- 综合排序
- 最热优先
- 最新优先
- 来自专栏极安御信安全研究院
漏洞分析丨HEVD-0x6.UninitializedStackVariable
作者selph前言窥探Ring0漏洞世界:未初始化栈变量漏洞上一篇探讨了空指针解引用漏洞的利用,这里来探讨另一种漏洞,未初始化栈变量漏洞,未初始化变量本身是没啥事的,但如果这个变量结构里存储了会拿出来执行的东西 (回调函数啥的),那就是另一回事了实验环境:•虚拟机:Windows 7 x86•物理机:Windows 10 x64•软件:IDA,Windbg,VS2022漏洞分析老样子,先IDA找到该漏洞的触发函数 TriggerUninitializedMemoryStack,分析函数是如何存在漏洞的首先是取出了用户提供的指针里的值,保存到ebx:图片然后紧接着判断该值是否为魔数0BAD0B0B0h,是的话,就将该值和一个函数地址保存到了栈中一个结构体里 "pause"); system("cmd.exe"); return 0;}截图演示图片参考资料•[1] Windows Kernel Exploitation Tutorial Part 6: [05] HEVD 内核漏洞之未初始化栈变量 | Saturn35 https://saturn35.com/2019/07/26/20190726-2/•[6] C library function
50920编辑于 2022-07-21 - 来自专栏信安之路
Thinkphp 6 小于 6.0.2 任意文件创建覆盖漏洞分析
本文作者:1x2Bytes(信安之路红蓝对抗小组成员) 6.0.0 中有两个版本存在该漏洞, dev 版本只能覆盖任意位置的文件,6.0.0-1 则可以在特定的情况下控制写入的内容实现 getshell ,看到一些师傅的 blog 的文章使用 composer 下载的源码, Thinkphp6 也确实开始使用 composer 的方式进行安装但是我使用 composer 方式下载的源码无法复现,猜测进行了修复 ,于是在网上找一键安装包,找了半天找到一个 11 月份的版本遂复现成功.` 具体漏洞位置: 在vendor\topthink\framework\src\think\session\Store.php sessionId); } $this->init = false; } 这里 $this->handler->write($sessionId, $data)是漏洞的关键位置 分别发现 File 类与 Cache 类都实现了该接口, 查看了 Cache 的 write 方法,并没有进行文件写入的操作,于是分析 File 中的 write 方法,看注释应该是跟 Session
2.5K20发布于 2020-02-24 - 来自专栏全栈程序员必看
thinkphp5.0漏洞_thinkphp6漏洞
PDO查询能阻止大多数传参攻击,而且框架要求的php版本是5.4;这就防止了php在5.3.6下有个PDO本地查询造成SQL注入的漏洞。 0x01 漏洞分析和利用场景 该漏洞形成最关键的一点是需要开启debug模式,而Tp官方最新的版本5.0.9默认依旧是开放着调试模式 下载最新版本的5.0.9完整版 本地按照官方给的文档安装成功后, Like 、not like 、in 、not in 0x02 案例分析 笔者这里下载了一套商城系统 ,这个框架也是很听话的用了官方的配置,debug模式开启 下图是可以触发该漏洞的一段代码 Ids ids[0’\]=1 笔者尝试着连接对方的数据库,可惜的是运气不好 0x04漏洞总结 Tp5.0框架采用PDO机制已经很安全了,只要不出现拼接字符的现象,至少在绑定参数查询的时候不会产生注入漏洞;也由此可见 0x05漏洞修复 对于这个$k 可以过滤掉所有的特殊字符,以防特殊字符的引入造成MYSQL的报错;当然最好的办法还是关闭掉debug模式,期待官方升级最新的版本把debug模式默认关闭掉。
2.1K30编辑于 2022-10-02 - 来自专栏世荣的博客
搭建漏洞环境-实战-6
搭建XSS测试平台 XSS测试平台是测试XSS漏洞获取cookie并接受Web页面的平台,XSS可以做JS能做的所有事情,包括但不限于窃取cookie,后台增删改文章,利用XSS漏洞进行传播,修改网页代码
52130编辑于 2022-03-18 - 来自专栏黑白天安全团队
域提权漏洞系列分析-Zerologon漏洞分析
