记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Wireshark 国家商用密码(SM2/3/4)协议分析

SM2是国家密码管理局发布的一种椭圆曲线公钥密码算法,用于数字签名、秘钥交换和公钥加密。 SM3是国家密码管理局发布一种杂凑算法,其长度值为256。 SM4算法是国家密码管理局密码行业标准。SM4算法是一个分组对称密钥算法,明文、密钥、密文都是16字节,加密和解密密钥相同。 由SM2椭圆曲线公钥密码算法,SM3密码杂凑算法,SM4加密算法共同作为国家密码的行业标准,类似于目前的RSA+SHA系列+DES/AES形成一个网络数据传输的加密套件,保证了数据在网络中传输的机密性和完整性。 修改Wireshark,加入了对SM2/3/4加密套件的识别,如下图1、2。 图1、客户端发送ClientHello,告知服务端支持哪些加密套件。 图2、服务端返回选择相应的加密套件,证书的公钥签名算法以及杂凑算法  
发布时间:2017-12-14 19:10 | 阅读:85688 | 评论:0 | 标签:Wireshark开发与使用 加密解密 协议分析 未分类 SSL协议 TLS协议 Wireshark Wireshark

Xshell后门技术分析

天融信.阿尔法实验室 陈思远 一、事件描述 1.1事件背景: Xshell是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。 Xshell开发公司NetSarang发布公告称,2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。 1.2时间表:   [crayon-5992d0ad8eff4979701529/] 二、恶意代码定位 恶意文件
发布时间:2017-08-15 18:45 | 阅读:82247 | 评论:0 | 标签:未分类 后门

WanaCrypt0r想哭勒索蠕虫数据恢复可行性分析报告

第一章 前言 近日,360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警。该款勒索软件在短时间内在全球范围内爆发了广泛的攻击活动,据不完全统计,它在爆发后的几个小时内就迅速攻击了99个国家的近万台设备,并在大量企业组织和个人间蔓延。外媒和多家安全公司将其命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”)。 通常,常规的勒索病毒是一种趋利明显的恶意程序,它会使用非对称加密算法加密受害者电脑内的重要文件并以此来进行勒索,向受害者索要赎金,除非受害者交出勒索赎金,否则被加密的文件无法被恢复。而新型勒索软件的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,
发布时间:2017-05-19 05:05 | 阅读:94578 | 评论:0 | 标签:未分类

WanaCrypt0r Data Recovery Feasibility Analysis Report

WanaCrypt0r Data Recovery Feasibility Analysis Chapter 1 Introduction Recently, 360 Internet Security Center detected a new variant of ransomware that targets both enterprises and individuals in multiple countries and regions. 360 released timely emrgency warning on May 12th upon the detection to remind the users of the upcoming risks. The ransomware spread
发布时间:2017-05-19 05:05 | 阅读:75125 | 评论:0 | 标签:未分类

Jackson-Databind框架json反序列化代码执行漏洞分析

2017/04/11日ayound上报了一个Jackson Databind框架json反序列化漏洞,攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。 影响版本:jackson databind 2.7.10 及2.8.9以下版本 危害等级:高 解决方案: 更新至最新版本 根据修复补丁https://github.com/FasterXML/jackson-databind/commit/6ce32ffd18facac6abdbbf559c817b47fcb622c1,发现对sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl这个类做了拦截。如下图: 在修复补丁下面并且给了一个testcase,如下图: 从testcas
发布时间:2017-04-18 08:10 | 阅读:253039 | 评论:0 | 标签:未分类 漏洞

iTunes 更改备份文件保存路径

建议使用iPhone的同学周期性地备份自己的手机,以免意外数据丢失。 使用iTunes备份手机到电脑上,win系统默认是保存在系统盘 C盘的。 我购置了240G固态硬盘,C盘只有120G,多备份几次就被耗尽了。 观察到iTunes无法配置备份文件路径,那么我们可以移动文件到一个更大的盘符下(例如我的G盘,是机械硬盘的分区),之后再创建一个目录连接到C盘对应目录即可。 移动文件夹 “C:UsersAdministratorAppDataRoamingApple ComputerMobileSyncBackup” 到 “G:iphoneBackup” 然后创建一个目录连接 mklink /J “C:UsersAdministratorAppDataRoam
发布时间:2017-04-01 11:05 | 阅读:77947 | 评论:0 | 标签:未分类

