WoYiGui's BLoG

革命的本钱！

Sat, 24 Jul 2010 11:45:13 +0000

和我熟悉的人都已经很清楚了，最近我身体很虚，好几个病加在一起了，大便出血＋肚子疼＋眼疼＋头疼＋全身无力,让我痛苦的度过了一周。
本来就一个眼疼，后来扩散到好多病。。去“同立德”医院挂了两天的点滴，效果不佳。。。今天早上起床，又大便出血，有些担心，然后下午和ben总一起去了浙二医院，拿了百十块的眼药。马上折道去浙一医院，看肠外科，被医生无耻的暴了我的小菊花，啊！！！！然后确诊为”肛裂“，给我开了几百块钱的药。。哎，大悲剧啊。。。回家一看药的使用方法，还有两个直接塞进行的，擦~ 想起来就难受啊。。。看了三次，花了 800 左右，真贵啊！

好了，文章的目的是为了希望自己和大家注意身体，我决定做以下调整：
1、朋友喝酒--->朋友喝茶
2、在家抽烟--->在家看书
3、其他无意义的事情--> 逛街爬山
4、多吃水果啊，多吃水果！

上上周公司还搞了一个宣传，有一句话叫：有时间看住院看病，却没时间锻炼身体！

祝福大家身体健康，革命本钱别丢了啊，不要学我！我错了，我改了~~~~~~~~~~~~~~~~

我游上来了

Fri, 11 Jun 2010 17:49:11 +0000

是的，从上次说到“决定潜水三个月以上”以后，三个月未发表任何技术文章，倒发了 4 个招聘信息（现在招安全的人不易啊），现在我游上来了，不再潜了，因为我深深的了解到潜水的坏处！简单的总结一下这三个月的事情吧：
1、工作
     工作有了很大的调整，从中国北边跑到了南边，离家又远了好多，不过目前工作很好，深深体会到了一句话：快乐工作，认真生活。
2、爱情
     这个很悲剧，经历了一个长达 1 个月的爱情，让我重重的受到了一次打击，现实哇现实，本地人一般都排斥外地的打工仔，这不可否认的，很心痛，这让我心理上成熟了很多。还是村姑好哇！说不定过几年经不过父母的催促回家娶村姑去了。。
3、生活
    不知道是因为百X培训，还是长期爱情然后失恋，还是对生活的认识改变，认识我的人都说我变了，是的，我外表变的非常离谱，但是我的内心依然那么单纯，幼稚--------这个不是装B。

这三个月来，我自身的变化连我自己都不敢相信，我觉得我应该再调整一下，我觉得工作和爱情完全不能同在，有了爱情，工作就会不理想。如果单身的话，工作，技术就有很大提升！可能是我自己对于如何处理这方面问题有欠缺的地方吧，还是单身的好，很矛盾，又想找女友，哎！另外，从想法上还要更进一步的升华，对安全的宏观考虑还待提高。

本文关键句：
1、快乐工作，认真生活。
2、激情研究，提升想法。
3、强身健体，勤奋读书。
3、出来混的，要么混的牛B，要么回家种地！
Tags - 杂谈

新浪招聘安全工程师

Fri, 11 Jun 2010 09:07:06 +0000

工作地点：北京
招聘人数：1
联系邮箱：guizaicn@gmail.com
要求：熟悉钓鱼攻击和防范、XSS防护，熟悉常见的WEB漏洞，喜欢网络安全，最好有开发经验。
待遇面议

有兴趣的同学请联系。

Tags - 招聘 , job

招聘系统开发工程师(安全方向)

Tue, 11 May 2010 05:22:14 +0000

360安全卫士公司招聘如下人员：

系统开发工程师(安全方向) 1 名：

职位要求:
1.良好的技术感觉,快速的学习能力;
2. 精通php/shell/perl/python/c等至少一种语言;
3.对linux/Unix环境下的开发有一定经验;
4.对网络协议有一定的了解;
5.轻松阅读英文技术文档;
6.认可公司文化,有高度的责任心和良好的团队协作意识;
7.不限工作经验和学历。

