务器会验证这个Request请求数据包里携带的位移参数，来判断是否是拖动滑块到了正确的缺口位置。而服务器接收的数据包有很多，除了你发送的，也还会有其他人发送的请求，所以需要一个session参数来作为标识。本文中的"rid"值就是一个session标识。

    其中"rid"值是加引号的，因为它只是一个参数。针对不同的滑动验证码厂商，可能参数命名不一样。

漏洞详情：

    在用户客户端完成一次正确的验证码滑动后，发送到服务器的session参数，会在服务器后端，默认隐含生成一个有效时间和一个有效次数的值。前提条件是正确的滑动。想想这里会不会存在问题？

    曾在黑盒测试中发现，有的滑动验证码厂商的后端逻辑设计存在缺陷，一个session参数的有效时间是10分钟，有效使用次数是5次。那么如何利用呢？这是我在风控后台的真实业务环境下，挖掘到的一条黑产绕过滑动验证码的手法。

思路剖析：

①首先，触发滑动验证机制，如下图类似。

②接着，滑动滑块到正确缺口位置，然后抓包。

    分析数据包，寻找session参数。通过测试找到"rid"值为session参数。

    这里再强调一下，不同的厂商开发的代码，可能对session参数命名不一样。比如下图，"sessionId"值是另一家厂商的session参数，需要我们去分析判断。

③每次滑动正确位移后，使用Brupsuite或者其它中间人代理工具，抓包提取数据包里的session参数（"rid"值），保存到本地。

    因为服务器后端默认隐含对我们本地保存的session参数有一个有效时间和有效次数，所以我们不需要再去滑动验证码，直接在session的有效期内发送Request请求数据包到服务器即可验证成功！

④上述操作，我用python编写了一个小工具使其流程化。全自动化过程：调用打码平台滑动验证码滑块到正确位置，使用python的mitmproxy库配合正则提取rid，并写入保存到本地rid.txt。

    最后黑产在实际批量注册，薅羊毛或刷赞过程中，遇到触发的滑动验证码机制，只要session在有效期内，只需使用python读取本地的rid.txt内容，调用requests库发送请求数据包，即可绕过滑动验证码。

    至此，滑动验证码绕过思路剖析完成。

2. 滑动验证码js接口XSS攻击

    众所周知的跨站脚本攻击—XSS，攻击手法可能很平常，但把常用的攻击手法用在一个不被人注意的地方，有时候会给你意想不到的效果。

    在某次实战中，对一个安全公司的真实后台登录页面做黑盒测试。

    ①首先，给到的只有一个这种后台登录页面。

    ②对常规的地方进行一番测试后，并没有发现什么脆弱缺陷。既是一家安全公司，安全防护做的比较高，也是意料之中的事。在屏幕前发了很久的呆，没有思路的时候，喜欢倒退，会回到渗透测试最本质的起点，信息收集。

    ③因为这家公司做的是业务安全，了解到这个后台是一个风控数据监测的登录后台。

    风控面对的业务场景有：注册、登录、浏览，支付，活动等。

    面对的威胁有：恶意爬虫、批量注册、薅羊毛、盗号撞库等。

    风控策略有：限制注册登录频率、恶意IP识别、验证码等。

    【恶意/正常行为】——【风控策略】——【业务场景】，风控在其中扮演者中间人的角色，无论是一个正常用户的行为还是群控设备的恶意行为，风控一方面会使用策略进行过滤行为，另一方面会将恶意/正常行为会被记录到日志中，进而在后台展示。

    ④至此，信息收集完毕，我们整理一下思路。

    我们先看一下手里拿到的测试页面，再对比分析一下上面那段信息。

    ⑤我们发现这个登录页，是有滑动验证码的。而对比上面的信息，我将红色框圈出来的文字，构建了一个我的漏洞测试想法。如果我能控制滑动验证码的输入，那在后台的输出也可能将是可控的。红色框圈出的最后四个字，“后台展示”，第一反应就是用XSS攻击手法再合适不过了。