xrkmon-基于ImmunityDebugger的api调用监控脚本

github地址:https://github.com/humblepride/xrkmon 简述 基于调试器Immunity Debugger的一套Python脚本,可以监控API调用、修改API调用参数及结果,可以很方便的解决调试中遇到的很多小问题,在一定程度上提高调试效率。 事实上,在熟悉代码的基础上,可以很容易的添加更多高级的功能。 What is this: a set of py scripts for Immunity Debugger, to to monitor api calls, modify api rets, etc... u can add functionalities of your own. disadvantags: buggy. not fully tes
发布时间:2017-01-19 10:20 | 阅读:79809 | 评论:0 | 标签:未分类

基于taskmgr的应用层进程隐藏技术

  目前进程隐藏技术网上流程的主要是在驱动层进行挂钩,但是由于win7之后,windows操作系统权限管理之类越来越严格,win7之后加载驱动首先需要管理员权限,另外windows加载驱动同时还需要有微软签发的驱动证书,这对于土八路来说基本是一个无解的难题,基本难以弄到正规公司的签证,同时,逆向windows的签证管理系统工作量太大,目前网上也没有签证伪造技术流传。   相对驱动层来说,直接hook的ssdt表或者直接修改内核函数都较为方便,在应用层的话,其原理也是改写功能实现函数,从思路角度说,可以改写taskmgr.exe的txt段,导入表,对dll的函数代码进行hook等手法等三种。   无论哪种方法,可能都需要逆向一下Taskmgr.exe,分
发布时间:2016-12-23 05:45 | 阅读:130296 | 评论:0 | 标签:未分类

关于VulpeckerTeam(威派克团队)

VulpeckerTeam(威派克团队)是隶属于360公司信息安全部的内部安全团队,专注于移动安全研究,目前研究方向重点为安卓APP安全和安卓OEM手机安全。   目前团队维护开发了免费的在线Android应用安全扫描服务 appscan.360.cn ,正式命名为360显危镜,致力于为每个移动开发者提供免费的安全基础服务。团队的安全研究成果,发现了安卓通用型拒绝服务漏洞,影响市面上几乎所有的安卓产品,该通用型本地拒绝服务可以造成大面积的app拒绝服务; 发现了安卓APP新型通用安全漏洞“寄生兽”,安卓系统下包括支付宝、高德、微信等超过千万个APP都可能存在这一漏洞。在安全大会发表演讲,公开了多款手机浏览器的远程溢出漏洞和众多流行手机应用的远程攻击漏洞研究成果。   在保证360产品安全的前
发布时间:2016-08-25 02:20 | 阅读:104799 | 评论:0 | 标签:未分类

解读银监办发[2016]107号文

阅读: 72016年6月27日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》(简称“通知”)正式发布。通知指出,银行业网络和重要信息系统是国家关键信息基础设施,为进一步加强互联网安全风险应对,提升银行业整体防护能力,按照国家关键信息基础设施保护、网络安全风险专项应对工作的整体安排,决定组织开展银行业网络安全风险专项评估治理工作。同时,根据中央网信办《关于开展关键信息基础设施网络安全检查的通知》(中网办发文[2016]3号)的要求,需要各银监局、银行业金融机构认真做好国家关键信息基础设施网络安全检查相关工作。通知共分两个部分:第一部分是银行业网络安全风险专项评估治理,提出四个工作要求,包含:(1)网络和信息系统安全风险评估(2

Drupal Coder 模块远程命令执行分析(SA-CONTRIB-2016-039)

作者:曾鸿坤@安恒安全研究院、黄伟杰@安恒安全研究院 背景: 今年7月13日,Drupal发布了一个高危漏洞公告(DRUPAL-SA-CONTRIB-2016-039),即Coder模块的远程代码执行(在没有启用模块的情况下,漏洞也可以被触发)。 但是这个模块不是Drupal默认自带的模块,所以影响范围有限。 Drupal的Coder模块主要有以下两个功能: 用来检查代码文件是否符合Drupal编码标准,是否兼容当前版本的Drupal API。 用来将旧模块升级至符合当前Drupal标准的模块。 影响范围: Coder module 7.x-1.x versions prior to 7.x-1.3. Coder module 7.x-2.x versions prior to 7.x-2.6. 分析
发布时间:2016-07-25 23:55 | 阅读:109696 | 评论:0 | 标签:未分类