满足如下要求有加分:
1. 有网络渗透测试和防护经验;
2.有过open source项目的开发经历;
3.对网络安全有兴趣。

岗位描述:
1.公司内部网络安全防护和信息安全管理系统的开发;
2.参与安全事件的排查,跟踪与定位;
3.参与日常的信息安全管理工作。

工作地点：
北京

简历投递方式：
Email:showrun.lee#gmail.com
Tags - 招聘

招聘安全测试工程师

Tue, 11 May 2010 05:09:44 +0000

招聘如下人员：

安全测试工程师：3人

职位描述：
1. 负责项目日常发布前的安全测试；
2. 负责引导和辅助开发人员修复安全问题；

职位要求：
1. 熟悉常见的web漏洞类型和原理；
2. 有网站攻击或者防御经验者优先；
3. 较强的好奇心，学习能力强，责任心强，沟通能力好；

工作地点：
杭州

简历投递方式：
Email: woyigui#gmail.com
QQ:283088088
Tags - 测试工程师 , 招聘

条形码XSS

Thu, 25 Feb 2010 13:25:29 +0000

只看图，等成功了再说话。

Link:
XSS, SQL Injection and Fuzzing Barcode Cheat Sheet
http://www.irongeek.com/xss-sql-injection-fuzzing-barcode-generator.php
Tags - xss

javascript事件解码引起的问题

Fri, 22 Jan 2010 10:39:10 +0000

在javascript 事件中，当参数是经过编码的值，javascript 会将期解码进行执行，如下代码。

xxx

另外，由于 javascript 支持函数参数可以是函数特性，如下代码：

利用两种特性，就可以引发如下的安全问题：

woyigui

当 javascript 代码经过编码带入页面，可以利用事件执行时解码的特性对单引号进行闭合，然后利用函数参数可以是函数的特性进行代码。该方法不能直接用于《script》内，比如如下代码是不能执行的：

由于如上问题，在特定应用环境中，处理与解决 DOM 型XSS 的时候，将更具有挑战。解决方法就是在解码后，再次使用 \ 符号对其处理，但是考虑到特殊应用可能有所影响。
Tags - xss

discuz 7.2 的反XSS函数

Fri, 08 Jan 2010 13:09:34 +0000

因这个 0day ，看了一下代码，发现 common.inc.php 文件中包含如下简单的防范代码：

if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
        $temp = urldecode($_SERVER['REQUEST_URI']);
        if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
                exit('Request Bad url');
}

用于防止XSS攻击，只支持反射型的,在某些环境下是可以绕过的。估计是N早加入了，估计是我out了。。

libcurl函数库的安全性

Wed, 23 Dec 2009 13:28:28 +0000

curl 库是一个免费的超大的客户端URL传输库，官方描述为：

引用

libcurl is a free and easy-to-use client-side URL transfer library, supporting FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, LDAP, LDAPS and FILE. libcurl supports SSL certificates, HTTP POST, HTTP PUT, FTP uploading, HTTP form based upload, proxies, cookies, user+password authentication (Basic, Digest, NTLM, Negotiate, Kerberos4), file transfer resume, http proxy tunneling and more! ]

如果我们想获取一个页面，可用如下简单的代码实现：
PHP code:

接着，我们就可以通过 http://www.woyigui.cn/curl.php?url=http://www.google.com 此url来获取google的页面，并输出到当前页面，非常方便。
同样的，用python 更为简单：

#!/usr/bin/env python
import urllib,sys

f = urllib.urlopen(sys.argv[1])
while 1:
        buf = f.read(2048)
        if not len(buf):
                break
        sys.stdout.write(buf)