开始行动

a. 首先，找到获取滑动验证码的js接口

b. 分析接口参数

找到以下参数：

channel,appId,orgaization,lang,data,sdkver,callback,model,reversion

c. 黑盒XSS——FUZZ

刷新验证码，截断，抓包。

（1）蛮力碰撞，直接把所有的参数的值替换成XSS payload，但这样往往容易失败，因为有些参数是硬编码，一旦更改，服务器返回的respnse就会直接显示reject拒绝。

（2）舍近求远，9个参数，抓9次包，分别替换参数值成XSS payload，最后，几分钟后，成功打到了cookie。

(因为XSS平台更新，当时的记录未保存)

（3）因为是黑盒测试，在漏洞修复后，内部人员把后台触发漏洞的位置告诉了我。

下面这张图是，风控后台的滑动验证码记录的行为信息展示栏，未修复之前这里有一列language的值，就是参数里的"lang"，而插入的XSS payload也就会出现在这个位置。

由于开发人员未考虑到这个隐秘的js接口，所以未做过滤防护，且未申明http only，导致XSS payload可以顺利执行。

（4）最后，在黑盒测试盲打XSS中，很大一部分靠运气。但saya师傅告诉我，使用极限语句再配合一个超短域名的XSS平台，会增加成功率。

二、风控防御方

滑动验证码可能会部署在：注册、登录、反爬、支付等场景当中，而黑产绕过滑动验证码的技术会有很多种，但凡只要有一种是当前风控策略未考虑的情况，就可能会造成比较严重的损失。

1. 攻击手法总结

从黑产/攻击者的角度，针对滑动验证码，我们介绍了一种绕过的思路：session参数重复校验漏洞，一种攻击的手法：JS接口的XSS攻击。

那么，从风控/防御方的角度，我们如何制定防守方案呢？九号才疏学浅，不敢无稽之谈，只能把平时实战之中碰到的问题，记录下来，希望有用。

2. 被动防守——针对攻击者

这里没什么特色，既然是被动防守，自然是要避免亡羊补牢。针对诸如XSS等OWASP TOP漏洞，不能依赖开发的细心。除了在业务上线之前，内部测试和攻防测试；还可以在在业务上线之后，托管类似国外Hackone平台的国内赏金平台，或自运营SRC。当然，结合考虑预算成本。

3. 主动出击——针对灰黑产

主动出击，针对的是利用滑动验证码，来精准识别灰黑产。

①在上一篇文章实战笔记之X厂滑动验证码漏洞挖掘里最后一节，提到了多缺口、滑块多样化的方案。

②在一次滑动验证码更新升级过程中，发现了一个新思路。

（1）原始过程：在用户完成一次验证码滑动后，将request请求数据包发送给服务器。

（2）升级方案：在服务器后端升级滑动验证码的js代码，使每一个滑动验证码都在用户客户端生成一个或多个随机参数，这些随机参数需要跟随request请求发送到服务器进行一个简单逻辑验证。重点在于：正常用户只有通过滑动滑块发送的request数据包才一定是携带随机参数的，但并不强制要求发送的request请求携带这些随机参数。

（3）精准识别：因为核心圈的黑产下放的工具，都是通过直接通过发送request请求数据包来进行批量注册、刷量刷赞和恶意爬虫等行为。称之为：“协议刷”或“打接口”，这种方式效率极高。加上利益化的原因，黑产不会去在乎过程，只在乎是否结果能成功。

    升级的方案：只有通过正常滑动滑块，才能发送携带随机参数的request数据包发到服务器。

    旧方案：通过以前的旧接口直接发送不携带随机参数的request数据包到服务器也可以通过验证。

    在无声无息升级后，两种方案并行运行，那么拐点就到来了。

    是不是就意味着旧方案的验证码接口过来的ip，sdk，captcha_flag等数据一定都是源于黑产池；而升级方案的验证码接口过来的ip，sdk，captcha_flag等数据不说百分百，也绝大部分都是来自正常用户群体。这就悄然无声的就达到了精准识别灰黑产的目的。

