2021年 第49周 微信公众号精选安全技术文章总览

    洞见网安 2021-12-6


    0x1 VMware 多个产品 Log4j2 RCE(CVE-2021-44228)危级漏洞通告

    ADLab 2021-12-12T15:57:18 启明星辰

    Example Image


    本文针对VMware多个产品中存在的Log4j2远程代码执行漏洞(CVE-2021-44228)进行了详细分析。Apache Log4j2是一款广泛使用的Java日志记录工具,其漏洞一旦被利用,将导致严重的安全风险。VMware的众多产品,包括VMware Horizon、vCenter Server、NSX-T Data Center等,都受到了此漏洞的影响。启明星辰ADLab已经确认了这一漏洞,并提供了受影响产品的列表。目前VMware尚未发布针对该漏洞的安全补丁,但已提供了缓解措施。同时,文章简要介绍了启明星辰ADLab的背景和成就,强调其在网络安全领域的研究和贡献。

    漏洞分析 CVE-2021-44228 远程代码执行(RCE) VMware 日志框架 安全通告 应急响应 安全研究 Java安全


    0x2 警惕!Muhstik僵尸网络已武器化Apache Log4j 2 远程代码执行漏洞

    安恒信息CERT 2021-12-12T09:01:33 ©

    Example Image


    近日,安恒信息应急响应中心监测到Apache Log4j 2远程代码执行漏洞(CVE-2021-44228)被Muhstik僵尸网络利用。该漏洞主要影响2.0到2.15.0(或2.15.0-rc2)之前的版本。Muhstik僵尸网络通过利用此漏洞发起网络攻击和横向传播,支持多平台攻击,包括ARM、MIPS、x64和x86。恶意代码通过LDAP协议访问远程恶意文件,进而执行远程脚本。分析发现,恶意脚本具备root权限,修改系统命令,写入主控端SSH公钥,释放系统资源,清除其他恶意软件记录,配置定时任务,枚举SSH密钥,并通过Tor站点报告受害者信息。Muhstik僵尸网络组件通过crontab持久化,接收IRC服务器指令,包括DDoS攻击、扫描、横向移动等功能。文章还提供了漏洞加固的FAQ,包括快速防护措施、修改配置的方法、其他可能的修改方式以及漏洞检测方法。

    漏洞利用 僵尸网络 远程代码执行 Java安全 网络攻击 应急响应 安全加固 安全漏洞 安全工具


    0x3 android逆向|okhttp的执行流程

    逆向与采集 2021-12-12T09:00:00 ©

    Example Image


    本文详细分析了Android中使用OkHttp发送HTTPS请求的完整过程,从Java层到JNI层的流程。首先,OkHttpClient对象创建并配置拦截器链,包括应用拦截器、重试与重定向拦截器、内容拦截器、缓存拦截器、连接拦截器和请求服务拦截器。然后,通过RealInterceptorChain类的proceed方法,依次执行拦截器链中的每个拦截器,最终调用ConnectInterceptor拦截器建立与服务器的HTTPS连接。ConnectInterceptor拦截器内部调用findHealthyConnection方法获取健康的连接,并进行TCP+TLS握手,创建SSLSocket与服务器进行握手交互。OkHttp使用Okio库进行数据发送和接收,Okio库封装了Java的Socket操作,并将数据读取和写入操作委托给底层SSL库完成。在JNI层,OkHttp调用NativeCrypto库中的SSL_write函数发送数据,该函数内部调用SSL3_write_app_data函数进行SSL加密,并通过socket发送数据。接收数据时,OkHttp调用NativeCrypto库中的SSL_read函数读取数据,该函数内部调用SSL3_read_app_data函数读取SSL加密的数据。整个过程涉及多个关键类和方法的调用,包括OkHttpClient、RealInterceptorChain、ConnectInterceptor、Okio、ConscryptFileDescriptorSocket、SslWrapper等,展示了OkHttp发送HTTPS请求的复杂流程。


