云主机AK/SK泄露利用
云主机通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key Id(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密。 AK/SK原理使用对称加解密。
云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,系统将忽略该操作并返回错误码。
大部分的云服务器都支持AK/SK都认证方式,用于API调用等功能,由于开发的不规范,以及一些其它漏洞,会导致AK/SK泄露。在渗透中,如果发现目标泄露了AK/SK,可以通过AK/SK直接攻击该服务器。
行云管家直接大部分主流的云厂商。
如下,目标使用了spring boot 2.0框架,开放了env端点。
存在阿里云aliyun.accesskey和aliyun.secretKey属性,其对应的value进行了脱敏处理。
然后使用InvokeCommand调用命令,输入得到的CommandId
执行脚本
可以直接使用网上自动化的利用工具,简单便捷。
指定AK/SK 获取主机列表
指定AK/SK,实例ID,和执行的命令。
成功接收到反弹的shell。
图形化工具
网上的大多数文章都是对阿里云的AK/SK进行利用。
然而实际情况中可能遇到其它的云主机AK/SK泄露。
如:
亚马逊云
多看官方的开发者文档
参考链接:
如何安全地存储密码货币?
提醒大家一下,把加密货币存储在交易网站中其实是很不安全的。
在2018年1月份,日本一家名叫Coincheck的加密货币交易平台遭到了黑客的攻击,并导致价值5亿3000万美元的加密货币被盗。这是近期最著名的一次加密货币交易平台被黑事件了,除此之外还有:
1.2014年3月份,Mt.Gox被黑,价值4亿6000万美元的加密货币被盗;
2.2016年8月份,Bitfinex被黑,价值7200万美元的加密货币被盗;
3.2018年2月份,Bittgrail被黑,价值1亿7000万美元的加密货币被盗;
存储选择
很多人在加密货币交易平台上购买了各种币之后,会选择直接留在平台提供的用户钱包里。这样很方便,因为你可以把管理公钥和私钥的任务交给交易平台,你只需要记住自己的邮箱账号和登录密码就可以了。还是那句老话,有的时候便捷性是靠牺牲安全性换来的,虽然很多交易平台都在努力提升自己基础设施的安全性,但是把加密货币存储在平台钱包里,还是很不明智的。
因此,我们在这里给大家提供一些更好的选择,希望大家不要再把加密货币留在交易平台的用户钱包里了。
1.硬件钱包:
这种存储方式需要使用到离线的物理设备并管理私钥,这是其中一种形式的冷存储(无需联网)。热存储这种方法指的是那些需要联网的存储方法,比如说存储在交易平台上,或者其他的在线钱包中。硬件钱包是一种比较安全且新颖的存储方法,而且目前还没有硬件钱包被盗的事件被曝光。因此,我们认为硬件钱包是目前存储加密货币的最佳选项。目前最热门的两款硬件钱包是Ledger Nano S和TREZOR。
2.纸钱包:
跟硬件钱包类似,纸钱包也是一种冷存储形式,即脱机存储。纸钱包指的是把公钥和私钥打印在一张纸上,然后放在你的“枕头底下”(一个你觉得最安全的地方),因为保护私钥的安全对你来说才是最重要的。但是在这种情况下,如果别人拿到了你的纸钱包,也就意味着他们将能够完全控制你的加密货币。目前最热门的以太坊和ERC20的纸钱包为MyEtherWallet。
3.桌面钱包:
顾名思义,桌面钱包指的是在桌面计算机上下载并运行的软件客户端。相比于直接把加密货币存储在交易平台上,桌面钱包则要更加安全一些。因为它并不需要直接接入网络,但是攻击者仍然有机会通过入侵目标计算机来窃取桌面钱包中的加密货币。(这种形式对应于冷存储,即“热存储”,而且这种方式更加不安全)。
4.移动钱包:
跟桌面钱包一样,“移动钱包”这个名字已经很明显了,移动钱包指的就是在移动设备上安装的应用程序。但是它跟桌面钱包一样,移动钱包也有可能遭受到黑客的攻击(这种形式对应于冷存储,即“热存储”,而且这种方式更加不安全)。
总结
大家在管理加密货币存储时一定要小心谨慎,千万不要直接把你的“头寸”放在交易平台上,而且你一定要保管好自己的私钥。如果可能的话,可以通过硬件钱包或纸钱包来实现加密货币的冷存储。除此之外,小心钓鱼攻击或网络诈骗,请对你在上网过程中遇到的每一个超链接和URL保持谨慎。
*参考来源:hackernoon,FB小编Alphah4ck编译,转载请注明来自FreeBuf.COM
CTF流量分析之题型深度解析
0x01 介绍
在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。
pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。在之前的文章中,斗哥已经为大家介绍了 wireshark的基本使用 。接下来,斗哥将为大家介绍目前CTF流量分析中的经典题型和解题思路。
0x02 经典题型
CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。
■ 流量包修复
比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示:
解题思路:
通过在线pacp包修复工具进行修复:
练练手
第一届 “百度杯” 信息安全攻防总决赛 线上选拔赛:find the flag
pacp文件地址:
■ WEB流量包分析
WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。
题型:
通过给出的流量包获取攻击者使用的WEB扫描工具。
解题思路:
常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。
相关命令:http contains “扫描器特征值”。
常见的扫描器特征参考:
练练手
安恒八月月赛流量分析:黑客使用的是什么扫描器?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。
解题思路:
要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。
相关命令:http contains “后台url特征”。
常见后台url特征参考:
练练手
安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。
解题思路:
WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。
相关命令:http.request.method=="POST" http contains == "关键字"。
练练手
安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshll内容。
解题思路:
Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.
