记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

攻防实例 | 某网站被黑入侵轨迹分析

0x00 导言在本文中,笔者将会简单介绍网站上传漏洞,并最终介绍下防护方法。0x01 背景2015年9月15日,某知名网站突然只能访问网站首页,其他页面均不能访问,找到安全狗技术帮忙处理。远程上服务器后发现,网站所有文件都被拷贝到了别的盘符。只留下了首页文件。经过确认,该服务器管理员只有一人,且并未进行过此项操作,因此怀疑是被黑了。0x02 日志分析从安全狗日志中能发先大量的入侵尝试,网站扫描,如图:从安全狗软件日志中分析,安全狗有一定的防护作用,拦截大量攻击、入侵,但网站程序存在漏洞和网马,无法全部拦截,分析入侵者可能通过大量扫描或者通过已知网马绕过,进入服务器获得服务器权限。从服务器服云告警分析:iisuser 账号于2015-09-17 03:49:25时间远程登录服务器,IP113.xx.xxx.xx,
发布时间:2015-12-04 11:50 | 阅读:87195 | 评论:0 | 标签:牛技术 黑极空间 安全狗 安全运维 漏洞

NSA是这样入侵数万亿加密连接的

爱德华·斯诺登(Edward Snowden)2013年泄密称,美国国家安全局(NSA)能够破解互联网上使用的一些强加密算法,拦截基于VPN、SSH和HTTPS的数万亿通信连接,阅读数全球数百万计的私人电子邮件。但这已经不是什么新鲜消息了,如今人们更加关注NSA是通过何种方法获得破解能力的。经过来自多个知名机构的14位密码学专家协同研究,这个问题如今可能有了答案。亚历克斯·哈德曼(Alex Halderman)和纳蒂亚·赫宁格(Nadia Heninger)领导的研究小组在本周三举行的ACM计算机和通信安全学术会议上发表了名为《不完美的前向安全:迪菲-赫尔曼算法的失败》的论文。文中称,NSA已经破解了迪菲-赫尔曼密钥交换(DH)算法的通用实现,并得以窃听大量的HHTPS、SSH、VPN连接。DH算法通常用于在非
发布时间:2015-10-20 07:50 | 阅读:107826 | 评论:0 | 标签:牛技术 NSA 加密连接 加密

利用传感器检测手机恶意软件的新型检测技术

移动端的恶意软件问题正愈演愈烈,伯明翰阿拉巴马大学的研究者们开发了一种新的技术,以检测可疑手机软件进行的恶意行为,比如偷偷拨打用户并不知道的公共电话号码。这项技术依赖于手机的运动、位置以及环境传感器,以找出用户在使用打电话、拍照片、NFC扫描信用卡服务时的操作模式。一些移动端恶意软件正在滥用这些服务,而安全专家认为这样的情况会越来越多。阿拉巴马大学开发的技术可以监控这三种服务,找出哪些行为并非来自用户的正常操作。这项研究涉及到机器学习领域。安全软件需要从真实生活的场景中提取数据,发现不同用户之间行为模式的差别,从而精确探测恶意软件的异常行为。因此,这是一种可行的恶意软件防护模式。该项目的负责人表示,他们的技术并不需要对手机root,这比大多数基于特征识别的手机反病毒软件要好。由于缺乏对新型恶意软件的特征记录,传
发布时间:2015-03-30 16:10 | 阅读:72345 | 评论:0 | 标签:牛工具 牛技术 移动安全 手机传感器 识别恶意软件

又一突破物理隔绝的黑客技术:通过热量窃取电脑信息

物理隔绝是一种通常用在高安全级别机构中的技术,系统中的设备和互联网并没有直接或者间接的连接,这使得数据泄露十分困难。 这种系统通常用在机密军事网络、存储借记卡和信用卡信息的支付网络,以及关键设施的工业控制系统中。有些掌握敏感数据的记者也使用物理隔绝来防止入侵者远程入侵他们的设备。从物理隔绝系统中偷取数据往往需要从物理上直接和设备进行连接,通过移动存储设备,比如USB闪存盘或者火线接口直接将自己的计算机和目标系统相连。 但是以色列本古里安大学的研究者们发现,通过热成像和电脑的内置传感器,也可以直接从物理隔绝的电脑中窃取数据。这种方法使得攻击者得以在目标系统附近远程盗取密码和安全密钥,传送到互联网上。黑客还可以通过这项技术,利用自己的电脑向目标系统传送恶意指令。 在演示视频中,研究者们演示了如何从一台电脑上向邻近
发布时间:2015-03-25 18:25 | 阅读:104860 | 评论:0 | 标签:牛工具 牛技术 物理隔绝 边信道