    0x4 android |使用 frida hook socket

    逆向与采集 2021-12-11T16:07:49 wyx weart

    Example Image


    这篇文章主要介绍了如何使用Frida来hook Android中的socket通信。通过编写Frida脚本,可以拦截Java层的关键函数如java.net.SocketInputStream的socketRead0和java.net.SocketOutputStream的socketWrite0,以及JNI层的关键函数如libc.so的recvfrom和sendto。文章还提供了一些实用的函数,如将数组转换成C++的byte[]并进行hexdump打印,以及获取socket的详细信息。这些函数可以帮助我们更好地理解和分析socket通信的过程。最后,文章给出了一个主函数,用于调用hookjava和hooklibc函数来完成实际的hook操作。

    网络流量分析 Frida Java JNI 数据转换 日志记录


    0x5 Apache Log4j2 高危漏洞应急响应处置方法汇总整理

    WalkingCloud 2021-12-11T13:07:29 ©

    Example Image


    本文详细介绍了Apache Log4j2高危漏洞的应急响应处置方法。2021年11月,Apache Log4j2被发现存在远程代码执行漏洞,攻击者可利用该漏洞执行恶意代码。文章首先介绍了漏洞的基本情况,包括漏洞发现时间、影响范围以及CVE编号。随后,提供了漏洞检测工具的使用方法,如微步在线和长亭科技的在线检测工具。文章还提出了漏洞修复建议,包括临时性缓解措施和彻底修复方案,如升级到最新版本或替换相关类文件。此外,还提供了应急处置方法,包括攻击识别、主机资产加固、限制受影响应用对外访问以及后期漏洞整改等。文章强调了安全工程师在应对此类漏洞时应采取的步骤,以确保系统安全。


    0x6 Apache Log4j2远程代码执行漏洞

    观初科技 2021-12-11T11:58:40 © Madeline

    Example Image


    Apache Log4j2日志记录工具近期被发现存在远程代码执行漏洞,该漏洞被形容为“核弹级”,因为它可以允许攻击者通过构造特殊的数据请求包,在目标服务器上执行任意代码。这个漏洞影响了从版本2.0到2.14.1的Apache Log4j2,许多流行的系统可能受到威胁。受影响的用户应立即升级到安全版本log4j-2.15.0-rc2,并对Apache Struts2、Apache Solr、Apache Flink、Apache Druid等已知受影响的应用进行升级。文章还提供了如何检查Java应用是否使用受影响的jar包的方法,以及如何通过JVM参数来减少漏洞的风险。

    远程代码执行漏洞 Apache Log4j2 Java安全 日志记录工具漏洞 漏洞修复建议 企业安全


    0x7 Apache Log4j 2远程代码执行漏洞风险紧急通告,猎安提供虚拟补丁解决方案,解你燃眉之急

    猎安云原生安全 2021-12-11T11:08:20 © 猎安云原生安全

    Example Image


    Apache Log4j 2是一个广泛使用的Java日志框架,近期爆出的远程代码执行漏洞影响到了2.15.0-rc1及以下版本。漏洞允许攻击者通过特定输入数据,在日志记录时执行远程代码。官方已发布安全更新log4j-2.15.0-rc2以解决此问题。受影响的应用和组件,如Apache Struts2、Apache Solr等,建议进行升级。猎安提供了漏洞检测和虚拟补丁解决方案,支持发现并防御log4j2 CVE-2021-44228漏洞,特别适用于无法立即升级的业务系统。

    远程代码执行 Java日志框架 安全更新 虚拟补丁 入侵防御 漏洞检测


    0x8 高危预警 || 海云安发布Apache Log4j2漏洞处置方案

    海云安 2021-12-11T11:02:30 专注于网络安全的

    Example Image



    0x9 分析Windows系统缺失的补丁及对应的漏洞情况

    天津恒御科技有限公司 2021-12-11T08:00:46

    Example Image


    u200b经常有很多人问我“我知道 Windows 系统上安装了哪些补丁 (KB),但我怎么知道它面临哪些风险?”。这是一个很好的问题,我相信还有更多的人有同样的疑问。


