7,364 views

ysoserial – Clojure分析

0x00 前言 最近一直在研究Java安全,从ysoserial看起,发现Clojure这个Gadget链网上并没有分析文章,所以对这条攻击链进行了简单的分析,动态调试过程中由于计算器一直在弹,所以顺着动态分析的内容静态跟了许久,最后总算把这条攻击链给理顺了。 简单介绍Clojure这个jar包,Clojure是一种运行在Java平台上的 Lisp 方言,Lisp是一种以表达性和功能强大著称的编程语言,但人们通常认为它不太适合应用于一般情况,而Clojure的出现彻底改变了这一现状。如今,在任何具备 Java 虚拟机的地方,您都可以利用 Lisp 的强大功能。通俗点来讲Clojure这个库其实 […]

8,955 views

vBulletin5.x 前台rce漏洞分析

1.厂商介绍 vBulletin 是一个强大,灵活并可完全根据自己的需要定制的论坛程序套件。它使用目前发展速度最快的 Web 脚本语言编写: PHP,并且基于以高效和疾速著称的数据库引擎 MySQL。vBulletin是世界上用户非常广泛的PHP论坛,很多大型论坛都选择vBulletin作为自己的社区。vBulletin高效,稳定,安全,在中国也有很多大型客户,比如蜂鸟网,51团购,海洋部落等在线上万人的论坛都用vBulletin。 尽管vBulletin 是一款商用产品,但它仍然是最热门的 web 论坛软件包,其市场份额要大于多种开源的解决方案如 phpBB、XenForo、Simple M […]

9,513 views

禅道全版本rce漏洞分析

1 厂商简介 禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。 厂商官网:https://www.zentao.net/ 而此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所有的项目都受此漏洞影响。 2 漏洞分析 漏洞代码位于module/control.php中的getModule函数,这里由于禅道路由的特性,会将所有符合path […]

6,541 views

基于访问日志的异常请求检测

1 前言 看了兜哥在freebuf上的专栏文章《学点算法搞安全之HMM(上篇)》,大意就是将URL参数进行范化,然后使用hmm算法来进行训练和测试,这里检测的重点是xss,但是带着我自己的疑问认真看了下方的评论,里面提到一个我非常认同的问题 这里原先是对相同url的参数进行数据提取和训练,那么我们知道一个网站,可能会有上千上万的页面,对应上千上万的url,那么按照这样的思路可能就真的需要去建立上千上万的模型,这显然是不现实的。 那么我们能否将模型范化,去建立一个模型检测一个业务网站的所有的url以及所有url中的异常参数?带着这样的疑问继续找文章,翻到了先知的《Web日志安全分析浅谈》,其中检 […]

6,469 views

基于机器学习的jsp/jspx webshell检测

前言 在上文《基于AST的Webshell检测》中,笔者已经提出了基于抽象语法树是可以用来检测Webshell的,那么如何将这种思想应用在jsp/jspx的webshell检测便是本文讨论的重点。 简单回顾下抽象语法树的检测原来,由于webshell和正常文件在语法结构上会有比较明显的出入,比如说一句话木马普遍流程就是传参然后执行命令,转化为语法结构上其实是比较单一的,正常文件的语法结构会比这复杂的多得多,因此从语法结构上来分辨是否为webshell也是一种不错的选择。但是语法结构的缺点就是难以对具体参数进行分析,所以当出现“eval(‘1111’);”和“eval(file_put_cont […]

8,447 views

帆软10.0 Getshell漏洞分析

前言 由于帆软10.0报表系统前台只有一个登陆口,并且10.0的认证机制做了很大的改动,想要通过文件读取或者其他漏洞来获取管理员信息几乎不可能,所以下面所述的几个漏洞都是需要用户登录权限。getshell漏洞是由多个漏洞组合而成,比较有意思,故分享出来。 厂商简介 帆软软件(以下简称“帆软”)成立于2006年,是中国专业的大数据BI和分析平台提供商,专注商业智能和数据分析领域,致力于为全球企业提供一站式商业智能解决方案。帆软在专业水准、组织规模、服务范围、企业客户数量上均为业内前列,先后获得包括Gartner、IDC、CCID在内的众多专业咨询机构的认可。并于2018年入选福布斯中国非上市潜力 […]

6,568 views

基于AST的Webshell检测

前言 想了好久的题目,不知道该用什么样的标题去吸引人,webshell的检测研究已经有很多文章披露了,在兜哥的机器学习书中也被反复作为案例提及,这里Webshell检测都是基于文件特征的,并不是基于流量特征的检测。 个人思考 在查阅了大量论文研究和实际案例后发现国内在webshell检测上的思路似乎没有什么新的突破,总结下来Webshell检测其实无外乎统计学检测、基于黑白名单的检测、基于opcode的机器学习研究,这中间也看到部分闪光点,比如说基于抽象语法树的命令执行节点截取、基于抽象语法树的评分规则、基于关联规则分析(看了一个星期的关联算法,自己实践结果惨不忍睹)等。 统计学检测:主要是指 […]

7,110 views

恶意样本家族分类实践

前记 最近有一个项目需求,需要将恶意样本的厂商描述给汇聚成一组统一的标签,然后后续需要对恶意样本的流量及行为进行特征提取和机器学习来实现恶意样本的检测。 简单点来讲所做的恶意样本家族分类其实就是一个数据清洗和打标签的过程。 数据样本量有90000多条,主要采集于virusshare,这里就以virustotal为例,实际效果其实是一样的 这里大概有大概几十家厂商,但是各家厂商的标签都不一样,甚至连标签描述有时候都不一样,举一个例子,这里Alibaba的样本标签为Trojan:Win32/Agent.5b6e44b1,而CMC的样本标签为Trojan-Dropper.Win32.Flystud! […]