缓冲区溢出漏洞挖掘
以下是文章的核心要点:
- 理解缓冲区溢出:缓冲区溢出是一种漏洞,当程序尝试将数据存储到内存中固定大小的缓冲区之外时会发生。这种溢出可能会覆盖相邻的内存位置,导致系统不稳定,甚至可能让攻击者控制系统。
- 缓冲区溢出在漏洞赏金猎人中的重要性:缓冲区溢出是一种关键漏洞,已经在许多重大的网络攻击中被利用。作为一个漏洞赏金猎人,理解并有效地利用这种漏洞可能会带来很高的认可度和经济收益。
- 缓冲区溢出的类型:包括基于堆栈的缓冲区溢出,基于堆的缓冲区溢出,以及格式字符串漏洞。
- 识别缓冲区溢出漏洞的方法:包括模糊测试技术,手动代码审查,以及使用安全测试工具。
- 利用缓冲区溢出漏洞的方法:包括制作恶意输入,覆盖返回地址,以及注入Shellcode。
- 缓冲区溢出的缓解策略:包括输入验证和清理,代码审查和安全编码实践,以及编译器级别的保护。
文章的结论是,缓冲区溢出漏洞对软件系统构成了重大威胁,可能导致远程代码执行,系统妥协,或者服务拒绝。作为漏洞赏金猎人,理解并有效地利用缓冲区溢出漏洞可能会带来回报。通过采用全面的测试技术,识别漏洞,并遵循安全编码实践,我们可以为更安全的数字生态系统做出贡献。
12种开源情报收集
文章详细介绍了12种额外的OSINT技术:
- SSL/TLS证书:包含大量信息,如域名、子域名和电子邮件地址。
- WHOIS服务:用于查询与互联网资源(如域名或IP地址)相关的注册用户信息。
- 自治系统(AS)号码:有助于识别属于组织的网络块,可能导致发现在主机上运行的服务。
- 云存储:尤其是像Amazon S3、DigitalOcean Spaces和Azure Blob Storage这样的对象/块存储服务,如果配置不当,可能会导致数据泄露。
- Wayback Machine:是一个巨大的互联网和其他互联网信息的数字存档,包含网站的历史快照。
- Common Crawl:是一个项目,构建并维护一个可以被任何人访问和分析的网络爬取数据存储库。
- Censys:是一个平台,汇总了大量的互联网扫描数据,并提供了一个接口来搜索这些数据集。
- 源代码仓库:在安全评估中是信息的宝库。源代码可以揭示从凭据、潜在漏洞到基础设施细节等各种信息。
- 前向DNS数据集:作为Rapid7的开放数据项目的一部分发布。这些数据是Rapid7的Project Sonar知道的所有前向DNS名称的DNS请求响应的集合。
- 内容安全策略(CSP):定义了Content-Security-Policy HTTP头,允许我们创建受信任内容源的白名单,并指示浏览器只执行或渲染来自这些源的资源。
- 发件人策略框架(SPF)记录:用于指示接收邮件交换机哪些主机被授权发送邮件。
- Censys项目:从多个源收集SSL/TLS证书。其中一种技术是对公共IPv4地址空间上的所有机器进行探测,然后汇总它们返回的SSL/TLS证书。
路径遍历漏洞
这篇文章是关于路径遍历攻击(通常被称为目录遍历)的介绍。路径遍历攻击的目标是获取对存储在web根目录之外的文件和目录的访问权限。通过操纵引用文件的变量,使用“点点斜杠(../)”序列和变体,或者使用绝对文件路径,可能可以访问文件系统上包含的任意文件和目录,包括应用程序源代码或配置。需要记住的是,系统操作访问控制限制了对文件的访问(例如在Microsoft Windows操作系统中锁定或使用的文件的情况)。
文章中的例子展示了如何通过查看页面源代码,寻找隐藏的输入类型,找到另一个路径。然后将路径复制并粘贴到根域名的末尾(在URL字段中),然后按“Enter”。这样就找到了以二进制形式存在的凭据。然后可以通过Google搜索“二进制转文本”,选择任何可用的转换器,将二进制代码粘贴进去进行转换,就可以得到人类可读的格式。在这个例子中,用户名是“bumblaze”,密码是“Lp9EM27GR”。然后可以将这些凭据用于登录页面。
使用自定义参数Cookie参数绕过2FA
文章的主要内容如下:
- 作者在新功能上进行了测试,发现可以绕过2FA。在2FA验证过程中接收到的cookie可以访问账户的内部编辑个人资料页面。在这里,攻击者可以轻易地更改电子邮件ID或电话号码,从而永久接管账户。