本文是域提权漏洞系列分析中的Zerologon漏洞分析部分-其他部分还有几年的域提权漏洞和域提权手法 2020年08月11日,Windows官方发布了 NetLogon 特权提升漏洞的风险通告,该漏洞编号为 _tcp命令获取域控制服务器的机器账号(如图6- 所示),一般来说机器账号为机器名加上$符号组成; 图6- 获取域控制服务器的机器账号 2.利用Mimikatz的Zerologon模块去探测域控是否存在该漏洞 图6- IV和明文为0的运算过程 所以配合漏洞点一中的利用,我们可以通过关闭签名校验,然后发送大量的ClientCredential(0000000000000000)请求来进行验证(如图6- 所示), 图6- 发送大量ClientCredential 图6- 认证通过 利用点三:利用NetrServerPasswordSet2方法重置DC机器帐户密码 在通过认证之后,我们就可以调用RPC函数了,在漏洞的 图6- Event ID 4742 图6- Event ID 5805 通过网络流量进行检测 根据上面的漏洞分析,攻击者需要使用8字节全0 Client Challenge不断尝试得到一个正确的8字节全
3.4K30编辑于 2023-01-16 - 来自专栏FreeBuf
Autodiscover漏洞分析
漏洞简介 泄漏的凭据是向Microsoft Exchange服务器进行身份验证的Windows域凭据。此问题由微软的Autodiscover协议引发。 Autodiscover协议旨在简化Exchange客户端(如Microsoft Outlook)配置,使用户能够仅通过用户名和密码来配置客户端,而用户配置的登录到Exchange的凭证基本上都是域凭证,导致此类漏洞影响巨大 2017年,Shape Security的研究人员发表了一篇关于手机电子邮件客户端此类漏洞的文章(CVE-2016-9940,CVE-2017-2414)。 “back-off”机制正是这次造成漏洞的罪魁祸首,失败后下一次构建的URL将是:http://Autodiscover.com/Autodiscover/Autodiscover.xml,因此拥有Autodiscover.com 漏洞复现 研究人员购买了以下域名: Autodiscover.com.br–巴西 Autodiscover.com.cn–中国 Autodiscover.com.co–哥伦比亚 Autodiscover.es
2.7K20发布于 2021-10-11 - 来自专栏全栈程序员必看
eWebEditor漏洞分析
漏洞原理 漏洞的利用原理很简单,请看Upload.asp文件: 任何情况下都不允许上传asp脚本文件 sAllowExt = Replace(UCase(sAllowExt), 高级应用 eWebEditor的漏洞利用还有一些技巧: 1、使用默认用户名和密码无法登录。
1.4K20编辑于 2022-09-14 - 来自专栏Seebug漏洞平台
Gnuboard 漏洞分析
Gnuboard stored xss 之前记录的一个漏洞,漏洞触发点比较有趣,而且威胁也大,所以就发到博客。 首先看一下 index.php代码 <div style="float:left;<? > </div> 用latest过滤之后echo输出,如果是以前,就会跳过这个<em>漏洞</em>点,但是因为缺钱,所以跟了一下代码。 G5_SKIN_URL的值在 common.php文件的g5_path()的函数中会包含 host头的值,导致xss<em>漏洞</em>。 ,想起之前朋友挖过的gnuboard的<em>漏洞</em>,然后现在看了一下,虽然有补丁但是还是存在<em>漏洞</em>。 [b<em>6</em>d1126a-0cda-4270-a813-a9700addd3d2.png-w331s] [b8e1d4e9-3846-429c-be79-26b803a0055d.png-w331s] 如果用这种方式构造
1.4K60发布于 2018-03-16 - 来自专栏漫流砂
SNMP 漏洞分析
“ 之前进行了服务扫描,对于hasee得到的结果主要就是80端口的http服务,似乎攻击面被局限在了web渗透上,这样就太不全面了,接下来的几篇文章我会针对常见的服务进行深入分析攻击手段” -- ---- StringBleed CVE-2017-5135 这个CVE漏洞利用异常的简单,漏洞产生的原因就是个别产品身份验证有问题,无论我们提交什么CommunityString ,都会身份认证成功 ,对于这个漏洞的修补可以说是十分的糟糕,我刚刚还在shodan按照漏洞说明的产品们选择了几个进行测试,都成功了,而且其中大部分还具有写的权限。 目前受影响厂商和相关设备(78种型号设备) 漏洞说明 http://www.cnvd.org.cn/webinfo/show/4122 5352 —>Zoom Telephonics, Inc BCW700J 结合刚刚介绍的漏洞,一个完美的DDoS方案就出来了,大家应该都懂吧! 或许哪天无聊我可能会写一个这样的脚本。
