star2008

文/superhei打造最好的电脑自学交流论坛% N; k1 l( \6 a. G, W# d  q$ K

, L1 A) r. A9 k: z( y4 g# |我爱电脑技术论坛这里学习了下自己看的明白的PP打造最好的电脑自学交流论坛" Q6 G: C* C: d" ~$ i
打造最好的电脑自学交流论坛9 _+ v7 j  B% F$ e" S7 o
[PSTZine 0x02][0x07][乱谈之XSS攻击检测]
1 ^0 u6 y2 h5 C( b! ~2 ]: h我爱电脑技术论坛
; _* _& x% s8 o3 t我爱电脑技术社区--打造最好的电脑技术自学交流平台这个文章里提到了几个有趣的漏洞：www.520diannao.com' X! U# X5 V0 l2 k& E1 y' D' Y
" i% h+ F0 D. D! l
1.phpinfo() 4096字节后的xss,这个漏洞要是不去分析php的源代码是没有办法发现的，很多人看应用程序的原代码只去分析溢出等问题，但是忽视了应用上的安全，这个还是要看发现者的意识，SE大牛分析php代码就不放过应用上的安全。而且就web程序的漏洞现在主要是看细节，而发现这些细节最好的办法就是分析 php本身的代码3 Z( I* [6 J, N) f6 k* p

3 e5 t; ~6 p- Z* ~. L2 G电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站2.word脚本执行漏洞，对于这个漏洞在hi群里很多人都测试过，没办法创建对象，所以不可以通过wsh等对象执行命令，但是他可以访问url，这个我们就可以做很多事情[相当于一个csrf]，比如引入一个gmail的xss的url，当你打开一个doc文件的时候你的gmail的cookie就被别人偷了。就这个类型的程序利用还有很多比如pdf 比如最近有人发的[rar自解压文的挂马]... 可以做个应用程序的crsf攻击专题？以后的那些主动防御是不是还要防偷cookie的小偷呢？:)
# _/ H* T1 [1 o+ p+ [6 {
2 z( ]. l0 K) K- L4 m[这里顺便说下我对csrf的理解，csrf可以认为是一种漏洞类型，但是同时也是一种攻击方式]我爱电脑技术社区--打造最好的电脑技术自学交流平台' B/ }  b# _' S# S
打造最好的电脑自学交流论坛+ Q' ~) ^$ a- _
[PSTZine 0x02][0x06][深入挖掘ORACLE内部SQLINJECTION]我爱电脑技术论坛& x6 o! P  X, @0 j/ \5 H; N4 a

' [+ g3 F' d* G: l0 K3 ?9 G* w. Pwww.520diannao.com对于kj这个文章我绝对标题把"挖掘"改为"分析"或者"调试"更加好，对于挖掘他这个文章里提到的方法是不科学的，因为他"挖掘"的前提是用了人家公布的POC/EXP。我爱电脑技术论坛1 i* R7 p7 A7 t& r  i  A5 f
www.520diannao.com7 h9 y0 z0 k& P- f; e  M
对于ORACLE里的SQLINJECTION的基本有2个方法[文章也有提到]
) p7 a$ k5 t, n电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站& C+ y) v& V! U& k/ X
1.白盒[文章也没有提到具体的]
/ X4 d6 k% s; i: Q3 f3 _* t1 _, d打造最好的电脑自学交流论坛打造最好的电脑自学交流论坛, C' D: z- p; ?. o
在John McDonald大牛的blog上有篇文章：http://taossa.com/index.php/2006 ... ection-cheat-sheet/
9 k5 P4 Y6 q4 ?6 ?# |; ?# mwww.520diannao.com
! H- A3 `, X% }: R3 ^( y  [我爱电脑技术论坛对于白盒来说我们要grep的关键词：
6 k0 ]0 A6 {7 s我爱电脑技术社区--打造最好的电脑技术自学交流平台电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站2 ~8 |0 x) D5 H2 `
he best way to find these is to do a case insensitive substring search for the following: EXEC, DBMS_SQL, and OPEN.
; M, }- t7 V$ e3 ]
( j7 C- `  w4 k4 W' Y3 Awww.520diannao.com2.黑盒
2 r3 b2 Z6 A/ N) ?3 R  Z0 rwww.520diannao.com在kj文章最后提到的fuzz那才是挖掘  c( K' p6 r& X. W& ~7 f" w

1 M# o& T* T4 g  o' N0 ?我爱电脑技术论坛这里说一下ORACLE简单的FUZZ，可以查询ALL_OBJECTS找出所有的package function
* @5 P( j: _7 }. x; m; Wprocedure与ALL_ARGUMENTS关联获取执行对象的参数类型！www.520diannao.com  b* n" o7 T7 v) q; |; \& S  K

/ V8 K' i. d0 X2 S# X* ]* _- ?我爱电脑技术论坛简单介绍具体的几个步骤如下：
; ]. A5 a! i7 K打造最好的电脑自学交流论坛www.520diannao.com* y& D0 Y+ C' x
a.根据object_name得到package的object_id
9 N6 V( O* E9 O( S我爱电脑技术社区--打造最好的电脑技术自学交流平台9 A+ y4 a( T9 b# e( q; G
SQL> select object_id,object_type from all_objects where object_name='DRILOAD';www.520diannao.com8 l5 }: c, b8 }1 m0 h% w
我爱电脑技术论坛3 A9 n1 M3 r( \" V' T$ p5 b
OBJECT_ID OBJECT_TYPE打造最好的电脑自学交流论坛3 X# `# D" |4 w; Y" [
---------- ------------------
3 H* q9 O# X$ D% Y8 b我爱电脑技术论坛30192 PACKAGE打造最好的电脑自学交流论坛, m3 W% W  |& X4 d0 @! H  t
30243 PACKAGE BODY