    0xa 【漏洞风险通告】Apache Log4j2任意代码执行漏洞

    电信云堤 2021-12-10T18:13:08 电信云堤

    Example Image


    Apache Log4j2任意代码执行漏洞近期引发广泛关注,该漏洞可能被攻击者利用,对业务系统造成严重危害。该漏洞无需特殊配置即可触发,影响范围广泛,包括Spring Boot、Apache Struts2、Apache Solr等多个知名应用。中国电信安全公司已推出相关产品和服务,包括漏洞扫描、IPS、IDS、WAF等,以帮助客户检测和防护该漏洞。同时,官方已发布修复版本,建议受影响用户尽快升级至安全版本。

    漏洞通告 Apache Log4j2 任意代码执行 Java日志框架 应急响应 安全产品 漏洞修复 网络安全风险


    0xb 【漏洞风险通告】Apache Log4j2任意代码执行漏洞

    电信云堤 2021-12-10T18:13:08 电信云堤

    Example Image


    近日,Apache Log4j2日志记录工具出现严重漏洞,攻击者可利用该漏洞直接构造恶意请求,触发远程代码执行,对系统造成严重危害。该漏洞无需特殊配置即可被利用,已存在在野利用。受影响的应用包括Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr等。中国电信安全公司已提供相应的检测和防护措施,并建议受影响客户尽快升级到最新版本以修复漏洞。

    远程代码执行 日志记录工具漏洞 高危漏洞 紧急响应 官方修复


    0xc 【快速排查与加固方案】Apache Log4j2 远程代码执行漏洞安全通告

    非凡安全 2021-12-10T16:55:04

    Example Image


    OKcheck(安全有效性验证平台)、OKSOP(服务平台)、OKscan(漏扫)均已在第一时间加入了受影响资产的测绘与漏扫规则,请将产品升级到最新版本后进行受影响资产排查。


    0xd 实战|通过恶意 pdf 执行 xss 漏洞

    蚁景网络安全 2021-12-10T16:32:47

    Example Image


    本文介绍了如何通过恶意PDF执行XSS漏洞的实战操作。首先,使用迅捷PDF编辑器将JavaScript代码嵌入PDF文档中,通过设置页面属性中的动作来运行JavaScript。文章详细描述了嵌入过程和注意事项,如Adobe支持的JavaScript对象模型。接着,展示了如何将PDF文件嵌入网页中并执行JavaScript代码。此外,提到了基于DOM的方法执行PDF XSS,以及将其称为UXSS。文章最后提供了修复方法,包括强迫浏览器下载PDF文件和修改Web服务器配置的header,以及使用第三方插件解析PDF。同时,给出了在nginx中通过反向代理过滤文件类型的示例代码。

    PDF 安全 XSS 漏洞 客户端脚本攻击 Adobe JavaScript API 网页嵌入PDF DOM XSS 安全防御措施


    0xe 【漏洞分析】关于Log4j2远程代码执行漏洞的解决方案

    安博通 2021-12-10T16:20:34 © 安博通

    Example Image



    0xf 关于Apache Log4j2 远程代码执行漏洞安全风险通告

    安信天行 2021-12-10T16:11:40

    Example Image


    漏洞安全风险及时了解,安全隐患及时解决。


    0x10 Apache Log4j 2远程代码执行漏洞风险提示【二次通告】

    安恒信息CERT 2021-12-10T15:59:11 ©

    Example Image


    近日,安恒信息应急响应中心发现Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求在目标服务器上执行任意代码。此漏洞影响Apache Log4j 2版本2.0至log4j-2.15.0-rc1。为缓解风险,建议用户升级至安全版本log4j-2.15.0-rc2,并升级受影响的应用和组件。同时,提供了多种临时解决方案,包括设置JVM参数、配置log4j2.component.properties文件等。文章还提供了漏洞检测方案和产品侧解决方案,如AiLPHA大数据平台、APT攻击预警平台、Web应用防火墙以及安恒信息明鉴系列产品等,帮助用户检测和防御此漏洞。

