利用HTTP host头攻击的技术

利用HTTP host头攻击的技术

渗透注入 2个月前 (10-18) 铁匠

0x00 背景 一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER["HTTP_HOST"] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如: 还有的地方还包含有secret key和token, 这样处

祸起萧墙:由播放器引爆的全国性大规模挂马分析

祸起萧墙:由播放器引爆的全国性大规模挂马分析

漏洞播报 2个月前 (10-18) 铁匠

0x00 事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过

移花接木大法:新型“白利用”华晨远控木马分析

移花接木大法:新型“白利用”华晨远控木马分析

漏洞播报 2个月前 (10-10) 中国互联安全响应中心

0x00 前言 “白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文

恶意传播之——社工+白+黑

恶意传播之——社工+白+黑

渗透注入 2个月前 (10-10) 中国互联安全响应中心

0x00 背景 日前实验室捕获一个样本。远远望去,像是搜狗输入法,在测试机中点开一看,弹出一款游戏的物价表,再看PE文件属性,还带正常着数字签名,一副人畜无害的样子。经过一番认真分析后。发现远没有这么简单,这里就分析过程记录一下,希望其他安全工作者有些许帮助。 先介绍一下所谓白名单免杀。随着病毒与杀软之间的斗争,杀软的手段不断地增多、增强,由早期传统的特征码匹配算法发展到目前虚拟机技术、实时监控技

打造自己的php半自动化代码审计工具

打造自己的php半自动化代码审计工具

固若金汤 2个月前 (10-09) 中国互联安全响应中心

0x00 PHP扩展进行代码分析(动态分析) 一.基础环境 二.使用PHPTracert 编辑php.ini,增加: 三.测试 CLI apache 四.phptrace分析 执行的代码如下: 执行顺序是: 参数含义: 名称 值 意义 seq int|执行的函数的次数 type 1/2 1是代表调用函数,2是代表该函数返回 level -10 执行深度,比如a函数调用b,那么a的level就是1,

小米路由器劫持用户浏览器事件回顾

小米路由器劫持用户浏览器事件回顾

漏洞播报 2个月前 (10-09) 中国互联安全响应中心

0x00 概述 小米路由器开发版固件(并非稳定版固件,不会影响大多数用户,如果你不明白这是什么意思,它不会影响到你)使用黑客技术劫持用户浏览器向用户投送广告,该技术在黑客界广泛用于偷取用户密码甚至可能控制用户电脑和手机,目前小米已经回应该事件,称该事件为“借机炒作恶意煽动”,并解释“所谓的广告”是友好的新功能提示。目前小米官方已经做出相应调整,该功能已经暂时失效。 2015年6月初,有用户举报说最

第五季极客大挑战writeup

第五季极客大挑战writeup

渗透注入 3个月前 (09-18) 中国互联安全响应中心

0x01 misc too young too simple 一个叫flag.bmp的文件,但是无法打开。文件头42 4D确实是bmp文件的头,但是文件尾 49 45 4E 44 AE 42 60 82却是png文件的尾。 另外文件头中的IHDR也能确信这是一个png图片。将文件头的 42 4D E3 BF 22 00 00 00修改为png头 89 50 4E 47 0D 0A 1A 0A,顺利

绕过 Cisco TACACS+ 的三种攻击方式

绕过 Cisco TACACS+ 的三种攻击方式

渗透注入 3个月前 (09-18) 中国互联安全响应中心

原文地址:3 attacks on cisco tacacs bypassing 在这篇文章中,作者介绍了绕过 Cisco 设备的 TACACS 的三种方式。 No.1 利用 DoS 攻击绕过 Cisco TACACS+ No.2 本地爆破 PSK 绕过 Cisco TACACS+ No.3 利用中间人攻击 绕过 Cisco TACACS+ 一般来说,在一个大型网络中会有很多网络设备,如何管理这些

细数Android系统那些DOS漏洞

细数Android系统那些DOS漏洞

漏洞播报 3个月前 (09-18) 中国互联安全响应中心

0x00 前言 Android系统存在一些漏洞可导致系统重启,当然让系统重启只是一种现象,这些漏洞有的还可以权限提升、执行代码等。本文以重启这个现象为分类依据,牵强的把这些漏洞放在一块来看。下面对这些漏洞的成因和本质进行简单的分析,并尽量附上编译好的poc和漏洞利用演示视频。 0x01 Nexus 5 <=4.4.2 本地dos https://labs.mwrinfosecurity.co

网络暗黑世界的“域影”攻击:运营商劫持LOL等客户端海量级挂马

网络暗黑世界的“域影”攻击:运营商劫持LOL等客户端海量级挂马

渗透注入 3个月前 (09-18) 中国互联安全响应中心

0x00 起因 从上周末开始,360互联网安全中心监控到一批下载者木马传播异常活跃。到3月7号,拦截量已经超过20W次,同时网页挂马量的报警数据也急剧增加。在对木马的追踪过程中,我们发现木马的传播源头竟然是各家正规厂商的软件,其中来自英雄联盟和QQLive的占了前三天传播量的95%以上。而在受感染用户分布中,河南竟占到了72%。 木马传播源TOP: 网上的用户反馈: 0x01 挂马过程分析 在对数

网络资源重污染:超过20家知名下载站植入Killis木马

网络资源重污染:超过20家知名下载站植入Killis木马

漏洞播报 3个月前 (09-18) 中国互联安全响应中心

Xcode编译器引发的苹果病毒大爆发事件还未平息,又一起严重的网络资源带毒事故出现在PC互联网上。 这是一个名为Killis(杀是)的驱动级木马,该木马覆盖国内二十余家知名下载站,通过各大下载站的下载器或各种热门资源传播,具有云控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测,最近10小时内,Killis木马已经攻击了50多万台电脑。 0x01 Killis木马

网络间谍-目标:格鲁吉亚政府(Georbot Botnet)

网络间谍-目标:格鲁吉亚政府(Georbot Botnet)

渗透注入 3个月前 (09-17) 中国互联安全响应中心

译者按: 这是一篇对 <<DUKES---||-持续七年的俄罗斯网络间谍组织大起底>>文章的补充文章. 披露的是格鲁吉亚CERT在2011年对俄罗斯军方黑客的一次调查. 文章中诸多亮点现在看还是常看常新:比如反制黑客的手段是诱使黑客执行了一个木马. 另外将此篇文章对比最近ThreatCONNECT发布的camerashy报告,让我们不禁感慨的是,政府的反APT实在是比商业公

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享