Nightmare的胡言亂語

以往在查找特定系統平台或軟體版本之弱點時，最討厭的就是找到一堆不想要的弱點，今天看到一個網站(http://www.cvedetails.com/)將CVE弱點資料庫整理得相當完整，並且提供了很多彈性的搜集方式，呈現方式也相當的直觀，可以很輕易地幫助我們找到想找的弱點，而且除了弱點描述外，連CVSS的弱點風險指數也都詳細記載，讓我們更容易地根據弱點風險進行處理。

例如我想找手邊Windows 2008 server目前有哪些已知弱點，便可以根據Vendor進行搜尋，找到Microsoft之後選擇Windows Server 2008，系統便會將Window Server 2008的弱點根據年份與種類全部列出來(http://www.cvedetails.com/product/11366/Microsoft-Windows-Server-2008.html?vendor_id=26)，如下

 

接著若我對今年出爐的Code Execution的弱點有興趣，即可點選列為2012年，欄為code execution的部分，即可帶出今年發現的windows server 2008 code execution弱點清單(http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-11366/year-2012/opec-1/Microsoft-Windows-Server-2008.html)，是不是很方便呢？

 

最近發現伺服器HTTP Service上面老是有404的Log，仔細看一下都是掃描PHPMyAdmin目錄，上網查詢了一下發現原來是八月份被公佈的PHPMyAdmin漏洞，這個漏洞可以讓駭客透過PHPMyAdmin資料夾下面script/setup.php遠端執行php程式碼，從網路上的行為看起來，這支bot應該是修改去年被公佈的同一隻程式漏洞的exploit code修改而來，這支exploit code已經可以利用google關鍵字搜尋結果進行PHPMyAdmin的目錄猜測以及攻擊，攻擊過後會在/tmp植入dd_ssh這支bot，這支bot會對SSH登入密碼進行暴力破解，同時會將Server加入C&C的Control中，下面這篇文章對這次的攻擊有滿詳細的說明，有興趣的人可以參考看看。

IRC-based Botnet (phpmyadmin injection)

Botnet Trend: phpMyAdmin & SSH Attacks

 

 

 

 

JavaScript和VB Script一直以來都是很著名的Client端程式語言，在以往Javascript都被應用於網頁程式寫作上來完成一些特效以及控制項，Javascript由Client端(瀏覽器)執行特性可以降低Web Server部分的負擔，但是由於Javascript在用戶瀏覽器上面可以被停用，所以大部分的檢查作業還是要依賴ServerSide Script Language，如：PHP、JSP、ASP以及PERL等等來完成，直到重視使用者瀏覽經驗的Web 2.0以及AJAX這個名詞被廣泛應用後，Javascript才逐漸的被網頁程式開發者重視，不過，Javascript與VB Script事實上也可以作為Windows系統上面的Script Language使用。

事實上，早在Windows 2000 Server時代，Windows就可以透過Windows Script Host(WSH)來執行VB Script或者Javascript，這些輕量化的Script語言可以取代批次檔(Batch,Bat)作用來幫助Server管理者做更多的事情，下面就是一個VB script的範例trick.vbs：

Set shell = Wscript.createobject("wscript.shell")
a = shell.run ("calc",1)
Wscript.Sleep 5000

昨天睡了一天終於等到OWASP第二天的重頭戲了，主辦單位一開場就來個下馬威，第一場就讓Robert的Clickjacking來幫大家提提神。

Clickjacking的基本原理就和我上篇談Clickjacking時提到別人的模擬code是一樣的，主要就是將一張偽裝的網頁疊在你真正希望被害者去點的網頁，這樣一來即使該網站沒有XSS漏洞你也可以強迫被害人去做一些他原本不會做的擊點動作，不過這樣的攻擊其實是有他的限制性的，因為即使用戶去擊點網頁也沒什麼了不起，但是如果被害者擊點了下面的勾勾，那我們就有新的自拍流出可以看囉。

沒錯，駭客可以偽裝任何網頁甚至是網頁小遊戲，只要可以誘使受害者在網頁上點一下，便可以透過flash plug-in在受害者毫不知情的狀況下來強迫分享webcam跟mic的視訊以及聲音，特別是那種把筆電當桌機然後又內建webcam的那種人，難怪adobe會求Robert不要在他們沒patch之前公佈這個0day，不過就算flash已經patch了，在Robert的Demo裡面也只是閃一下，被害者很容易就忽略掉了，不知道adobe是在patch心酸的喔?

