随手记

一、揭密某黑产组织新型免杀攻击样本

  1. 攻击样本伪装成CHM文件
    1. 静态提取CHM文件中的js代码
    2. 动态调试分析里面嵌套的js脚本代码,会解密出一段base64加密的数据
    3. 对这段数据使用base64解码,js脚本在内存中动态加载解密出来的DLL模块,调用该DLL模块TestClass类,解密出来的DLL恶意模块。
      1. 从远程服务器上下载相应的恶意文件
      2. LNK文件执行,通过密码解压恶意文件到相应的目录
      3. 解压0day.jpg文件到相应的目录,伪装成sogou应用程序的LNK文件,加载sogou.exe应用程序。
      4. sogou应用程序通过白+黑的方式加载同目录下的HWSignature.dll文件。
      5. 拷贝sogou.exe程序到同目录下的Zer.com程序
      6. 读取同目录下的Q.jpg文件到内存
      7. 将内存中的数据进行解密操作,解密出来的payload数据
      8. 启动Zer.com程序,将解密出来的payload注入到Zer.com进程
      9. 注入payload到启动的Zer.com进程
      10. 解密出来的payload是一个Gh0st木马

二、金融众测挖掘思路分享

  1. Cookie参数越权

  2. 原始请求id进行了加密,删除某个字段即可绕过(经过测试,删除type字段,就可以进行明文id的请求)

  3. 小程序未授权到SQL注入

    反编译小程序发现一h5页面,通过构造参数发现未授权 通过未授权接口发现SQL注入 未授权h5页面,通过浏览器访问抓包,发现参数,直接在后面拼接即可

  4. 存储型xss

    上传点在扫描行驶证处,上传之后通过上下文的img链接获取到路径访问的链接

三、漏洞挖掘思路分享

  1. 想直接修改保存简历的save为get试试,测试后发现真的有这个接口,可以越权修改。
  2. 系统报错发现的越权,加入 ``` 响应报错,然后遍历userid
  3. 评论 xss + 越权评论其他
  4. 一个商城类站点,下完订单后发现有分享二维码给别人浏览的功能,然后发现存在XSS。一开始先将二维码用在线解码获取到发给小号浏览器访问后,发现获取不到核心的cookie。
  5. 同框架可能存在的jwt认证问题