（4）持续化：在被黑产发现后，就需要做持续化更新的对抗了。

还是那句，攻防本身就是一场不公平的战斗，或许只要能大大增加黑产攻击者的成本，就是有效果的防守。

三、总结

以上理论，皆为实战总结。希望有用。

如果没有，我想下篇或许会有。

技术研究总是孤独的，

边缘化的东西更是如此。

一个只专注冷门渗透技巧，

研究灰黑产的暗侍卫。

                                                          ———冷渗透

阅读原文

跳转微信打开

在传统安全界，验证码是很少有白帽子会去关注的一个点，但作为任何一个平台，特别是电商平台，由于黑产作恶手法日益猖獗，业务安全带来的损失，很可能会超过一个OWASP top 漏洞带来的危害。

+--------------------------------------------------------------+

+病毒肆虐，首先致敬一线的医护人员，逆行的前辈们。加油！+

+--------------------------------------------------------------+

阅读适合对象

三至五节：个人，漏洞挖掘复现

六节至下篇：风控部门，验证码对抗

一、背景介绍      

    在传统安全界，验证码是很少有白帽子会去关注的一个点，但作为任何一个平台，特别是电商平台，由于黑产作恶手法日益猖獗，业务安全带来的损失，很可能会超过一个OWASP top 漏洞带来的危害。验证码作为抵挡黑产的第一道防线，若轻易失守，则溃不成军。

二、测试时间

三、详细过程

    1.场景复现

    众所周知，滑动验证码是国内厂商的风控标配，当点击登录后弹出的滑动验证码。（应SRC要求，高度打码，实属抱歉）

    在点击滑动验证码的"刷新"按钮后，验证码的缺口位置改变，而验证码背景图却不发生变化。至此，直觉告诉我，这里一定存在问题。

    （类似如下这种）

    2.漏洞猜想

    猜测该厂商的数据库里，验证码的数量级不大，如果我们获取到所有的滑动验证码缺口背景图去重后，对每张验证码名字遍历，进行打标记。

    形成一个【验证码图片名：滑块滑动的正确位移】的标记列表，如[[‘A.jpg’,342pix,[‘B.jpg’,456pix],……]，那么，以后我们遇见滑动验证码，不需要做任何图片二值化、灰度处理等，直接根据图片名字，和本地标记的列表数据库对应，即可知道需要滑动的位移。验证码的轻易失效，能带来的直接危害有爆破撞库、批量注册登录。

    3.漏洞POC

    开始动手：

    ①   寻找获取验证码的js接口，下载验证码缺口背景图（目的：提取缺口背景图名）

    找到如下类似URL请求，该接口能够获取到验证码缺口背景图bp的路径和缺口背景图的名字（xxx.jpg）。

       ②  Requests遍历该接口，再用正则提取出参数"bp"

        去重后为50个不同验证码缺口背景图

        ③【关键】对每张验证码图做位移标记，制作标记列表：【【验证码缺口背景图名，正确位移】…】

        由于验证码数量级很小，并且验证码的缺口背景图片名与正确位移在服务器后端存储是唯一对应关系，并且永久有效。

        那我们就可以对每张验证码名字做好位移标记后，即可进行爆破。标记

的方法几种，如打码平台标记。由于数量级只有50，我们完全可以手动标记。

        这里使用的方法是：使用pyppeteer自动化工具。

       流程：打开官网>>>输入账号密码完登录>>>触发滑块验证>>>提取bp缺口背景图名>>>判断bp名是否本地已标记>>>【未标记：填写位移值；已标记：直接根据位移值滑动】。   

    a. 已标记情况

        程序判断为YES，自动化百分百通过滑块验证码

    b. 未标记情况

       这是一个新样本未标记，工具会停留在这，则需要手动标记，输入Position位移值。

        用截屏工具获取像素位移值，输入272

        自动拖动滑块完成验证，并将新样本（缺口背景图名）rZDASBdsPDKiQYj4uga和位移值272作为新样本写入本地，为50个缺口背景图识别，增加1条标记数据。