    远程代码执行漏洞 Apache Log4j 2 日志记录工具 Java应用安全 漏洞修复 应急响应 漏洞影响范围 安全最佳实践


    0x11 Apache Log4j 远程代码执行漏洞

    斗象科技 2021-12-10T14:58:12

    Example Image


    2021年12月,Apache Log4j发布紧急安全更新,修复了远程代码执行漏洞。该漏洞存在于Log4j 2.x <= 2.15.0-rc1版本中,攻击者可通过构造特定数据请求触发。漏洞被发现后,Apache官方发布了修复版本log4j-2.15.0-rc2,并建议用户升级至该版本以避免风险。此外,还提到了应急响应团队的活动、漏洞的时间线、影响范围、修复方案以及临时缓解措施,包括升级相关应用、使用特定的JVM参数和系统环境变量设置等。

    远程代码执行漏洞 Apache Log4j 安全补丁 漏洞时间线 影响范围 漏洞复现 应急响应 安全最佳实践


    0x12 9款WiFi路由器226个漏洞影响数百万设备

    信息安全最新论文技术交流 2021-12-10T12:11:00

    Example Image


    9款WiFi路由器226个漏洞影响数百万设备。


    0x13 【漏洞通告】Eltima SDK 12月多个漏洞

    金瀚信安 2021-12-10T10:59:44

    Example Image


    0x00 漏洞概述2021年12月7日,SentinelLabs的研究人员公开披露了在 Eltima SDK


    0x14 Apache Log4j2 远程代码执行漏洞

    安全周 2021-12-10T10:03:40

    Example Image


    Apache Log4j2远程代码执行漏洞于12月9日被披露,影响版本为Apache Log4j2.x<=2.14.1。该漏洞允许未经身份验证的攻击者通过发送特殊构造的数据请求包在目标服务器上执行任意代码。Apache Log4j2是一款广泛使用的Java日志框架,漏洞影响范围广泛。检测方法包括检查Java程序包路径、Maven和Gradle配置文件中的版本号。攻击者可能使用dnslog方式探测,可通过特定错误日志关键字或数据包内容进行排查。临时防护措施包括设置JVM参数、添加配置文件、升级JDK版本以及限制对外网访问和检测dnslog域名。

    远程代码执行漏洞 Apache Log4j2 Java日志框架 安全检测 漏洞复现 防护措施 dnslog探测 版本控制


    0x15 工信部下架 豆瓣、爱回收、唱吧 等106款APP (附: APP整改方案)

    京数安 2021-12-10T08:20:40 © APP安全实验室

    Example Image


    2021年12月9日,中国工信部下架了106款未完成整改的APP,包括豆瓣、爱回收、唱吧等。这一行动是《个人信息保护法》实施后加强APP监管的一部分,未来APP下架将成为常态。为帮助企业避免下架带来的损失,京数安研发了APP漏洞及隐私合规扫描系统供开发者和企业自查。文章还梳理了工信部以往下架3000多款APP的常见问题,并提供了整改方案。整改方案涉及违规收集个人信息、超范围收集、违规使用个人信息、强制索取权限、账号注销难、欺骗误导用户等方面。具体问题包括提前收集信息、默认勾选、收集无关信息、静默状态收集、共享给第三方、定向推送、提前申请权限、频繁索权、不给权限不让用、开机自启动、权限组问题、无注销入口、注销条件不合理、无效注销、启动屏广告、奖励欺骗等。附录提供了常见第三方SDK列表、安卓可收集个人信息权限、不建议申请的安卓系统权限、APP启动屏广告行为规范等信息。