就可以用以下方式获取页面：

$ ./downlaod.py http://www.woyigui.cn/index.php

也可以用：

$ ./downlaod.py http://www.woyigui.cn/phpinfo.tar.gz >> phpinfo.tar.gz

来下载文件。
当然了，还有更多的脚本都支持 curl 库。

那么，正因为 curl 的超大，同样支持的协议的非常多，所以安全问题也就随之而来。目前可以想到的可以引起以下几个问题：

1、任意文件查看漏洞
因其支持 file 协议，所以，刚才的 PHP 代码，如果被我们控制了 URL 参数，就可以用如下访问获取机器上的可以读权限的任意文件：

http://www.woyigui.cn/php_vul/curl_vul.php?url=file:///etc/passwd

这段代码用于获取/etc/passwd文件，在知道网站绝对路径的情况下，可以直接读取网站任意文件源代码：

http://192.168.9.30/php_vul/curl_vul.php?url=file:///var/www/config.inc.php

python 语言可以直接读取，也可以加协议头，我们用上面的python脚本：

woyigui@fvck:~/python$ ./downlaod.py /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
....

woyigui@fvck:~/python$ ./downlaod.py file:///etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
.....

2、绕过防火墙，渗透内网
假如有一个简单的网络拓扑结构：

A （攻击者：10.0.0.1）－－－》 B （WEB 服务器：10.0.0.10）－－－》 C （防火墙:防止外网IP访问内网机器，只允许 WEB 与内网之间传输数据）－－－》D（内网：192.168.9.2/254）

在这样的一个简单的网络环境中，如果WEB服务器存在一处可由用户构造的CUL 参数的页面，攻击者就可以利用 curl 的功能，进行内网访问数据，因为当执行 CURL 命令，进行网络请求时，都是由 WEB 服务器进行发起的，所以是可以实现的。
1) 访问内网 ftp 资源：

http://ww.woyigui.cn/php_vul/curl_vul.php?url=ftp://test:test@192.168.9.27

当然，如果确认此机器存在 ftp 服务器时，也可以通过返回值进行暴力破解。
2) 访问内网 http 资源：

http://www.woyigui.cn/php_vul/curl_vul.php?url=http://192.168.0.1

    在很多情况下，很多大的公司都会在内网进行搭建内部网站，或者论坛，然后提供一些公开内部资料可供下载等等，这时候，就可以利用 CURL 去请求内部HTTP服务器的文件。另外，也可以通过返回值，进而扫描内部 WEB 服务器。同样，在有些情况下，也可以通过请尔内部网站，发送GET 请尔， XSS 内部网站，同时，再利用 XSS ping 等方式，进一步做攻击。
    3) telnet 渗透内部服务器
    ...
    4) 利用 scp 协议访问主机资源
    ...
3、在线网页代理
     这个不算攻击范畴。
     因其可以获取远程页面，所以可以找一台米国肉J，或者shell也行，不过要支持 curl 库，可以参数 phpinfo 信息。做一个获取页面PHP文件，这样以后看网页就可以不被墙了。

因各种原因，另外几种就不提供测试方法，只要攻击者熟悉各种协议，比如 smb://  ftp:// 等，就可以达到攻击的目的。当然，肯定有其他的多种方法可扩展攻击性，使攻击最大化！这就要看各位看官了。
虽然此库在一般的WEB开发中，很少用。但是在一些WEB网络应用的网站，还是大大存在的。而且 curl 库支持多种脚本，所以在其他脚本或者语言中也可能存在问题，目前我只测试了 php 和 python 。
这个是官方提供的一个支持语言名单：

Ada95,Basic,C,C++,Ch,Cocoa,D,Dylan,Eiffel,Euphoria,Falcon,Ferite,Gambas,glib/GTK+,Haskell,ILE/RPG,Java,Lisp,Lua,Mono,.NET,Object-Pascal,OCaml,Pascal,Perl,PHP,Postgres,Python,R,Rexx,Ruby,Scheme,S-Lang,Smalltalk,SP-Forth,SPL,Tcl,Visual Basic,Visual FoxPro,Q,wxWidgets,XBLite

文中肯定没有把此功能攻击最大化，还需要各位的挖掘了。。：）

纠正：以下的python示例并不是使用了curl提供的库，而是使用自身的 urllib。curl 库对 python 提供了 pyUrl 库：http://pycurl.sourceforge.net/

参考：
http://curl.haxx.se/libcurl/
http://www.acunetix.com/blog/websecuritynews/acusensor-curl-and-zen-cart/
Tags - libcurl