6K20发布于 2020-08-20 - 来自专栏Seebug漏洞平台
Gnuboard 漏洞分析
Gnuboard stored xss 之前记录的一个漏洞,漏洞触发点比较有趣,而且威胁也大,所以就发到博客。 首先看一下 index.php代码
? ,想起之前朋友挖过的gnuboard的漏洞,然后现在看了一下,虽然有补丁但是还是存在漏洞。
1.6K40发布于 2018-03-30来自专栏深入浅出区块链技术UUPSUpgradeable 漏洞分析
//最后设置回新地址,并打log Upgraded(address) _upgradeTo(newImplementation); } } Openzepplin的实现漏洞分析 function hack() public { bytes32 _ROLLBACK_SLOT = 0x4910fdfa16fed3260ed0e7147f7cc6da11a60208b5b9406d12a635614ffd9143
1.4K30发布于 2021-10-13来自专栏知道创宇BlueKeep 漏洞利用分析
0x02 win7 EXP 池喷射简要分析 首先被释放的MS_T120池大小包括是0x170,池的标志是TSic 分析Win7 exp 可以知道数据占位是用的rdpsnd信道,作者没有采用rdpdr信道 bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/ [2]https://wooyun.js.org/drops/%E7%BE%8A%E5%B9%B4%E5%86%85%E6% A0%B8%E5%A0%86%E9%A3%8E%E6%B0%B4%EF%BC%9A%20%E2%80%9CBig%20Kids%E2%80%99%20Pool%E2%80%9D%E4%B8%AD%E7% 9A%84%E5%A0%86%E5%96%B7%E6%8A%80%E6%9C%AF.html
89220发布于 2019-09-20来自专栏逆向与安全漏洞分析入门一
静态扫描: 这种漏洞挖掘方法的思路就是扫描目标程序的二进制文件,通过PE文件分析,指令分析等来发现目标程序中存在的潜在漏洞代码。 所以还需要加以指令分析的方法,但是指令分析的实现难度和成本都比较高,因为要考虑到所有的漏洞模式,这也导致了另一个缺点检测速度非常慢。 3. d.通过逆向分析这些异常样本,查看是否是漏洞同时确定危害级别。 通用FUZZ优点: 上手容易,不需要了解文件格式即可对目标进行漏洞挖掘。全自动化,效率很高。 我们定位到漏洞是由strcpy函数所导致,这个函数没有控制esi所指向数据的大小,esi指向的数据过大后可导致缓冲区溢出,直接淹没缓冲区地址。 ? 6. 当步过strcpy函数后,观测SEH链表。 这时候我们把FFFFFFFFH修改为EB B6 jmp 19FAC8就可以跳到我们的shellcode中执行了。 0x05: shellcode编写 1.
1.5K21发布于 2018-10-18来自专栏信安百科Gmail XSS漏洞分析
0x01分析: 多年来,我发现绕过 XSS 过滤器的最简单方法是将其诱骗到与浏览器实际用于渲染给定代码段不同的渲染上下文中。 推荐阅读: 关于CVE-2022-35650的分析 【翻译】CVE-2022–21661:Wordpress Core SQL注入漏洞 【翻译】CATIE Web 应用程序任意文件读取漏洞 【漏洞预警 】Grafana未授权任意文件读取漏洞 【漏洞预警】VMware vCenter Server任意文件读取
1.6K20编辑于 2023-10-02来自专栏代码审计SSRF漏洞简单分析
什么是SSRF漏洞 SSRF(服务器端请求伪造)是一种由攻击者构造请求,服务器端发起请求的安全漏洞,所以,一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 SSRF漏洞形成原理。 利用file协议读取本地文件等等 参考文献:《Web安全攻防》 SSRF漏洞代码分析 <?
