博文

8kSec DroidView Ultimate Private Browsing Solution writeup

图片
题目要求 漏洞利用程序应禁用 Tor 路由,然后将用户重定向到一个由攻击者控制的页面。分析代码的时候发现有两种方法。 解法一: 当action为ACTION_TOGGLE_SECURITY时,MainActivity的onNewIntent会调用handleSecurityToggle handleSecurityToggle会调用setSecurityEnabled 当参数为false的时候,setSecurityEnabled会调用unregisterReceiver注销tor状态监听器 看看torStatusReceiver的定义 所以可以如下命令 禁用 Tor 路由: adb shell am start -a com.eightksec.droidview.TOGGLE_SECURITY -n com.eightksec.droidview/.MainActivity --ez enable_security false --activity-single-top 需要注意的是,要添加 --activity-single-top参数触发onNewIntent函数 接着将用户重定向到一个由攻击者控制的页面 adb shell am start -a com.eightksec.droidview.LOAD_URL  -n com.eightksec.droidview/.MainActivity --es url "httpx://www.xxx.com"   --activity-single-top 解法二: 在AndroidManifest.xml中可以到导出了一个com.eightksec.droidview.TokenService服务, TokenService提供了返回当前token的方法getSecurityToken 所以可以绑定到 TokenService 获取token。 这里尝试通过frida动态绑定到TokenService    console . log ( "Script loaded. Waiting for MainActivity to be created..." ); Java . perform ( function () {     let l...
发表评论
阅读全文

8kSec BorderDroid International Border Protection writeup

图片
 查看AndroidManifest.xml发现com.eightksec.borderdroid.receiver.RemoteTriggerReceiver是导出的,可以通过adb 发送广播解锁,但是题目的要求说 攻击不应要求设备具有 root 权限,启用 USB 调试可用于侦查,但为使其符合实际情况,本挑战的解决方案应坚持使用 "非 USB 攻击",所以这不是最优解。但是题目又提到“ 设备被扣押时,仍连接到不安全的机场 WiFi 网络 ”,推测大概是通过网络层面发起攻击。这里注意到一个服务com.eightksec.borderdroid.service.HttpUnlockService,虽然没有导出。  服务启动的时候会监听8080端口  netstat看下 当收到/unlock请求且post数据包是json格式时,形如:{"pin": 111111},会调用broadcastVulnerableUnlockIntentWithPin 显然这个broadcastVulnerableUnlockIntentWithPin函数会发送广播到RemoteTriggerReceiver RemoteTriggerReceiver验证pin值是对的后会调用performUnlockActions解锁屏幕 poc演示,当pin值正确时成功远程解锁: 当然,题目说“ 使用硬编码秘密来解决挑战也不是解决挑战的正确方法 ”,因为pin值是6位数,可遍历pin值爆破发送解锁请求。
发表评论
阅读全文

windows虚拟机中Android Studio启动模拟器踩坑记录

windows虚拟机中Android Studio启动模拟器状态一直是Booting,通过命令行C:\Android\Sdk\emulator\emulator.exe -netdelay none -netspeed full -avd Medium_Phone_API_35 -qt-hide-window -grpc-use-token -idle-grpc-timeout 300 启动emulator输出报错:USER_WARNING | Suggested minimum number of CPU cores to run avd 'Medium_Phone_API_35' is 4 (available: 2) ,通过搜索修改虚拟机cpu core的数为4即可。再次命令行启动输出报错:Android Studio Emulator Failed to load [vulkan-1.dll],通过搜索把C:\Android\Sdk\emulator\lib64\vulkan\vulkan-1.dll 拷贝一份到C:\Android\Sdk\emulator\lib64\ 目录下 或C:\Windows\System32即可。 然后直接在Android Studio界面可成功启动模拟器,但是模拟器会不停弹窗提示The system ui isn't responding in android emulator, 通过搜索把$HOME/.android/avd/MyAvdName.avd/config.ini文件中的hw.gpu.mode的值从auto 改为host,还有的建议是从"hw.gpu.enabled=no hw.gpu.mode=auto"改为"hw.gpu.enabled=no hw.gpu.mode=off" 或者"hw.gpu.enabled=yes hw.gpu.mode=host",重新启动,稍等几分钟后就不再提示isn't responding。     参考:      https://stackoverflow.com/a/71668492 https://stackoverflow.com/a/68233639 https...
发表评论
阅读全文

