一周信息安全干货分享【第135期】

安全资讯


1.Google 披露 Fortnite Android 版安全漏洞,Epic 抨击 Google 不负责任

Epic 的热门大逃杀游戏 Fortnite 已发布了 Android 的 Beta 版本,但它没有通过 Google 控制的应用商店发布

2.黑客在暗网出售华住酒店记录

有黑客正在“中文暗网市场交易网站(需注册,需 Tor 浏览器)”出售华住集团旗下酒店的数据库

3.千名西澳大利亚公务员用 password123 作为密码

西澳大利亚州的审计长公布了该州的安全审计报告(PDF),发现 26% 的政府公务员使用了弱密码

4.OpenBSD 停用英特尔处理器的超线程功能

OpenBSD 创始人在邮件列表上宣布 OpenBSD -current(6.4) 将停用英特尔处理器的超线程功能

 

技术干货


1.ecshop2.x 代码执行

问题发生在user.php的display函数,模版变量可控,导致注入

[详细阅读…]

一周信息安全干货分享【第134期】

 

安全资讯


1.高功率设备组成的物联网僵尸网络能干扰电网

物联网设备以不安全著称,利用物联网僵尸网络,攻击者可以发动各种攻击

2.恶意传真向黑客打开企业内网之门

利用 1980 年代定义传真信息格式的协议漏洞,恶意传真图像能让黑客悄悄潜入企业内网

3.深圳警方破获拦截短信盗刷银行卡的犯罪团伙

“一夜醒来,卡上存款不翼而飞。”近期,全国多地接连发生银行卡被盗刷案件,引起了网民广泛关注。

4.TLS 1.3 正式版释出

互联网工程指导委员会(IETF)释出了传输层安全性协议的最新版本 TLS 1.3

5.研究人员披露英特尔处理器新漏洞

德国 Saarland 大学的两名研究人员公布论文《ret2spec: Speculative Execution Using Return Stack Buffers》(PDF)

6.黑客利用友讯路由器漏洞改变 DNS 设置诱骗用户访问假的银行网站

黑客正在利用友讯路由器漏洞的改变 DNS 设置诱骗用户访问假的银行网站窃取登录凭证

[详细阅读…]

初试Frida JS hook

根据网上教程,基本是写Python代码进行hook,但根据群里大牛指引,可以直接使用frida – U “com.example.test.XXX” -l xxx.js 直接注入。
JS代码编写规则
JS模板代码:

 

然后frida – U “com.example.test.XXX” -l xxx.js,开启HOOK,接着开启相应的APP,就会看到打印信息了。

Tea轮函数加密逆向笔记

部分加密环节逆向

  • REV R1 R1 //是指对R1的字节进行反转,如R1中本来保存的是744308C2,经过REV反转后,R1保存的字节为C2084374
  • JAVA传入的参数有两个,暂且称之为传参1、传参2
  • 传参1为8位字节长,分别保存在R0、R1两个寄存器中,传参2为16位字节长(疑似加密密钥),分别保存在R5、R6、R7、R12四个寄存器中

关键轮函数加密部分

R0 = C2084374 R1 = C500F400 R2 为栈缓冲区,主要用于字节中转 R3 = 0 R4 = E3779B90 R5 = 574B5A79 R6 = 54446575 R7 = 3146736B R8 = 78486E41

R3 = R3 + 0x9F000000 R8 = R12 + (R1 << 4 ) (左移4位)

R3 = R3 – 0xC80000

R3 = R3 – 0x8600

R3 = R3 – 0x47

R9 = R3 + R1

if (R3 = R4): R8 = R9 ^ R8 (位异或) R9 = R7 + (R1 >> 5) R8 = R8 ^ R9 R0 = R0 + R8 R9 = R6 + (R0 << 4) R8 = R5 + (R0 >> 5) R8 = R0 + R3 R9 = R9 ^ R9 R8 = R8 ^ R9 R1 = R1 + R8

循环结束后,R0 = E980238E (其实是R2反转后写入),R1 = BCDC6241

一周信息安全干货分享【第133期】

 

安全资讯


1.五角大楼制定不能购买的中俄软件清单

五角大楼的采购主管警告军方及其承包商不要使用与俄罗斯和中国有关联的软件

2.微软披露软件供应链攻击

微软安全博客披露了一起软件供应链攻击,软件巨人没有透露相关公司的名字

3.中远集团美洲计算机网络遭勒索软件攻击

国有中远集团的美洲区计算机网络本周遭勒索软件攻击,48 小时后情况仍然没有好转

4.在引入物理密钥后没有一名 Google 雇员被钓鱼

Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码,此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼

5.研究人员公开新旁路漏洞 SpectreRSB

加州大学河滨分校的研究人员发表论文,公布了命名为 SpectreRSB 的新 Spectre 漏洞

6.第五个思科后门账号被发现

思科上周修复了 25 个漏洞,其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root

[详细阅读…]

一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

[详细阅读…]

一周信息安全干货分享【第131期】

 

安全资讯


1.印度央行要求该国银行淘汰 Windows XP

印度央行要求该国银行部门在 2019 年 6 月前从 ATM 机器淘汰 Windows XP

2.Windows 用户感染无法卸载的恶意程序 All-Radio 4.27 Portable

从周三开始,很多 Windows 用户报告感染了一种无法卸载的恶意程序 All-Radio 4.27 Portable

3.ProtonMail 遭到 DDoS 攻击

加密电邮服务 ProtonMail 过去几天遭到了 DDoS 攻击

4.2012 年之后的所有 Android 设备受到 RAMpage 漏洞的影响

Rowhammer 攻击变种 RAMpage漏洞影响 2012 年之后发布的几乎所有 Android 设备

5.Gentoo 的 Github 账号遭到入侵

Gentoo Linux 项目警告其 Github 账号遭到入侵,托管在 Github 的内容被修改

6.WordPress 被公开一个超过半年但尚未修复的漏洞

RIPS团队通过 Hackerone 向 WordPress 团队报告了一个任意文件删除漏洞

[详细阅读…]

一周信息安全干货分享【第130期】

 

安全资讯


1.黑客通过崩溃银行的计算机尝试入侵 SWIFT

黑客利用病毒破坏了智利银行的计算机系统

2.思科系统再次发现硬编码的后门账号

四个月来的第四次,思科从其产品中移除了一个硬编码的后门凭证

3.杀毒软件 F-Secure 发现远程代码执行漏洞

一位安全研究人员先后在流行的解压缩开源软件 7-Zip 和杀毒软件 F-Secure 中发现了与 RAR 拆包相关的内存处理漏洞

4.VPNFilter 恶意程序能降级 HTTPS

思科安全研究人员在进一步分析后发现,恶意程序 VPNFilter比早先以为的更强大更具破坏性

5.医学成像 AI 软件易被愚弄

一项新研究发出警告,分析医学成像的 AI 软件容易被愚弄

6.安全公司称朝鲜黑客到中国交流技术

安全公司 FireEye 表示,主要针对韩国实施窃取情报攻击的朝鲜黑客组织 “APT37” 可能与中国黑客就攻击技术交换信息

[详细阅读…]