【安全课堂】缓冲区溢出浅析之二

在《缓冲区浅析之一》里,以针对nMap扫描器的二进制封装为例,我们讨论了一个简单的堆栈缓冲区溢出漏洞。我们展示了动过手脚的命令行参数是如何在堆栈上触发用户数据溢出的。SYN二进制扫描器在将数据提交给堆栈上的固定长度缓冲区之前,并没有对用户提供的缓冲区长度进行检查。在Debugger里进行分析时,我们发现该程序试图访问我们指定的内存地址0xdeadbeef。 这种情况为什么会发生?在回答这个问题之前,很有必要了解一下堆栈调用的工作原理。 每当一个函数被调用,堆栈指针就向下移动到邻近的地址,同时加上调用来源的相关信息,当函数返回时,这一信息按理将被清除。此外,每个函数都带有开场声明信息,这部分信息将自动在堆栈里占用特定大小的空间,比如样例程序里的`char buf[64]`语句。 这意味着buf是一个指针,指向比存
发布时间:2015-03-16 12:20 | 阅读:68621 | 评论:0 | 标签:安全开发 牛技术 牛观点 C语言 缓冲区溢出 溢出

【安全课堂】6大绝招保护你的安卓手机

业内主流分析认为,谷歌拥有的安卓移动操作系统在智能手机中的安装率高达87%。安卓设备的流行也带来了严重的安全问题。据网络安全公司F-Secure最新发布的数据显示,在2013年,在所有的移动类恶意软件中,有97%以安卓设备为攻击目标。全球化、软硬件厂商、非授权应用商店等都是安全漏洞的产生之源。下面的6种安全习惯,帮助您保护您的安卓手机,远离恶意软件和病毒的攻击。1. 可信可控如果你的安卓手机可以直接得到谷歌的官方更新,安全性会大大的提升。但由于众所周知的原因,中国大陆的互联网用户并不能直接访问到谷歌。因此,国内的用户更加需要注重安全并保持警惕。除了给手机设置密码以外,要在可靠的地方,如大型应用商店,下载和安装应用,这一点尤其重要。绝大部分含有恶意软件的应用,在上架前都很难过检测这一关。另外,还需要注意安装软件时
发布时间:2015-03-11 03:35 | 阅读:66914 | 评论:0 | 标签:牛技术 安全设置 安卓

解构APT:高级持续性威胁的前生今世

就像来自IT、信息、网络安全行业很多缩略词一样,APT(高级持续性威胁)这个术语正变得广为人知。就像新生概念一样,它和它的兄弟词语AET(高级逃逸技术)占据了当今各大媒体的头条。然而,从这两个术语涉及的最基本层面上来看,它们并没有任何创新。新的简写的确概括了当今这个高度信息化的时代遇到的一些真正的威胁,但它们只是在没人注意的时候偷偷重新发明了自己。因此,APT里代表持续性(Persistent)的那个“P”看上去才显得如此恰当(apt本身就是个英文单词,有恰当的、合适的意思)。随着攻击技术的不断发展,历史上的威胁和今天的威胁之间有一个微妙的区别。一些人利用严肃的计划和项目管理技术创造了用于实战的高级逃逸技术,这使得当今的恶意行为如虎添翼。早在1993年,计算机病毒还是当时最新潮的现象。在英国皇家空军的计算机安全
发布时间:2015-03-09 13:05 | 阅读:73436 | 评论:0 | 标签:牛技术 牛观点 APT攻击 高级逃逸技术

【安全课堂】缓冲区溢出浅析

许多程序员在编程时都没有遵循一条规则,即操作字符串时,边界检查是必需的。否则,就有可能出现堆栈缓冲区溢出。不管你是一个开发人员,还是测试或研究人员,理解缓冲区溢出的原理都很重要。尽管操作系统和编译器已经提升了安全性,但最好的安全还是自己能够识别并消除这种潜在的编程错误。本文将通过一个编程例子,简要分析堆栈缓冲区溢出的原理和利用。下面是一段对特定目标进行Nmap TCP SYN扫描的源代码:当编译后,这段代码会接受一个命令行参数,然后把它传递给 /usr/bin/nmap作为扫描目标。源代码编译后的二进制文件在此目录中。键 入“ls”命令,可以看到root用户拥有的/usr/bin/synscan文件处于suid和sgid用户组中,也就意味着synscan的执行环境 得到root权限的许可,因此SYN扫描可以由任
发布时间:2015-03-09 00:15 | 阅读:95827 | 评论:0 | 标签:安全开发 牛技术 C语言 缓冲区溢出 溢出