Fuzz客户端存储对象，寻找client ddos

Tue, 22 Dec 2009 12:38:12 +0000

  注：发表在了第四期 Webzine，文中肯定有缺点，或者不好的地方。更多的访问：
  http://secinn.appspot.com/pstzine/read?issue=4

文/woyigui

目录：
一、前言
二、发现漏洞
三、漏洞利用
四、环境影响
五、漏洞原因
六、后记
七、参考

一、前言

  前一段墨西哥同学发现了一个关于http request header过长造成的一个server limit dos，
他那个是对cookie 写入一个超长的数据造成的。那么，我们可以根据此方法形成新的利用方法，Fuzzer http
头部进行攻击。只要造成WEB服务器返回40X 错误就行了。比如，向http的GET 头部信息的URL值设置特殊的符号，
服务器就会返回错误：

  GET /settings.aspx%22 HTTP/1.1   //此处
  Host: cn.bing.com
  User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5
  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  Accept-Language: zh-cn,zh;q=0.5
  Accept-Encoding: gzip,deflate
  Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
  Keep-Alive: 300
  Connection: keep-alive
  Cookie: _HOP=I=1&TS=1260805184; OVR=flt=0&DomainVertical=omdublin&Cashback=cbtest4&MSCorp=kievfinal&GeoPerf=0&Release=dsf3
  Cache-Control: max-age=0

  会引起问题的符号：" < > %
  同样情况，任何http头部字段都可伪造，进行超长、特殊构造，让服务器返回错误。但是，此类的攻击只是单次的，不能引起持久性攻击。就不符合我们本文的目的。
根据http协议看到，用于持久化保存用户状态的一共有4 种方式，分别为：Cookies、Flash Local shared objects、userdata、DOM storage。因为这几
种方法可以持久保存用户的状态，所以在重新打开浏览器的同时，依然可以保持，也就是说假如我们攻击成功，就可以实现持久性的 ddos 攻击了。一般情况，我们大多数
都是利用XSS 漏洞进行 ddos 客户端，所以以下方法我们都使用 Javascript 脚本进行设置各种对象，以实现各类的ddos攻击。

二、发现漏洞

  我们分别对四种持久性存储对象进行测试，以实现ddos攻击。首先，我们构造一个干净的平台，以防止引起其他错误。
  平台：
  IIS 6.0
  Firefox 3.5.5

  1、cookies

    前人已经对长度进行测试过了，所以我们就以中文字符来测试。Javascript 设置cookie的方法很简单，那么我们就创建一个空白页面，写入如下内容：

  然后进行浏览此页面，第一次浏览正常，接着刷新页面，就会返回 Bad Requeset 提示，说明已经被成功ddos了。那么设置中文的cookie却引起这样的问题呢？
  其实，这是因为由Javascript设置为中文，然后由Firefox浏览器客户端进行编码，然后发送http请求数据到iis web服务器的。而在Firefox编码的过程中，
  却将中文的cookie给编码成乱码了，也就是宽字符集的问题。我们可以在保持页面浏览的情况下，通过用以下语句进行查看当前设置的cookie值是什么样子的：

javascript:document.write(document.cookie);void(0)

然后页面输出如何畸形字符：

´ø^W=´ø^W\ý

    那么，是不是所有的中文字符都会引起的呢？当然不是，有些中文字符被Firefox编码后却不会引起问题，而有些中文字符编码会，就会和其他字符进行合并等其他
  操作引起的。这个可以通过脚本或者其他手工方式自由测试。

  2、Flash Local shared objects

    因其Flash Local shared objects 是信赖于 flash插件的，而Flash 只是做为浏览器的一个组件来实现功能。所以，我们不管怎么去做写入操作，最后
  只会造成 Flash 插件有问题，而不会造成 WEB 服务器返回错误，因为Flash 操作并不影响客户端与WEB服务器进行交互。在我测试的过程中，写入数据达到限制后，Flash
  就阻止写入，无任何提示。

  3、userData

    UserData是微软为IE专门在系统中开辟的一块存储空间,在IE 7 以下版本支持，每页的UserData存储区数据大小可以达到64 Kb，每个域名可以达到640 Kb。
  所以首先我们对单个页面设置长度，超过所负载的长度是什么情况，如下面的代码：