    个人信息保护 APP监管 隐私合规 漏洞扫描 用户权限管理 账号管理 欺骗误导行为


    0x16 Apache Log4j 2远程代码执行漏洞风险提示

    安恒信息CERT 2021-12-09T23:53:14

    Example Image


    近日,安恒信息应急响应中心发现Apache Log4j 2存在远程代码执行漏洞,该漏洞可能允许攻击者在目标服务器上执行任意代码,从而控制服务器。此漏洞影响Apache Log4j 2的版本范围在2.0至2.14.1之间。由于Apache Log4j 2被广泛应用,该漏洞的风险较高。应急响应中心已验证了该漏洞的可利用性。为了缓解风险,建议用户尽快升级至最新的安全版本2.15.0-rc1,并提供了升级的下载链接。这一漏洞的发现和响应对于使用Apache Log4j 2组件的用户来说是一个重要的安全提醒,需要立即采取行动以保护系统安全。

    远程代码执行漏洞 Apache Log4j 2 日志记录工具安全 Java应用安全 应急响应 安全更新和补丁


    0x17 windows域之证书攻击手段

    蚁景网络安全 2021-12-09T16:30:00

    Example Image


    论文摘要是学术写作中不可或缺的一部分,它以简洁、明确的语言概括了全文的核心内容。撰写摘要时,应遵循一定的规范和技巧,确保其具有独立性和完整性。首先,摘要应包含研究的目的、方法、主要结果及结论,避免叙述和抒情。其次,摘要的字数通常在150-300字之间,需精炼表达。此外,摘要的结构应合理,逻辑清晰,能够独立于正文被理解。在写作过程中,可以参考他人的优秀摘要范例,并多次修改以提高质量。最后,摘要的撰写应在论文完成后进行,以确保准确反映研究成果。

    域安全 证书滥用 身份认证 NTLM中继攻击 权限提升 安全漏洞 防御措施


    0x18 实战 | fastjson 漏洞的发现与测试

    蚁景网络安全 2021-12-08T16:30:00

    Example Image


    本文详细介绍了Fastjson反序列化漏洞的实战经验。Fastjson是阿里巴巴开源的JSON解析器,被广泛应用于Java项目中。在1.2.24版本后增加了反序列化白名单,但在1.2.48版本之前,攻击者可以利用特殊构造的JSON字符串绕过白名单检测,执行任意命令。文章首先分析了Fastjson漏洞形成的原理,即目标网站在解析JSON时未进行内容验证,直接解析为Java对象并执行,从而被攻击者利用。接着,文章介绍了发现Fastjson漏洞的方法,包括寻找参数中是JSON数据的接口,并使用构造好的payload进行提交验证。文章还介绍了利用Xray高级版、DNSLOG等工具进行漏洞检测和验证的方法。此外,文章还详细讲解了利用RMI和LDAP服务进行Fastjson漏洞利用的实战技巧,以及如何利用TomcatEcho回显命令进行漏洞利用。最后,文章总结了实战经验,指出很多企业存在Fastjson漏洞,但反弹SHELL存在问题,猜测原因是目标系统的Java版本较高,无法触发远程加载恶意脚本并执行,而利用DNSlog的方式可以成功验证。

    Fastjson 反序列化 漏洞利用 RMI LDAP TomcatEcho DNSLOG 漏洞检测 Java


    0x19 Go免杀初探

    Linux网络安全 2021-12-08T11:47:00

    Example Image


    文章探讨了使用Go语言进行免杀技术的开发,特别是针对Windows平台上的后门程序。传统的C/C++和Python编写的恶意软件容易被安全软件检测到,因此作者尝试用较为小众的Go语言来编写以逃避检测。文中提到Go语言的优势在于其执行效率高、安全性强,并且支持跨平台编译。作者基于Cobalt Strike生成的.C文件作为基础,进行了免杀测试。通过加载并混淆shellcode,利用异或加密、添加随机字符等手段对原始shellcode进行了加密处理,然后在运行时解密并执行。为了进一步减少被检测的风险,作者还实现了去除垃圾代码和延迟执行等功能,以躲避静态分析。最终生成的exe文件体积较小,并经过UPX压缩优化。该程序能够绕过Windows Defender、火绒和360等国内主流杀毒软件的查杀,在VirusTotal上的检测率也相对较低。文章最后提及了Go编译后的程序会弹出命令行窗口的问题,并给出了可能的解决方案。