        经过数分钟的标记，就能拿到所有的验证码缺口对应的位移值。

        此后，验证码就成了“失效”状态。

④用Python编写实现整个漏洞测试流程的两款工具：

（1）验证码图片"脱库"工具

        Bughunter_captcha.py

    用于证明漏洞猜想，检测验证码数量有限，是否可以“脱库”操作；

    标记每个验证码，并存储到本地。

  (2) 滑块自动化拖拽工具 

       Attack_captcha.py

   在工具（1）证实猜想后，使用工具（2）自动化完成操作。

        至此，完成漏洞从猜想、证实到利用的过程。提交报告后，SRC厂商视为高危，很快也修复了。完整的POC演示视频不方便打码，所以无法公开，如果有兴趣，可以在后台留言。

四、漏洞点

（1）验证码图片可遍历，通过向刷新获取验证码的js接口，不断发送get请求，可遍历出验证码数量。

（2）验证码缺口背景图名字和滑动滑块到缺口的正确位移范围，在服务器端是一一对应。即{缺口背景图名字：【正确位移值】pix}如：{XxKI30uywjm6O49Yl9M_JEz4qGA9NHkJzTt1Qyc_bg_Pnl8UZnjAJD6pmfgt7z.jpg：【347】pix}）

（3）客户端获取到的验证码缺口背景图名字，和保存在服务器端的名字相同，且图片名字在服务器端永久有效。

五、漏洞说明

该漏洞属于业务安全中的验证码设计缺陷，风控策略缺陷。容易被黑产利用，进行爆破撞库，批量注册登录等。

六、写给风控部门的一些思路想法（下篇）

        ...三种滑块验证码样式案例

        在点击验证码的"刷新"按钮后，主要会出现以下几种情况：

    ①[low]发现滑动验证码的缺口位置会发生变化，而图片背景内容并无改变；

    ②[medium]发现滑动验证码的缺口位置和图片背景内容都会发生变化；     

    ③[high]发现滑动验证码的拖拽的滑块形状位置、缺口位置和图片背景内容均会发生变化；

        推荐升级验证码至第三种样式案例使用，当然，很多师傅们会说打码平台能摆平一切，但对抗灰黑产本身就是一场不公平的战斗，如果能提升增加攻击者的成本，就达到了我们的一级目标。对于防御方而言，在业务中，如何利用验证码主动出击，达到快速准确的识别出灰黑产的二级目标，下篇再续...

         技术研究总是孤独的，边缘化的东西更是如此。

                       一个只专注冷门渗透技巧，研究灰黑产的暗侍卫。

                                                                               ———冷渗透

阅读原文

跳转微信打开

这篇文章很轻松，希望能给你呆在屋子里的生活，添一点灵感或者兴趣。

    面对疫情严峻，和大家一样，实时关注着外界，同时心系着祖国。但事情总有始终，一切都会变好的。

    现在可能很多人都没有心思去看技术类文章。所以这篇文章很轻松，就随便聊聊，分享一下自己以前的生活实录，希望能给你呆在屋子里的生活，添一点灵感或者兴趣。

    ①余弦说过，努力成为特定领域强者。

    上大学的时候，找到了兴趣爱好后，就去各种尝试喜欢的领域所涉及的东西。有段时间，买了一堆小硬件。其实很想都支持正版，但和hak5类似的品牌，对于学生阶段真的不便宜。下面这张图，是当时拍的一部分工具。