中国电信安全帮 绿盟科技帮安全

阅读: 87月1日,北京。继1月份与中国电信签署战略合作协议后,绿盟科技持续与其云安全产品研发领域开展合作,为电信“安全帮”提供服务支撑,包括Web安全监测及防御、DDoS防御、云SaaS服务能力研发,这表明绿盟科技及其云安全服务平台“绿盟云”正逐步完善其生态系统。 文章目录互帮互助 绿盟科技为安全帮提供服务支持百万派送 安全帮云安全服务商城开业庆典活动内容求贤若渴 绿盟科技和小伙伴们共建生态圈关于“安全帮”关于“绿盟科技”互帮互助 绿盟科技为安全帮提供服务支持电信市场是在不断变化的,在“互联网+”时代,市场的竞争更为剧烈。换一个角度来说,这种环境恰恰促成了市场创新的动力,如何在不断迭代的是市场环境中发现机会,并利用手头的资源构建新的业务模式来捕捉机会是工作的重点。在这样的大背景下,绿盟科技与中国电信展开战略合

Discuz ssrf rce(redis情况下)

漏洞概述 discus支持多种缓存方式(redis,memcache),而一般情况下,大多数都会将redis或memcache安装在本地,而且默认安装的redis是可以直接访问的,不需要账号密码,这里就有一个潜在的问题,如果discuz的安全性得不到保证,存在ssrf,那么有几率导致ssrf操作redis从而修改缓存注入我们自己的代码。 漏洞详情 如果discuz启用后台的缓存,具体在“全局”—>”内存优化”中,默认这里是不启用的,要修改和启用缓存,我们需要修改discuz中config/config_golbal.php文件,修改里面关于redis的设置。当启用了redis后,discuz会将缓存存放在$_G中。 接下来我们来分析具体代码 sourceclassdiscuzdiscuz_applica
发布时间:2016-06-27 04:30 | 阅读:202544 | 评论:0 | 标签:未分类 discuz

apache struts2 最新s2-037漏洞分析

天融信阿尔法实验室  李喆  张萌 李明政   最近struts2又爆出了一个新的远程命令执行漏洞s2-037,CVE编号为CVE-2016-4438,天融信阿尔法实验室第一时间跟进了该漏洞,并搭建了相应环境对漏洞进行了复现和分析。 1 struts2 s2-037远程代码执行漏洞介绍 S2-037的漏洞利用思路建立在s2-033的基础只上,还是对method没有进行过滤导致的,漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST插件的Struts2应用,会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有专门的页面进行整理和汇总,可以从这个页面找到历次的struts2的漏洞。 https://cwiki.apache
发布时间:2016-06-17 23:00 | 阅读:100948 | 评论:0 | 标签:未分类 漏洞

通过Windows批处理自动配置DNS服务器

有时候我会在自己的PC机上启一个dns代理服务器,用来记录本机所有的DNS查询,收集各大公司的域名。 启动脚本的时候,会自动配置主DNS服务器到127.0.0.1,通过netsh命令实现即可:netsh interface ipv4 set dnsservers "本地连接" static 127.0.0.1 netsh interface ipv4 add dns name="本地连接" addr="8.8.8.8" index=2以上将主dns设置为127.0.0.1,辅dns服务器设置为8.8.8.8。 同理,在代理程序中止的时候,又自动将DNS设置还原为原始IP。
发布时间:2016-06-04 04:35 | 阅读:90604 | 评论:0 | 标签:未分类 DNS

windows监视HTTP连接数的批处理脚本

在windows下写python的web漏扫脚本,有时候需要观察http连接数。 可以使用如下批处理:@echo off :count echo|set /p="Num of HTTP Connections: " & netstat -na | find /C ":80" timeout 3 > nul GOTO count将上述脚本保存为http_conn.bat,在扫描时可以简单地监视http连接:
发布时间:2016-05-10 23:30 | 阅读:75113 | 评论:0 | 标签:未分类

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云