    Go语言安全 免杀技术 后门技术 跨平台开发 逆向工程 Windows系统安全 杀软绕过 安全测试


    0x1a Grafana未授权任意文件读取漏洞

    Y1X1n安全 2021-12-08T00:17:04 © srn7sec

    Example Image


    Grafana是一款跨平台、开源的数据可视化平台,近日爆出未授权任意文件读取漏洞。该漏洞存在于Grafana解析插件路由时,由于未对输入进行有效过滤,攻击者可构造数据包拼接路径和文件名,从而读取服务器上的任意文件。受影响的版本为Grafana 8.x至8.3.0。漏洞复现表明,攻击者可以通过特定插件路径读取系统文件,如/etc/passwd,甚至数据库文件。目前官方尚未提供修复方案,用户需注意防范,避免未经授权的访问。

    文件读取漏洞 未授权访问 Grafana漏洞 网络安全 漏洞复现 修复方案


    0x1b Grafana任意文件读取漏洞风险提示

    安恒信息CERT 2021-12-07T21:55:26

    Example Image


    近日,安恒信息应急响应中心发现Grafana数据可视化平台存在一个严重的安全漏洞。该漏洞允许未经身份验证的攻击者读取目标服务器上的任意文件,可能导致敏感信息泄露。受影响的版本包括Grafana 8.x系列,其中最新的8.2.26版本也未能幸免。尽管Grafana官方尚未发布修复补丁,用户应采取临时缓解措施,如配置访问控制策略,限制对Grafana资产的访问,以降低风险。安恒信息建议用户密切关注Grafana官方发布的升级公告,并及时更新到安全版本。

    漏洞分析 文件读取漏洞 Grafana安全 数据可视化 开源软件安全 应急响应


    0x1c 海康威视因自身漏洞被黑客利用而遭受攻击

    软件评测中心 2021-12-07T18:30:00

    Example Image


    本文报道了海康威视因自身漏洞CVE-2021-36260被黑客利用而遭受攻击的事件。该漏洞存在于海康威视部分产品的web模块中,由于输入参数校验不足,攻击者可以发送恶意命令,导致命令注入攻击。研究人员在9月18日披露了这一漏洞,并迅速发布了补丁。FortiGuard Labs开发了IPS签名来解决这个问题。攻击者利用该漏洞传播了恶意软件,其中一种有效载荷试图删除名为“macHelper”的文件,并下载执行Moobot僵尸网络。Moobot是基于Mirai开发的,且具有零日漏洞利用的能力。文章详细描述了攻击者如何利用该漏洞传播恶意软件,以及Moobot的下载和执行过程。此外,文章还提到了Syn-Flood DDoS攻击和Satori僵尸网络的元素。最后,文章强调了用户应关注DDoS攻击,并对易受攻击的设备应用补丁。

    漏洞利用 命令注入 远程代码执行 僵尸网络 DDoS攻击 恶意软件分析 补丁更新 安全公告


    0x1d 查找与整数处理相关的溢出、截断等漏洞

    天津恒御科技有限公司 2021-12-07T08:00:00

    Example Image


    u200b整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。


    0x1e 实战|应急响应之某公司的粗心导致网站被恶意篡改

    Linux网络安全 2021-12-06T18:37:00

    Example Image


    本文详细描述了一起网络安全事件,某公司网站因管理员粗心大意被恶意篡改。事件始于监管单位通报违规内容,通过现场调查发现网站首页关键字标签被修改。分析现场情况得知,网站部署在虚拟空间,无服务器登录权限,维护通过FTP进行。篡改时间与最早后门文件上传时间相差不久,结合日志分析,确定了攻击者IP和攻击流程。攻击者利用密码重置脚本修改管理员密码,通过后台文件管理器上传后门文件,形成多个层级后门。事件揭示了运维管理的重要性,提醒网络安全防范需重视细节。