高通超声3D指纹扫描仪:手指取代密码指日可待

声波不仅仅对声音适用,也极适合录取你的指纹,也许终有一天会取代难记的密码。你根本想象不到声音也能录下你的指纹在目前,你的安全指纹扫描只在皮肤状况良好的情况下才好用。手指过热或过冷,被乳液或汗液弄滑了,读取器都有可能无法准确获取你的指纹。但高通公司在全球移动通信展(Mobile World Congress)上推出的骁龙感应ID(Snapdragon Sense ID)3D指纹扫描技术则解决了这个问题。它采用超声波捕获用户的指纹——几乎所有状况下都能成功捕获。3D指纹更安全高通的指纹扫描仪采用高频超声波穿透皮肤真皮层提取您独特的指纹特征,包括指纹脊线,甚至——惊悚的来了——汗毛孔。由于声音可以穿透如汗渍油渍等污物,您的日常活动完全不会影响到完美指纹的提取。实际上,高通公司表示,您日常活动的结晶还能改善扫描结果,使
发布时间:2015-03-05 19:20 | 阅读:79572 | 评论:0 | 标签:牛工具 牛技术 指纹3D扫描 生物识别 扫描

利用“五十度灰”将恶意代码隐藏在PDF文档中

黑客可以利用黑白灰度级图片的形式把恶意代码隐藏在PDF文档中,并躲开防病毒程序的检测,然后在文档阅读器打开这个PDF文档时,恶意代码得以执行。丹麦的一位安全人员发现,通过有损图片压缩软件,如JPXDecode或DCTDecode,可以把恶意代码嵌入到PDF文档中,而防病毒软件或PDF验证工具通常会忽略这些压缩工具压缩的数据。有损压缩只对图片有效,对代码无效,因此安全软件会认为有损压缩后的数据无法包含恶意代码。但这名丹麦的研究人员奥瓦里已经证明,用有损压缩软件压缩的JPEG图片可以隐藏恶意代码,而且彩色的JPEG图片的确会丢失数据破坏代码,但高质量的灰度级黑白JPEG图片则可成功避免代码损失。奥瓦里已经开发出一个概念性验证程序,并把一段JavaScript代码以灰度级图片的形式嵌入到一个PDF文档中,并确保在文档
发布时间:2015-03-04 17:50 | 阅读:80462 | 评论:0 | 标签:牛工具 牛技术 PDF 有损压缩

破解加密系统 如何人不知鬼不觉地设置后门

在密码学领域,秘密植入可窃听通信数据的“后门”是长期以来困扰众学者的噩梦,但这并不意味着密码学家们就不能欣赏破密者的解密艺术。时至今日,一组密码专家们就发表了一份针对多种弱化加密系统的方法的评估报告,报告显示:某些后门明显比其他更优良——在隐匿性、抵赖性,甚至保护受害者隐私不被其他后门植入者知晓的排他性方面。在这份名为《偷偷弱化加密系统》(Surreptitiously Weakening Cryptographic Systems)的报告中,著名密码学家兼作家 布鲁斯·施奈尔和来自威斯康星大学及华盛顿大学的研究员们从间谍的视角探讨加密艺术问题:哪种类型的内置后门监控是最好的?他们分析了近20年来加密系统中存在过的刻意或看起来非刻意的漏洞,并排了个序。结果显示(尽管很不乐意承认),美国国家安全局(NSA)最近的
发布时间:2015-03-04 17:50 | 阅读:82210 | 评论:0 | 标签:牛工具 牛技术 加密系统 隐藏后门 后门 加密