图1

    当时买了一台入门的小无人机，是看到玄武实验室研究的无人机搭载树莓派，对腾讯大楼的灯光设备进行攻击的视频，瞬间觉得酷毙了。

图2

    其它的都是一些平常的硬件，相信师傅们也都接触或者使用过。

    如果有好奇的问题，可以后台留言。

    ②买的最舒畅的正版，大概就是Wi-Fi Deauther的手环和板子了，这两款功能一样，都是基于ESP8266，只是样式不同。当时用来配合wifi钓鱼使用过。

图3

    ③毕业前🎓，给自己刷了一台酱油师傅改造的Nethunter内核的手机，顺便用它实践复习一下msf。但到后来工作中，这个手机，只用过在Firda抓包破解APP双向验证、跑字典、msf的辅助模块里POC测试、Python调用adb实现自动化注册机，无障碍服务自动化工具。虽然这其中有的实战内容，跟刷没刷内核没关系，不过刷了后真的还不错。

图4

    ④记忆比较深刻的一次，大四。被室友打游戏吵醒后，凌晨三点睡不着，就爬起来继续扫web安全盲点，没想到这为后来工作中遇到的问题打了一点理论基础。

图5

    ⑤图6是ios crash的一个漏洞，记不清哪个cve了。特别开心的是，当时在做漏洞复现过程中，发现手机和电脑同在校园局域网下，直接能访问到电脑XAMPP搭建的web服务，猜测可能是关闭了类似"AP隔离"的策略。

    使用Nmap扫到开了62078端口的iPhone手机后，python启动payload。在当时几乎是可以让所有ios设备都crash蓝屏重启。其实类似的漏洞还有很多，只是以此为例。

图6

    ⑥下面这张图是在上面这个ios crash的CVE公布后，德国一个实验室的研究员又发布了一个比上面的CVE利用条件更简单的漏洞：CVE-2018-4368。

    上面那个CVE需要攻击者和受害者在同一局域网下，通过发送tcp数据包到受害者机器上，才能利用。而后者，德国实验室公布的漏洞CVE-2018-4368，无需在同一局域网下即可触发crash。

图7

   作者并未公开exp，只发表了论文和开源了wireshark抓取AWDL数据包的插件。所以当时很热血的买了micro bit并且花了一星期读完论文，虽然后来没有成功复现，做了一件没有结果的事，但一个人钻研汲取知识的过程真的很棒！

图8

    ⑦最后，学习知识本身就是一件很酷的事，将知识掌握成技能并运用到实战之中会让我们成为一个十分酷的人。

    OK，至此为止，希望能有触动你的东西。如果没有，我想下篇一定会有。

    对了，一直想拥有一间这样的房间。

图9

技术研究总是孤独的，

边缘化的东西更是如此。

一个只专注冷门渗透技巧，

研究灰黑产的暗侍卫。

                                                                               ———冷渗透

阅读原文

跳转微信打开

黑产研究—“秒拨IP挖掘机”制作，故事背景 黑产的本质是利益，因利益而存......

黑产研究——“秒拨IP挖掘机”制作

Author:黑产研究院N10th

故事背景

黑产的本质是利益，因利益而存，为利益而生。正是因为有了黑产的存在，才有了风控的诞生。风控和黑产的战斗，是一场资源与技术的对抗，黑产研究人员，是最深入敌方内部的前线特种部队，搜集情报，工具研究，手法复现，决定了黑产攻防研究者的一生宿命。

注册、登录、撞库、薅羊毛、刷量等等，在所有的黑产业务场景中，离不开的是IP，所以IP是必备的资源特征。天网风控系统会对IP进行打标签，来作为判断是“好人”还是“坏人”的一个特征标记。而黑产会通过变化IP的手法来绕过风控策略，让风控系统误判其为“好人”。这种变化IP的手法，叫做动态IP，而黑产使用动态IP的工具经常几秒钟切换一个新IP， “秒拨”IP，因此得名。