    应急响应 网站安全 后门攻击 密码安全 日志分析 安全防护 网络安全意识


    0x1f 【涨知识】 利用DoH技术加密传输的DNS隧道流量检测分析

    北京观成科技 2021-12-06T17:12:47

    Example Image


    本文深入探讨了DNS over HTTPS(DoH)技术在加密传输DNS隧道流量中的应用及其检测分析。文章首先介绍了DoH技术的背景和目的,包括提高用户隐私和DNS服务安全性。接着,分析了DoH技术在恶意DNS隧道流量中的利用情况,指出其隐蔽性增强给检测带来的挑战。文章详细阐述了恶意DoH流量的检测方法,包括数据搜集、特征工程、模型训练和实际测试等环节。数据搜集部分介绍了公开数据集和自建环境搜集的方法。特征工程部分重点介绍了针对加密数据会话过程的特征设计。模型训练和测试部分对比了多种算法,最终选择了随机森林算法。最后,文章展示了基于DoH恶意流量检测的产品检出截图,并简要介绍了相关的研究背景和应用。

    DNS安全 加密技术 恶意流量检测 网络安全隐私 机器学习 数据收集与分析


    0x20 钓鱼与社工系列之某信聊天记录解密

    蚁景网络安全 2021-12-06T14:30:00

    Example Image



    0x21 钓鱼与社工系列之某信聊天记录解密

    潇湘信安 2021-12-06T09:00:00 ske

    Example Image


    本文详细介绍了解密微信本地数据库的逆向过程和实现方法。首先,文章指出微信数据库存储在本地特定目录下,并通过AES加密。解密关键在于获取密钥,由于所有数据库共用同一密钥,因此逆向时只需找到其中一个数据库的解密密钥。文章通过分析字符串“open db fail=%d ,error=%s”定位到密钥附近的代码,使用x32dbg进行跟踪和断点设置,最终在内存中找到并提取32位密钥。接着,文章介绍了使用老版本openssl进行数据库解密的配置和代码实现,包括读取数据库文件、生成密钥、解密和验证等步骤。此外,文章还介绍了如何使用CheatEngine(CE)寻找动态密钥的基址,并通过代码实现动态获取密钥和微信id、微信名等信息。最后,文章总结了通过动态获取密钥解密微信聊天记录的方法,并提供了相关参考链接。整个过程涉及逆向工程、内存操作和加密解密等多个技术点,对于网络安全学习者来说是一个很好的实践案例。

    逆向工程 密钥提取 数据库解密 动态分析 Windows 应用安全 AES 加密 安全研究


    0x22 记一次某APP绕过三层代理抓包

    小白安全记录 2021-12-06T08:11:00 小白

    Example Image


    本文介绍了一次针对某APP进行网络抓包的实践过程。作者首先遇到了APP开启代理后无法抓包的问题,通过使用MT管理器、frida-dump、jadx和objection等工具对APP进行脱壳和分析,发现APP进行了代理检测。为了绕过这一限制,作者尝试了VPN配合抓包的方法,并在iOS端成功抓取到请求。但随后发现即使抓取到请求,APP也没有网络错误提示,作者推测可能存在双向认证问题。通过apktool解压APP,使用jadx反编译,并搜索相关证书文件,作者最终通过hook技术获取了证书密码,并成功在Burp中导入证书,实现了抓包。文章最后强调,所分享的技术仅供学习讨论,严禁非法用途,作者不承担因滥用技术带来的法律责任。

    移动应用安全 逆向工程 网络抓包与分析 代理检测绕过 证书与加密

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。