不過我覺得Robert講的另外一個攻擊手法才是這次大會的一個技術亮點(亮點，對岸的用詞，大概是精華的意思，我不太會翻)，那就是透過google gadget來做CSRF，這是由於google本身存在著一些XSS問題，根據Robert的說法他早在幾年前就已經告知google此項問題，但是google並沒有做修正，所以他藉著google desktop上面的gadget來表演如何利用CSRF來竊取你在google上面的個人資料，他示範如何透過gadget來監控你在google上面的search字眼、買了哪幾支股票等等，事實上你在google用的服務越多(不管是google提供的或者別人開發的gadget)，CSRF可以得到的東西也就越多，當然也可以想像萬一session hijack成功的話，駭客幫你下單應該也不是太大的問題。

暨Syscan之後，又凹了主管讓我參加了OWASP，參加的目的當然是為了明天的Clickjacking囉，不然Web漏洞還能有什麼搞頭呢?講來講去不就是SQL Injection、XSS(SCRF)、File upload/download那些，不過能夠了解同業到底在做些什麼，類似的工作該怎麼包裝成產品，其實還滿有趣的，不過變成工作就不有趣了，非常的annoying。

今天令我印象較深刻的大概就是P.K.跟Birdman的Topic，很佩服Birdman可以把掛馬這玩意兒玩得這麼透徹，Sandbox分析跟Javascript Interpreter的結合，在很久以前自己就想搞了(聽說Birdman更早以前就在搞了)，但是怎麼弄就是沒辦法把spidermonkey/rhino搭配Sandbox弄起來，一方面是自己程式能力還沒到哪個等級，另一方面是因為自己半調子的個性，每次看到有趣的新東西就情不自禁想去摸一下，結果到後來還是一個東西都生不出來

和Birdman不同的是P.K.的Presentation每次都讓人有種驚艷的感覺，除了他每次使用的手法跟演講Topic不會和其他Speaker重複之外，更讓人驚訝的是警界居然有個這麼威的黑客，果然還是不要讓警官先生認識比較好。

整體而言，攻擊手法沒有太大改變，但是偵測方法卻各有巧妙，尤其聽到把白箱測試、黑箱測試以及軟體生命週期運用在檢測軟體漏洞，讓我感覺好親切呀，這....不就是我當初的論文題目嗎(像是用有限狀態機來做Web AP的半黑箱測試之類的)?雖然後來論文被改成做其他東西，不過有人這樣搞就表示這東西應該是有搞頭，果然學術界跟業界Focus的點不太一樣，學生時代的火有種又被點燃感覺。

今天鋒哥傳給我一篇鬼仔's blog上面轉貼的文章，裡面提到了本來在今年的OWASP上面RSnake 和 Jeremiah Grossman要發表Clickjacking的漏洞相關細節，但是由於Adobe的請求所以他們就不發表這個漏洞實作的詳細細節，大概是因為這漏洞一出來目前市面上除了lynx這種Command line base的瀏覽器之外，大概都會被打暴吧。

根據現有的微薄資料稍微研究了一下Clickhijacking的原理，大概就是基於hidden iframe的CSRF(今年下半年是CSRF年嗎?怎麼大家都在打這個東西XD)，稍稍看了一下別人模擬的code，突然覺得我之前監聽鍵盤動作的方式好像也可以拿來這樣玩(靠事件監聽來控制iframe)，但是聽說這攻擊不一定要靠Javascript，所以這方式可能離真的Clickjacking還有一段距離，有空再來研究看看不靠javascript要怎麼完成囉。

其他參考資料：

Firefox+No Script V.S. Clickhijacking

Clickjacking : researchers raise alert for scary new cross-browser exploit

最近剛好處理了幾件網站被入侵的事件，剛好強者我同事峰哥也開發出一套分析IIS Log的程式，我想IIS洞這麼多再加上ASP先天不良的結果應該也有不少苦主也會開發一些關於IIS Log的分析程式吧，上網找了一下發現微軟自己就出了一套Log Parser。

更在SecurityFocus上面找到一篇非常精闢的文章，可以告訴你如何用Log Parser找出有問題的點，如果懷疑網頁被入侵了卻苦無頭緒，不妨參考這篇試試。

早上看到一個IE7未修補漏洞的攻擊PoC，攻擊者可以透過這個攻擊在使用者電腦上任意執行任何指令，原作者在上週四已經通知微軟，目前尚未有任何修補程式釋出，不過也先不用擔心，因為這個攻擊要完成的條件比較複雜，所以在secunia的風險等級也只是低而已，受影響的軟體版本為ie7跟ie8b，我的肉雞上還沒更新至5/14的update，所以不知道今天的更新有沒有包含這個，不過看secunia的5/14的advisory上面寫是還沒有patch可以用，所以我先把這個漏洞當0 day來看，下面是這個0day的說明以及PoC Code，如果需要了解更詳細的資訊，請至漏洞揭露者的網站參觀這篇文章。