tabby 1.3.x安装和Neo4j数据库配置

图片
     网上大部分资料都是1.3.x之前的教程,tabby作者给出的语雀安装指南页面显示有点问题        折腾了下终于安装完成。      首先是tabby安装:      直接从https://github.com/wh1t3p1g/tabby/releases/ 下载tabby,从 https://github.com/wh1t3p1g/tabby-vul-finder 下载tabby-vul-finder,编译后将target目录下生成的tabby-vul-finder.jar拷贝到tabby.jar同级目录,config目录的db.properties拷贝到tabby子目录config目录下,rules目录下的cyphers.yml拷贝到 tabby子目录rules目录下。      然后是Neo4j安装:      直接参考 https://www.yuque.com/wh1t3p1g/tp0c1t/wx6fiha89p0wu6s5 就行,下载Neo4j和对应版本的apoc-core和apoc-extended库,从https://github.com/wh1t3p1g/tabby-path-finder/releases 下载tabby-path-finder-1.1.jar,要修改的地方就是“dbms.security.procedures.unrestricted=jwt.security.*,apoc.*” 应为“dbms.security.procedures.unrestricted=jwt.security.*,apoc.*,tabby.*”,其他步骤跟着教程走就行。有个注意的地方就是Neo4j启动的时候会自动生成一个“Example Project”,且自带一个默认的dbms,这个数据库连接不上(它的密码不是password),所以需要自己新建个dbms,设置下连接密码为password。     坑点:      在windows上运行tabby.jar会报错: ERROR 2084...
发表评论
阅读全文

[OGeek2019]Easy Real World 2 writeup

图片
  网上的writeup基本是ssh命令处存在拼接可RCE,我在测试的时候发现文章https://cloud.tencent.com/developer/article/1866793提到GateOne有CVE-2020-35736 任意文件读取漏洞,试一下:
发表评论
阅读全文

油猴脚本之恢复知乎关注专栏功能

图片
     知乎把关注专栏功能给删除了,但是保留了取消关注专栏功能            抓包看了下取消关注:          留意到在这个请求之前有个OPTIONS包,支持PUT,DELETE等方法,推测关注应该就是PUT          尝试PUT发现报错          换其他专栏试试              关注成功,看来是已关注的专栏不能再关注     那么脚本的思路便有了,脚本如下:   // ==UserScript== // @name 知乎关注专栏 // @namespace http://tampermonkey.net/ // @version 0.1 // @description 恢复知乎关注专栏功能 // @author You // @match https://www.zhihu.com/column/* // @require https://cdn.jsdelivr.net/npm/jquery@3.2.1/dist/jquery.min.js // @grant none // ==/UserScript== //copy from https://gist.githubusercontent.com/raw/2625891/waitForKeyElements.js function waitForKeyElements ( selectorTxt, /* Required: The jQuery selector string that specifies the desired element(s). */ actionFunction, /* Required: The code to ru...
发表评论
阅读全文

OpenRASP攻防之内存马防御

图片
    “Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。OpenRASP是该技术的开源实现,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,很好的弥补了传统设备防护滞后的问题。”但是OpenRASP仍有其不足之处。根据测试,OpenRasp无法对内存马进行检测,所以便想对OpenRasp进行二次开发来检测内存马。     根据OpenRasp官网的说明文档,要对OpenRASP二次开发,为Java服务器添加新的hook点大致分为三步,第一步为添加hook点,根据自己的hook点在com.baidu.openrasp.hook包中欧给添加一个继承自AbstractClassHook的类,并实现getType和isClassMatched两个方法进行hook点的匹配,并在hookMethod方法中的内部类的onMethodEnte方法和onMethodExit方法进行hook点前后的逻辑插入,并实现的hook点加入com.baidu.openrasp.transformer.CustomClassTransformer的构造方法中,实现字节码的转换;第二步添加检测类型,在 com.baidu.openrasp.plugin.checker.CheckParameter 中添加相应的检测类型;第三步为构造参数并进入checker,编写hook点中调用的方法,来实现具体的检测逻辑,检测逻辑中可以调用js插件。      通过分析网上weblogic filter内存马的注入代码,发现关键函数为registerFilter,因此可以定义一个hook类,hookMethod匹配该函数,并且该函数的第一、第二、第三个参数分别为filter名称、filter类名、filter的访问url,所以可以将这三个参数传递到要插入到hook点前的代码中,检测代码将这些参数给第三步的自定义checker,checker主要根据这些参数创建详细的告警日志,方便网络安全运维人员后期查看分析、溯源等。       通过分析哥斯拉webshell管理工具的tomcat servlet内存马注入代码和逻辑,发现关键...
发表评论
阅读全文