相关命令:http.request.method=="POST" http contains == "关键字"
练练手
安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?
pacp文件地址:
链接: 提取码:q6ro
■ USB流量包分析
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。
■ 键盘流量
USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。数据如下图所示:
如上图所示击键信息为0x05,对应的按键为“B“。
具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:
题型:**
Flag藏于usb流量中,通过USB协议数据中的键盘键码转换成键位。
解题思路:
1.使用kali linux中的tshark 命令把cap data提取出来:tshark -r usb.pcap -T fields -e usb.capdata usbdata.txt,并去除空行。
练练手
安全评测人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag。
pacp文件地址:
链接:
提取码:q6ro
python键盘键码转换脚本:同上
■ 鼠标流量
USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。数据如下图所示:
如上图所示数据信息为0x00002000,表示鼠标垂直向上移动20。
题型 :
Flag藏于usb流量中,通过USB协议数据中的鼠标移动轨迹转换成Flag。
解题思路:
练练手
这是一道鼠标流量分析题。
pacp文件地址:
链接: 提取码:q6ro
python鼠标数据转换脚本:同上
■ 其他流量包分析
除了常规的WEB和USB流量外,可能还存在诸如SMTP,Telnet等流量,均与WEB流量分析类似,不再赘述。
0x03 总结
以上为斗哥了解的流量分析在CTF比赛中的基本题型,欢迎大家补充。
参考:
《记一道USB流量分析CTF题》,
CTF Wiki,
一加手机怎么看哪个软件窃取支付信息
就一加手机支付漏洞讨论在线支付中的安全风险
FreeBuf 官方
2018-02-12 15:00
关注
背景介绍
近期,Fidus团队的研究人员在OnePlus(一加手机)论坛上发现了一个非常有意思的帖子。在这个帖子中,很多论坛用户表示他们在2017年11月份曾在OnePlus官网上进行过信用卡消费,而随后信用卡欺诈事件便发生在了这些用户的身上,所以他们才在论坛中发帖询问社区中是否有其他用户遇到了同样的问题(剧透:很多用户都遇到了这个问题)。
值得一提的是,近期OnePlus使用了Magento电子商务平台,而这个常见的平台也是信用卡攻击事件经常发生的地方。
但是,这些发现并不能证明OnePlus发生了数据泄露。因此,我们接下来一起看一看OnePlus当前所采用的支付流程以及系统结构,并分析一下为何用户的信用卡信息会到攻击者的手上。
事件分析-为何会发生这种事情?
我们对OnePlus网站的支付流程进行了一遍完整的检查,有趣的是,网站的支付页面所请求的客户支付卡数据会直接存储在网站中,这也就意味着用户所输入的全部支付信息都可以被攻击者直接拦截。当支付表单提交之后,支付信息将会被发送到第三方提供商进行处理,但是在数据被加密之前,攻击者可以通过在窗口中嵌入恶意代码来窃取信用卡数据。
OnePlus则表示,他们不负责处理任何的支付卡信息,支付交易的处理是由CyberSource处理的,但是支付表单却仍然托管在OnePlus的基础设施中。如果攻击者拥有该页面的读写权限,那么他们就能够向页面中注入Java代码并尝试从客户端的支付表格中窃取键入的数据。
剖析支付流程
对于Magento电子商务平台来说,信用卡欺诈已经是“家常便饭“了,早在2015年,Sucuri就已经发文讨论过这个问题了【文章链接】。
目前来说,攻击者主要有两种从电子商务平台中窃取信用卡数据的方法。第一种,就是利用Java代码直接从客户端窃取。这种方法需要在Web页面中托管恶意Java代码,而恶意代码将会让客户设备在后台悄悄地给攻击者控制的服务器发送伪造请求。这样一来,攻击者就可以利用伪造的请求来发送用户所有的信用卡数据了。我们对OnePlus的结算页面源代码进行了分析,但是并没有发现任何的恶意Java代码,不过也有可能是攻击者在完成攻击之后将恶意代码移除了。
另一种方法也是攻击者常用的一种方法,根据Sucuri所发的文章,在实现这种攻击时,攻击者不仅需要修改app/code/core/Mage/Payment/Model/Method/Cc.php文件,而且还需要使用Shell访问后台服务器。
Cc.php文件负责在电子商务网站中存储支付卡数据,其实无论支付卡数据是否成功存储,服务器都会调用这个文件。因此,攻击者就可以在这个文件中注入恶意代码,并远程窃取信用卡信息。由于整个攻击过程发生在Cc.php文件中的prepareSave()函数中,所以此时的信用卡数据还没有被加密。恶意代码样本如下所示:
下图显示的是攻击者窃取信用卡元数据的大致流程:
漏洞影响
目前为止,OnePlus论坛中已经有超过40名用户表示自己受到了信用卡欺诈攻击,而且也有很多Reddit用户同样在抱怨类似的问题。
除此之外,很多Twitter用户也开始讨论这种潜在的安全问题了。
攻击者如何利用这个漏洞?