這個漏洞主要是針對列印網頁時，可勾選"Print Table of Links"(圖可以看這裡，中文版叫什麼我忘了，改天再從肉雞上面截圖貼過來)，此時若網頁上面有一個惡意的Link，像http://www.google.com/?q=<script defer>new ActiveXObject(“Wscript.Shell”).run(“calc”)</script>這樣，且瀏覽網頁的人勾選了這個選項，並按列印之後，就會執行計算機(calc)，當然攻擊者會執行一些更邪惡的指令，或許你會想，誰這麼無聊看網頁還要列印，不過如果攻擊者將網頁偽裝成折價卷呢?透過社交工程要完成這樣的攻擊還是有機會的，所以，在微軟釋放出新的更新之前，大家要注意這類網頁。

下面這個Sample Code是原作者提供，這個網頁裡的Link是看不到的，而且會在網頁讀完後執行Print指令，如果再搭配上像是常見的速食店折價卷我想還是有可能造成一些資安上的威脅。

這兩天聽說同事中毒，會發送一個網址請你去點他(等了昨天等了一天發現沒收到有點失望)，今天看到辦公室在討論客戶的case，有好幾個同事的朋友或者是我們的客戶也會傳送同樣的訊息，追查結果是....他們都被當魚釣了，怎麼這個之前爆過的東西又捲土重來?還是我們這裡Lag太大.....@@

釣魚網頁告訴你說可以只要輸入msn帳密就可以查出誰封鎖你，接著對方就會利用MSN Bot登入你的MSN帳號大量發送釣魚網站給所有聯絡人，wow真是太方便了，連寫病毒都不用...good job(社交工程學果然屌)

經過今天下午測試有幾個釣魚網站還是活著的，提醒大家要小心喔，如果發現自己可能是受害人趕快去改密碼，不要在那邊傻傻的掃毒重灌XD(今天有人恍然大悟的跟我說："難怪我都掃不到病毒。")

Trend Micro falls to victim to web hack

看樣子好像是白色情人節附近的事情...最近有上去趨勢網頁過的要注意點

有時候真的覺得自己太雞婆了一點，haha

今天早上跟cactus討論這件事。
cactus說：「你就破相簿給他看呀」
內有抱怨文

這個題目是我下禮拜應范媽媽邀請與大學部同學講解網路安全的主題(看心情決定要不要demo 3個 zero day，讚吧，cactus一定會說我邪惡:p)，在感嘆孩子的學習之外，我們也來談談生活週遭的黑暗面吧，目前網頁相關攻擊手法不外乎是SQL Injection、XSS跟phishing

SQL Injection

SQL Injection已經是一個被玩到爛掉的一個網頁漏洞，主要是因為程式設計師沒有好好過濾使用者輸入而讓使用者得以在輸入內容中安插一些SQL語法，當程式沒檢查這些輸入時，就會依照這些語法去完成惡意使用者希望程式去做的事，例如，將資料庫備分到網頁目錄下又或者是繞過使用者檢查直接登入系統，如果是遇到SQL Server還有可能直接在那台Server上面建立使用者帳號，通常會有SQL Injection的網站多半是由ASP跟JSP所寫成的，而PHP雖然也有這方面問題，但是拜magic _qoute所賜，這方面影響稍微小了一點，但是並不是說PHP就不會有SQL Injection，祇是比較少而已。

今天心血來潮把我寫的幾支實驗性的惡意程式丟給防毒軟體掃一下，果不其然一支都沒被掃到，其中在實驗今天下午寫的零時差攻擊碼的時候有一點小心得，為什麼要實驗這個呢?因為我想要知道當軟體公司還沒放出更新之前，防毒軟體能不能幫忙我們預防這些惡意程式，結論是，如果hacker真的要讓防毒掃不到，那防毒軟體要掃到還真的好像有點困難。