79720发布于 2020-09-27来自专栏博客原创文章SSTI漏洞基础分析
return '现在的方法是POST' if __name__ == '__main__': app.debug = True app.run('127.0.0.1','8080') 仔细分析上面的代码 request.args.get(' 参数名 ')来接收从url栏中传入的参数,其中参数名是自定义的,比如定义了tss,那么在url栏中只能填入tss=xxxxx,如下面演示图所示: [6. ,从而照成漏洞的产生,flask漏洞也被称为'SSTI',既然flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval ,system,file等等等等之类的函数,本文将以jinjia2的模板引擎render_template_string作为漏洞代码进行漏洞演示~ 漏洞演示 下面是演示一个看起来没啥问题的代码 cmd={{config}} [13.png] 有回显,说明存在SSTI漏洞,既然确定了有这个漏洞,那就直接根据上面给出的payload打一波命令执行或者文件读取即可,具体的可以看上面的payload
84020编辑于 2022-04-01来自专栏全栈程序员必看软件漏洞分析简述
软件漏洞分析技术主要分为:软件架构安全分析技术、源代码漏洞分析技术、二进制漏洞分析技术和运行系统漏洞分析技术四大类。图2.1说明各技术之间的关系。 图2.3 软件架构安全分析技术分类 2.2 源代码漏洞分析 源代码漏洞分析主要是对高级语言编写的程序进行分析以发现漏洞。 源代码漏洞分析一般包含源代码的模型提取,对历史漏洞、程序代码进行特征提取,静态的漏洞分析和结果分析等四个步骤,通过这四个步骤完成对源代码的漏洞分析,结构图如图2.4所示。 图2.4 源代码漏洞分析原理 2.3 二进制漏洞分析技术 尽管源代码漏洞分析技术具有分析范围广,能够发现一些发现动态分析难以发现的软件漏洞等特点,但是实际应用中很多应用软件都是以二进制代码的形式(如库文件 2.4 运行系统漏洞分析 系统是多种软件或者模块的有机整体,因此运行系统漏洞分析技术相对于单个软件的漏洞分析变现出:更加复杂,分析难度更大等特点。
3.8K20编辑于 2022-09-01来自专栏小生观察室Nuxeo RCE漏洞分析
视频内容 Nuxeo RCE漏洞分析 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。
56020发布于 2021-04-27来自专栏Seebug漏洞平台BlueKeep 漏洞利用分析
0x02 win7 EXP 池喷射简要分析 首先被释放的MS_T120池大小包括是0x170,池的标志是TSic ? 分析Win7 exp 可以知道数据占位是用的rdpsnd信道,作者没有采用rdpdr信道,应该也和喷射的稳定性有关,rdpsnd喷射是再建立完了rdpdr初始化后开始的,在free掉MS_T120结构体前 bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/ [2] https://wooyun.js.org/drops/%E7%BE%8A%E5%B9%B4%E5%86%85%E6% A0%B8%E5%A0%86%E9%A3%8E%E6%B0%B4%EF%BC%9A%20%E2%80%9CBig%20Kids%E2%80%99%20Pool%E2%80%9D%E4%B8%AD%E7% 9A%84%E5%A0%86%E5%96%B7%E6%8A%80%E6%9C%AF.html
76430发布于 2019-09-20分析DAO的漏洞
分析DAO的漏洞 我敢肯定每个人都听说过有关DAO被一个黑客利用递归以太坊发送漏洞截获1.5亿美元的重大新闻。 我不会花太多时间在这种区块链分析上, 因为他已经做得很好。我非常鼓励任何对此有兴趣的人可以从那篇文章开始看起。 在本系列的下一篇文章中, 我们将看看恶意合约本身的代码(包含实际发起递归攻击的漏洞)。 为了方便发布, 我们还没有完成这样的分析。 在代码被设计为安全的多年的情况下, 意识到他们需要在1.1版本6天后的1.2版本,可能是为什么DAO的木偶大师称它退出了的原因。 如果你有可能与此处描述的主题相关区块链数据或分析, 或者合同源代码或二进制分析, 请通过邮件发送给phil@linux.com分享。
2.3K90发布于 2018-04-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号