    我们save我们的数据以后，IE 6 就会报出：“磁盘已满” 的错误提示，也就是我们无法写入大于等于 64 K 的数据，当超过这个数据限制以后，
  IE 就不允许再写入数据了，出错提示也是 save 方法处。那么针对整个域名的长度限制的测试我们就不需要了，因为我们是利用XSS攻击进行设置，也就是
  我们针对的单个页面进行攻击。所以 userdata 存储对象我们是无法进行攻击利用了。另外一点要说的是，因为userdata只支持IE7 以下版本，同时我们
  目标是让其实现ddos攻击，就算userdata数据进行溢出了，也不一定可以造成服务器返回40x错误，因为相对WEB服务器来说，他并不和 userdata 进行交互。

  4、DOM Storage
    DOM 存储对象允许设置最大值限制为 5M，所以我可以用如下的代码进行测试：

当我们设置一个超长的大于5M的数据进去的话，Firefox 错误控制台会提示如下错误：
错误：

uncaught exception: [Exception... "Persistent storage maximum size reached" code: "1014" nsresult: "0x805303f6 (NS_ERROR_DOM_QUOTA_REACHED)" location: "http://www.a.com/dom.html Line: 16"]。

  长度没有问题，我们通可以用一些特殊字符进行写入，比如将刚才的 A 改成一些乱码的字符，重新写入，但是页面还是可以正常读取，所以这个就测试失败了。
  经过我们前面对 4 种存储对象的不同测试，只测试到 cookie 存储对象存在漏洞，其他都未成功，所以下面我们只针对cookie引起的漏洞进行讨论。

三、漏洞利用

  一般情况下，通过以上发现的漏洞，我们可以利用XSS脚本跨站漏洞进行实现客户端ddos攻击。比如如下简单存在漏洞的代码：

  XSS.php
      echo $_GET["xss"] ;
  ?>

我们就可以这样的去构造：

http://127.0.0.1/test.php?xss=

如果 magic_quotes_gpc = On 开启的，就要如下转义一下：

http://127.0.0.1/test.php?xss=

虽然此 URL 比较长一些，但是相对前一段那个写入超长cookie的ddos方式有很大的优点，就是：它只需要写入一个可以引起问题的中文字符即可，比如一个最短的代码：

document.cookie="我"

  这样一个只包含 19 个字符的代码，就可以实现ddos攻击了。：）

四、环境影响

  在我们测试之前，为了更快的进入主题，我是直接选取的直接可以触发漏洞的环境：Firefox + IIS 6.0 .当然，想成功攻击，必须受环境影响：

  1、Firefox 任意版本

    漏洞的主要原因是因为 Firefox 对宽字符cookie的不支持引起的，当用户设置宽字符的中文后，Firefox 没有正确的编码，然后发送给WEB 服务器的。

  2、IIS 6.0

    也正是因为 Firefox 没有对cookie正确编码，造成接收过来的是一些特殊 cookie。但是 iis 正好也没有正确处理，直接抛出 40x 错误了。

五、漏洞原因

  也正是因为 Firefox 和 iis 同时有问题的这种极端情况下引发的漏洞。而其他环境中，却不会有这样问题，比如：IE 浏览器会正常编码cookie值、apache 会正确解析特殊cookie值等。
只要两者有一者没有问题，就不会存在这种漏洞的可能。

六、后记

  虽然本文我们只发现了 4 种存储对象中 cookie 的漏洞，但是我相信，在其他 3 种存储对象中，依然可以找到新的漏洞。
  另外要感谢 RAyH4c ，在很多问题上，都可以给我指点迷津，同时还教会我很多东西。

参考：

1、http://sites.google.com/a/80sec.com/80sec/charset-xss-in-web-application
2、http://hi.baidu.com/aullik5/blog/item/6947261e7eaeaac0a7866913.html
3、http://hi.baidu.com/aullik5/blog/item/60d2b5fc52675a1e09244d77.html
3、http://www.ietf.org/rfc/rfc2616.txt
4、http://www.qgy18.com/lab/flashstorage/
Tags - fuzz , ddos , cookie , xss