- 作者在发现这个问题后立即向项目报告了这个问题。第二天,这个问题被标记为重复,因为其他研究人员在他之前提交了同样的问题。
- 作者注意到他们有一个APK版本的应用。虽然这并没有明确地在项目范围内提到,但作者还是决定看一下。他安装了APK并尝试使用启用了2FA的账户登录。应用程序成功登录,没有提示输入2FA代码。因此,二因素认证被绕过了。
- 作者立即在Burp中检查了请求,并发现域名在范围内。所以他尽快向项目报告了这个问题。
- 作者首先认为开发人员没有在他们的APK中实现2FA。所以,他决定比较Web App和APK的请求(因为两个域名都不同但在范围内)以找出根本原因。他发现APK请求在cookie中传递了一个额外的参数UKAppMode=true;,这导致了2FA的绕过。
- 如果将此参数添加到Web App请求中,我们也可以在那里绕过2FA。
https://medium.com/@sharp488/2fa-bypass-using-custom-cookie-parameter-cb270c8557d2
通过二维码的XSS
这篇文章是关于如何通过QR码实现跨站脚本攻击(XSS)的。作者在进行侦查时发现了一个路径http://example.com/index.html,该路径返回了200的响应码,这是出乎意料的,因为主URL(http://example.com)是一个登录页面。访问该路径后,作者发现了一个QR码扫描器。
文章的主要内容如下:
- “Code Scanner”按钮重定向到一个GitHub工具“https://github.com/mebjas/html5-qrcode”。然后,作者使用QR生成器网站“https://www.the-qrcode-generator.com/”创建自己的QR码。
- 首先,作者在QR码中嵌入了随机文本,以查看应用程序如何处理扫描器输出。他发现应用程序正在打印嵌入的文本。
- 当检查文本时,作者发现它是通过HTML span标签打印的。因此,他创建了一个新的QR码,其中包含了简单的有效载荷“\u003c/span\u003e\u003cimg src=a onerror=alert(“XSS”)\u003e”。
- 上传后,作者得到了一个警告!
这篇文章展示了如何利用QR码实现XSS攻击,这是一个出乎意料的漏洞点。
https://systemweakness.com/xss-via-qr-code-8022a1a0309f
如何发现一个棘手的XSS漏洞
作者在尝试寻找一个只有一个页面的网站的漏洞时,发现了这个问题。这个网站有一个导航栏和一个搜索输入框。
文章的主要内容如下:
- 作者尝试在URL输入中使用各种注入技术,但没有发现任何弱点。
- 然后,作者将注意力转向了语言下拉菜单,并发现了一个有趣的现象。当选择一种语言时,会向另一个端点发送一个请求,结果会创建一个名为“language”的新cookie,其值对应于所选参数。
- 更有趣的是,HTML LANG属性使用这个cookie值来在页面上设置语言。
- 基于这个观察,我们可以制作一个有效载荷并发送一个链接给受害者。当受害者打开网站时,由于LANG属性的存在,我们的有效载荷将被执行。
这是一个有趣的XSS发现,展示了如何在看似无害的功能中找到潜在的安全问题。
https://medium.com/@ajzead660/how-i-found-a-tricky-xss-1adf25850d33
恶意文件上传清单
这篇文章是关于如何绕过文件上传限制的清单。以下是文章的主要要点:
- 尝试使用各种文件扩展名:例如,对于PHP脚本,可以尝试使用php3、php4、php5、phtml等不同版本的文件扩展名。对于IIS,可以尝试使用asp、aspx和ashx等。
- 添加额外的文件扩展名:如果应用程序没有正确验证文件扩展名,可以通过添加另一个扩展名来进行利用,例如,将script.php更改为script.php.gif或script.gif.php。
- 改变扩展名的大小写:尝试使用不同的大小写组合,例如pHp、PhP、phP、Php等。
- 更改内容类型:使用Burp Suite拦截请求时,可以更改内容类型,例如,从“Content-type: application/x-php”更改为“Content-type: image/gif”。