“魔高一尺，道高一丈”，黑产秒拨IP的出现，驱使我们有新的攻防研究成果去升级防御系统。黑产研究院的秒拨IP池搭建，逢时而生。

知识储备

       在深入敌方内部阵地前，我们先来储备一些知识干粮。

①   共享型IP：基站、专用出口等；

独占型IP：对于像家庭宽带IP、数据中心主机IP等

②   pppoe拨号：最传统的家庭宽带拨号连接。

③   PPTP/L2TP/SSTP：分别对应，“点对点隧道协议/第二层隧道协议（使用证书的隧道协议）/安全套接字隧道协议”，这三者都属于VPN协议。其中区别在于L2TP一般应用在工业，是一种链路层协议。PPTP和SSTP要求网络为IP网络，，而SSTP只是在PPTP上加了一层安全套接字，不扯这么多，我们要用的就是PPTP，仅此而已。

④   秒拨机：一台运行切换ip脚本的vps服务器。

⑤   全国混拨：可以切换到全国地区的IP资源

⑥   动态拨号：只能切换到单一地区的IP资源。

⑦   PPTP账号：从黑产手里购买到的拨号资源，采用PPTP类型的VPN进行切换获得取新IP。

相关资料

1.   威胁猎人介绍秒拨IP科普文：

     https://zhuanlan.zhihu.com/p/68528854

2.      黑产动态拨号vps厂商：

         圣高云：http://www.shenggaocloud.com/vps.asp?typeid=50032

    3.     黑产PPTP账号购买：

逻辑流程

有两种可以部署的方案

①   PPTP拨号

优势：a. 对于最终要上传数据到公司服务器较为方便；b. 机器性能较好

缺点：a. 规模化需要动用公司电脑，占用空间面积；b. PPTP账号价格6元一天稍贵

②   秒拨机拨号

优势：a. vps价格较低，特价仅为3-4元一天

缺点：a. 机器内存512M，性能较差，容易宕机造成数据丢失；b. 数据返回内网较麻烦

开始行动

方案Ⅰ——PPTP账号秒拨

①   购买完PPTP账号后，初次使用，须要添加VPN连接

填写相关信息，最关键的一步，一定要选择VPN类型，不然后期会容易出现难以连接状态

②   测试连接

③   DOS命令实现VPN连接，并python化

格式：“rasdial VPN名 用户名 密码“

④   请求可以返回IP地址的API接口，这里用的sohu

http://pv.sohu.com/cityjson?ie=utf-8

⑤   将IP数据保存写入本地（注意格式）

⑥   每天定时上传到服务器

Ps：a. 上传流程：内网PC>>跳板机>>开发机>>hdfs>>灌库

b. windows机器不自带scp工具，已打包好在压缩包内。自行安装

c. 写好定时任务

方案Ⅱ——秒拨机

①   购买完vps后，等待5分钟，使用mstsc远程连接桌面

②   测试pppoe宽带连接账户密码

③   DOS命令实现宽带连接，并python化

④⑤和上述步骤一致

⑥  因为API接口写入的数据保存在vps秒拨机上，所以需要从外网将数据传回来

       解决思路：自主搭建了一台拥有文件上传的Flask轻量型服务器，

代码实现

将上述行动用Python实现全流程自动化，我把它称之为：“秒拨IP挖掘机”自动化工具。

一共经历了数个版本，最终v3.5持续工作挖掘了一个月的秒拨IP，形成了每日增益3w IP入库量。代码已放入压缩包内。

处理细节

       1.流程涉及部门：黑产研究院、数据挖掘部、行为策略部、架构部

       2.最终数据统计：

       每日数据实时发送到自己和策略邮箱，前日数据统计发送自己和黑产研究院院长邮箱。

       3.拦截量：策略部；灌库：数据挖掘部；数据分析：架构部

阅读原文

跳转微信打开