无需入侵搞定你 联想网站是这样被黑的

想象一下这个场景:如平常一般的工作日,踏入办公室,打开电脑,公司网站上挂的是黑客放置的消息和图片,推特上还有发送给公司的内部邮件的截屏。这就是昨天联想集团遭遇的状况——尽管没有任何证据表明这家PC巨头自身的服务器被攻陷了。联想最近预装到用户计算机上的快鱼(Superfish)广告软件被指易使用户遭受SSL攻击,先不管一场不可避免的集体诉讼官司,眼下官网上挥手的长发少年就又是一个丑闻。现在问题来了:公司官网是如何在未遭真实入侵的情况下眨眼间就形象大变呢?事实是:你的网站根本就不用遭到攻击才会沦陷到黑客手中。相反,黑客们需要做的仅仅是劫持你的站点,要达到这个目的,稍微动动你的域名系统(DNS)记录就行了。安全人员声称,联想官网被劫持是因为蜥蜴小队(黑客团伙)侵入了托管着Lenovo.com和其他约60万个网站的DN
发布时间:2015-02-28 12:10 | 阅读:104784 | 评论:0 | 标签:CISSP 牛技术 牛观点 牛课程 联想被黑 蜥蜴小组

加密妙招:让逆向工程毫无用武之地

软件逆向工程,解构程序分析其运作机制的艺术,高端黑客得以彻底探索代码查找可供利用漏洞的利器。同时,它也是这些黑客的恶意软件被破解和无害化的不二法门。而现在,一个新的加密小妙招就能使黑帽子和白帽子双方的逆向工程工作都很难开展。将于下个月在新加坡举行的SyScan安全大会上,安全研究员Jacob Torrey计划展示他称之为“反逆向工程系统”(HARES)的一种新的机制。Torrey的方法在于加密软件代码,并且只在代码即将被执行的最后一秒才在处理器中解密代码。这将阻止逆向工程工具在程序运行时读取被解密的真实代码。结果就是:想盗版软件的黑客难以破解软件,无法找出安全漏洞,甚至,在某些情况下连弄清软件的基本功能都做不到。“这将使应用程序完全不透明。软件算法无法被逆向工程解析,脆弱点无法被找到。” 像Adobe
发布时间:2015-02-25 20:50 | 阅读:66867 | 评论:0 | 标签:安全开发 牛工具 牛技术 代码加密 逆向工程 加密

谷歌欲改变SSL警告:用简洁换技术

很多用户看不懂基于浏览器的SSL警告,更别说按警告操作了。谷歌想改变这一现状。它花费数年时间针对人类对警告信号的反应进行跨学科研究,并基于此研发了其最新型浏览器警告。“异议分子、毒贩子和外交官们有一个共同点:他们都依靠SSL帮助保证他们的网上通信是保密的。SSL保护他们的电子邮件、推特和银行对账单在传输过程中免遭窃听或篡改。”--《宾夕法尼亚大学和谷歌的联合研究报告》有意思的是,依据新的研究,SSL警告的有效性几乎与安全无关。事实上,SSL警告需要简单易读倒是愈加确认了——无论是从理解方面,还是从选项设计方面,另外还要提供清晰的操作指南。换句话说,SSL警告需要简单化。这份研究报告的作者们表示,报刊文章要以六年级的阅读水平写就,这样才能使任何人都能看懂那些新闻。SSL警告也应该遵循同样的准则。谷歌这份最新SSL
发布时间:2015-02-09 12:10 | 阅读:89138 | 评论:0 | 标签:web安全 安全报告 牛工具 牛技术 SSL 安全警告

这家初创公司通过CPU拦截恶意软件

一家有着军方和学术界背景的初创公司,通过分析硬件性能揪出恶意软件——不是软件也不是网络设备行为,而是硬件!PFP网络安全的检测系统通过对比处理器当前射频输出与正常输出基线的差异来检测异常。一旦检测出可能代表恶意活动的异常,就触发警报,然后交给其他工具进行分析,找出到底是什么问题。这套系统可用于监控执行相同任务的大批量相似设备,比如在电网、化工厂中用到的数据采集与监控(SCADA)网络中的设备。美国能源部下属24个国家实验室之一的萨瓦纳河国家实验室正考虑将这套系统用于保护其智能网格中继。也可用于出厂设备的检测,从新出厂的大量设备中检测出残次品或被篡改过的产品。这项技术源自弗吉尼亚理工大学2006年至2010年所作的一项研究,并受到美国国防部、国防高级研究计划局(DARPA)和国土安全部(DHS)的资助。研究人员原
发布时间:2015-01-31 02:45 | 阅读:76689 | 评论:0 | 标签:应用安全 牛工具 牛技术 初创公司 硬件检测

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云