1. 当用户点击了订单按钮之后,用户的浏览器会向OnePlus电子商务服务器发送请求;
2. OnePlus电子商务服务器会返回带有支付表单的HTML页面;
3. 客户在表单中输入自己的支付信息,然后点击提交按钮;
4. 支付数据直接从用户的浏览器发送到了CyberSource
1. 当用户点击了订单按钮之后,用户的浏览器会向OnePlus电子商务服务器发送请求;
2. OnePlus电子商务服务器会返回带有支付表单的HTML页面;
3. 客户在表单中输入自己的支付信息,然后点击提交按钮;
4. 支付数据直接从用户的浏览器发送到了CyberSource
当OnePlus电子商务服务器给用户返回带有支付表单的HTML页面之后,注入在其中的Java代码将会把用户所输入的全部内容(信用卡数据)发送给攻击者。
用户如何保护自己的安全?
防止信用卡欺诈最保险的方法就是使用离线支付处理器,或者是整合了iFrame的支付结算页面。除此之外,很多第三方支付平添也提供了PCI兼容沙盒来更加安全地处理支付卡信息。
虽然使用整合了iFrame的支付页面是一种更加安全的选项,但这种方法仍然无法抵御基于Java的攻击。
注:我们强烈建议大家定期对自己的电子商务网站进行安全渗透测试以避免任何的安全风险。
事件更新#1
OnePlus引入了CyberSource Magento插件来尝试解决这个问题:
CyberSource通过研究后发现,用户所提交的所有支付数据都直接在客户端浏览器中完成了操作,而且并没有触及到电子商务基础设施。
事件更新#2
OnePlus已经在官网上发布了一份声明,并给受此事件影响的用户发送了通知邮件,以告知用户数据泄露事件的大致情况(总共大约有4万名用户的支付信息被窃取)。
如何安全的存储用户密码
大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。如果你还在存储用户密码的MD5,那可真的有点弱了。
保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash,以及为什么要这样做。
重要提醒
如果你打算自己写一段代码来进行密码hash,那么赶紧停下吧。这样太容易犯错了。这个提醒适用于每一个人,不要自己写密码的hash算法 !关于保存密码的问题已经有了成熟的方案,那就是使用phpass或者本文提供的源码。
什么是hash
hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366
hash("waltz") = c0e81794384491161f1777c232bc6bd9ec38f616560b120fda8e90f383853542
Hash算法是一种单向的函数。它可以把任意数量的数据转换成固定长度的“指纹”,这个过程是不可逆的。而且只要输入发生改变,哪怕只有一个bit,输出的hash值也会有很大不同。这种特性恰好合适用来用来保存密码。因为我们希望使用一种不可逆的算法来加密保存的密码,同时又需要在用户登陆的时候验证密码是否正确。
在一个使用hash的账号系统中,用户注册和认证的大致流程如下:
1, 用户创建自己的账号
2, 用户密码经过hash操作之后存储在数据库中。没有任何明文的密码存储在服务器的硬盘上。
3, 用户登陆的时候,将用户输入的密码进行hash操作后与数据库里保存的密码hash值进行对比。
4, 如果hash值完全一样,则认为用户输入的密码是正确的。否则就认为用户输入了无效的密码。
5, 每次用户尝试登陆的时候就重复步骤3和步骤4。
在步骤4的时候不要告诉用户是账号还是密码错了。只需要显示一个通用的提示,比如账号或密码不正确就可以了。这样可以防止攻击者枚举有效的用户名。
还需要注意的是用来保护密码的hash函数跟数据结构课上见过的hash函数不完全一样。比如实现hash表的hash函数设计的目的是快速,但是不够安全。只有加密hash函数(cryptographic hash functions)可以用来进行密码的hash。这样的函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。
一个常见的观念就是密码经过hash之后存储就安全了。这显然是不正确的。有很多方式可以快速的从hash恢复明文的密码。还记得那些md5破解网站吧,只需要提交一个hash,不到一秒钟就能知道结果。显然,单纯的对密码进行hash还是远远达不到我们的安全需求...
以上是下面链接文章里的片段
具体请查看这个链接里的文章:
满意望采纳~
0条大神的评论