- 添加魔术字节到文件:魔术字节作为签名被web服务器用来识别正在上传的文件类型。例如,当在脚本的开头添加“GIF87a”时,服务器会将其视为GIF文件。
- 尝试减小文件大小:如果使用了文件大小限制,可以上传一个较小的脚本来获得远程代码执行。
- 尝试使用可执行扩展名:某些可执行扩展名可能仍然被允许,例如.phtml、.shtml、.asa、.cer”、“.asax”、“.swf”或“.xap”。
- 添加空字节到文件名:如果网站使用文件扩展名白名单,这通常可以通过在文件名的末尾添加%00(HTML编码)或\x00(十六进制编码)来绕过。例如:php-reverse-shell.php%00.gif。
- 在文件名后添加特殊字符:在旧的web服务器中,添加特殊字符,例如;%$&,可以帮助绕过文件扩展名白名单。
- 插入EXIF数据:可执行脚本可以作为元数据注释插入到图像中,当web服务器在页面中使用图像时,该脚本将被执行。
https://medium.com/@cicadasec/malicious-file-upload-checklist-24e0b764de95
如何在登录页面发现反射型XSS漏洞
该文主要讲述了他如何在一个公共项目的用户登录页面上找到反射型 XSS 的过程。以下是文章的核心要点:
- 作者注意到一个新的公共项目,发现了一个用于支持的子域名。在对该子域名进行深入探索后,他发现了一个可能存在敏感数据泄露的问题。
- 作者在浏览网页时,发现该网站没有登录页面。他认为用户应该有一个登录页面,以便在从网站重定向到这个支持子域名时,能够报告问题并寻找答案。
- 通过模糊测试,作者找到了一个可能的登录页面路径:/users/sign_in。然后他开始检查页面,发现一个名为 “fallback_url” 的参数,该参数包含了重定向链接。
- 作者测试了 “fallback_url” 参数是否能反射其值,结果是肯定的。因此,他尝试进行 XSS 攻击,并成功地使用了以下载荷:”\u003e\u003csCrIpT\u003ealert(“WHOAMI?”)\u003c/ScRiPt\u003e”。
- 作者的建议是,不要完全依赖工具,因为有些简单的问题,如这篇文章中的问题,没有工具能够捕捉到。他建议大家多学习,多阅读相关的文章。
威胁情报搜索引擎
以下是该文章的核心要点:
- Criminal IP的定义和功能:Criminal IP是一个网络威胁情报(CTI)搜索引擎,每天监控全球IP地址的开放端口,发现所有连接到互联网的设备。它能识别恶意IP地址和域名,并使用基于AI的技术提供5级风险评估。此外,它还可以通过API与其他系统集成。
- Criminal IP的应用:Criminal IP收集了42亿个实时IP地址数据,可以帮助用户找到关于恶意IP、钓鱼网站、恶意链接、证书、工业控制系统、物联网设备、服务器、闭路电视等所有类型的面向互联网的信息。它在网络安全、攻击面管理、渗透测试、漏洞和恶意软件分析以及调查和研究中都有应用。
- 如何使用Criminal IP:Criminal IP的使用非常简单,用户只需要访问官方网站并注册即可。它提供了资产、域名、图像和漏洞四种搜索功能,以及五种情报功能:Banner Explorer、Vulnerability、Statistics、Element Analysis和Maps。
- Criminal IP的API集成:Criminal IP提供了API集成,可以帮助安全研究人员阻止攻击者渗透内部资产,并实时监控可能在攻击面上无意中暴露的资产。
- Criminal IP的定价:新用户注册后,可以获得免费会员计划,提供少量的信用,可以使用Criminal IP的各种功能。当这些信用用完后,用户可以升级到付费计划。付费计划提供更多的搜索条件和结果,值得选择。
这些信息可以作为黑客和白帽黑客有用的工具的一部分,因为Criminal IP可以帮助他们找到关于恶意IP、钓鱼网站、恶意链接等所有类型的面向互联网的信息,这对于网络安全、攻击面管理、渗透测试、漏洞和恶意软件分析以及调查和研究都非常有用。