主要的實驗對象是某S家N什麼碗糕的防毒軟體企業版，這支防毒軟體有趣的地方在於我感覺他會主動將執行檔的binary拿來掃，檢查裡面的特徵，因此當我將一些16進位的攻擊碼(shellcode)編成攻擊程式的時候，防毒軟體可以掃到這些攻擊程式，但是如果我使用一些比較冷門的shellcode或者是其他用途的shellcode，防毒就沒辦法有效的偵測攻擊程式，的確從程式行為上面來判斷是否為惡意程式應該是防毒軟體的設計方法，不過這樣的設計方法依然還是有缺陷，使得我自行設計的實驗程式可以通過防毒軟體的檢測，更不用說什麼利用壓縮加殼了，somehow我覺得這有可能成為阿虎哥 [註一] 論文的主要貢獻，如果他的程式可以抓到我的實驗程式的話，那防毒就都不用混啦~~~

所以今天的實驗再次的證明我常跟人家講的一句話─防毒軟體是裝心安的，重要的是你使用網路的習慣，因此，不要以為裝了防毒軟體跟防火牆就天下無敵囉，電腦只要是插上網路線就有危險。

雖然這是舊聞(兩天前的新聞)了，不過微軟還沒有放出Patch，請大家在這段時間內盡量不要用IE開網頁，今天下午我已經把exploit code寫出來了(可以賣錢嗎?XD)，真的可以在不知不覺下面把木馬種進去唷，重點是防毒軟體掃不到!!!!!根據實驗結果，firefox不受這個漏洞的影響(廢話，因為是IE處理滑鼠游標動畫的問題)，受影響的版本幾乎包括了目前所有的IE版本，連IE7都在影響範圍之內，根據目前網路上的資料只有vista在保護模式下執行IE7可不受此漏洞影響，目前有一些非官方的patch，不過我想正常人還是不會用啦，所以還是換Firefox吧~~哈哈，雖然Firefox最新版本也有一個漏洞，但是跟這個洞相比是小巫見大巫啦~~~
(3/31晚間已經看到有人放出exploit code了，這表示只要懂一點程式就可以利用這個漏洞了，大家保重)
欲知詳情請參考：
大砲開講
security focus

以往我們在抓病毒或者是木馬的時候最怕的就是木馬將自己透過dll injection將自己隱藏在正常的執行程序裡面，因此如果我們只用工作管理員來看的話，很難看得出這些正常的程序另外引用了哪些程序或者是這些程序的關連性，所以Process Explorer就可以幫助我們來處理這些問題。


在Process Explorer中，會將正在被執行的程式以紫色標示起來，我們可以透過分析這些程式、程式的實體路徑以及程序間的關連性來幫助我們更有效的發現問題。

這篇是我工作的筆記，也許有人會用到。
有鑒於病毒橫行，沒防火牆的電腦很容易在沒patch之前就被病毒感染，在比較目前幾家免費的firewall跟參考了防火牆評比報告後，我選擇了Jetico Personal Firewall，這套除了是英文可能會讓不熟firewall設定的人有點障礙之外，算是簡單好用的防火牆(zone alarm有點複雜)，以下是我蒐集的資料：
[防火牆]
Jetico Personal Firewall
http://www.jetico.com/index.htm#/jpfirewall.htm

    ntsd.exe是Windows 2000以上的系統內建的除錯工具(debugger)，因為最近讀了xfocus上面利用ntsd.exe來找出bufferover在記憶體中的return address而對這個東西產生興趣(以往都是用反組譯來尋找)，回到正題，許多病毒往往都會以系統權限執行，造成即使我們發現這個病毒也無法利用工作管理員停止這個執行緒，所以，我們必須重開機進入安全模式來清除這個病毒，現在，ntsd.exe提供了我們一個新的選擇。

    首先到工作管理員的處理程序中，找到該病毒的PID，如果你的工作管理員不顯示PID的話，麻煩到檢視那邊選擇一下欄位，把PID那欄勾起來，接著到命令提示字元下面，打上"ntsd -c q -p PID"，PID指的就是那個病毒執行檔的PID，比如說該病毒的PID是123，則你的指令就是ntsd -c q -p 123，按下ENTER後系統就會強迫將該執行緒停止，要注意的是很多病毒會把名字取得跟系統程序很像，可能是大小寫有差或者差一個字之類的，要停止之前要注意那個是不是系統程序，當你把該程序停掉之後，就直接到那個病毒所在的資料夾把那個執行檔給殺掉，這是不是比以往我們要重開機進入安全模式要來的快呢？

    此外，另外一個方法是用taskkill，一樣在命令提示字元下面打上"taskkill /im aaa"，aaa是執行檔名稱，比如說我要殺掉firefox.exe，我就可以打上taskkill /im firefox.exe，不過我覺得這個比較不保險，且這個方法僅限於XP使用，因此，ntsd.exe還是比較好用。