star2008

b.根据object_id得到函数/过程名
9 J5 S$ f2 ^" b- \2 n! G我爱电脑技术社区--打造最好的电脑技术自学交流平台
: I. S$ n4 f) X) ], j我爱电脑技术论坛SQL> SELECT DISTINCT PROCEDURE$ FROM SYS.ARGUMENT$ WHERE OBJ#=30192;
% {2 m0 ?  n1 v( Hwww.520diannao.com打造最好的电脑自学交流论坛- {$ q" |6 s4 ]; Z
PROCEDURE$
! m2 X3 b' S; x6 O+ ]/ L电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站------------------------------www.520diannao.com' y1 b" _% R) q  x
BUILD_DML我爱电脑技术论坛5 _. _. B, _  I( [1 Y7 J6 u. S- M
RESOLVE_SQE$ V4 U5 g7 z0 i9 z, s
VALIDATE_POL打造最好的电脑自学交流论坛& A' _! ^2 T! b6 i
VALIDATE_STMT
' e; _$ C5 t7 \% p: j打造最好的电脑自学交流论坛
  V. F$ T; X! [, R/ D1 Qwww.520diannao.comc.得到具体PROCEDURE$的参数个数及类型4 K$ R% b: D9 b' X$ e

& W0 P5 }9 G' X: ?) c0 b我爱电脑技术论坛SQL> select distinct position#,argument,pls_type from sys.argument$ where obj#=30192 and PROCEDURE$='VALIDATE_STMT';打造最好的电脑自学交流论坛9 Y7 }# k! e$ B/ }' J+ B; x! }- ?7 z
打造最好的电脑自学交流论坛% f1 B) N( g' a* t
POSITION# ARGUMENT PLS_TYPE
+ V+ c8 w/ @9 E7 G7 Gwww.520diannao.com---------- ------------------------------ ------------------------------www.520diannao.com  o/ J# Q+ u. s) Q: C9 t4 k  `
1 SQLSTMT VARCHAR2
! Y+ A, Q' O5 Dwww.520diannao.comwww.520diannao.com6 G! @$ O; _6 N* r+ v- N
d.构造fuzz数据www.520diannao.com5 E3 {% P2 m, d# W, h0 K

( `; D9 h# F5 c- @) y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站SQL> CALL CTXSYS.DRILOAD.VALIDATE_STMT('''');
4 a) }  @1 ]1 ?5 f! o7 A  K我爱电脑技术论坛CALL CTXSYS.DRILOAD.VALIDATE_STMT('''')
6 r8 W5 J3 L. |  j" E我爱电脑技术论坛*5 @; X7 Z! F  Q; R/ O: \# A
ERROR 位于第 1 行:我爱电脑技术论坛' q# v8 L6 S( ~/ i$ r! h+ R
ORA-06510: PL/SQL: 无法处理的用户自定义异常事件www.520diannao.com: E  l3 q% F( B: r
ORA-06512: 在"CTXSYS.DRILOAD", line 42www.520diannao.com. ?& G* \4 [% J, N$ _/ Q' P5 u. b
ORA-01756: 括号内的字符串没有正确结束www.520diannao.com& O; a, |0 R; l( V8 Q1 J- O. Y
我爱电脑技术社区--打造最好的电脑技术自学交流平台- H& h7 {( z, ?% W4 h
上面的步骤只是简单介绍，具体实现起来还有很多细节要注意[如得到package的所有者如DRILOAD的所有者CTXSYS]，花哥已经根据上面的原理实现了一个fuzz，效果还是有的 如：http://superhei.blogbus.com/logs/20127819.html电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- z" C8 l$ ~) p5 E- b' z  s3 m& h
www.520diannao.com/ L/ O* _% H! Y5 Z
另外：对于kj文里的“当然最好是审核一下FUZZ的对象EXECUTE权限是否为PUBLIC”，这个是没有必要的，而且对于高权限用户的PACKAGE还是有意义的。对于oracle里的注射在web上利用一直都是围绕着2个问题:
5 F1 t1 M9 x: T1 ?) R9 k- @打造最好的电脑自学交流论坛
' w1 w0 Y; T0 C5 u0 N0 V! D! `a."权限提升"
% d1 Y% o& C8 a1 w电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站b."执行多语句"我爱电脑技术论坛2 s  k  i! I! p; H3 j

1 [$ \! D8 ~9 I' O) R电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站但是oracle里的function调用是很复杂的，比如一个sys的A()里有权限，但是它对PUBLIC没有execuite权限，但是可以被另外一个B()调用，B()的EXECUTE权限是PUBLIC，所以一样可能被利用，而且对于web上的inj 很多连接用户的权限很高，通过注射可以执行多语句。我爱电脑技术社区--打造最好的电脑技术自学交流平台0 F3 J3 Y/ z: l0 j

! e. J  V( U( w, c% O' D+ }* E5 C打造最好的电脑自学交流论坛[PSTZine 0x02][0x04][浅析浏览器的跨域安全问题]我爱电脑技术论坛  H, _' N% \5 D8 H9 y

1 w# Z" K7 v! k; ^4 I电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站这个文章比较有意思，首先介绍这个文章的一些8挂：我爱电脑技术论坛! Z; u% p, X  |- @1 ?0 t

6 V& [  s& `; ?2 ~首先要从bluehat还是Manuel Caballero的一个题目讲起，由于bluehat的变态[不公布ppt等资料]，但是在bluehat的新闻介绍里无意发了个pic[这个pic我现在找不到了]，被sdc看到了 于是从那个pic给出点信息开始研究测试，终于有了：http://sirdarckcat.blogspot.com/ ... -ghost-busters.html，接下来就是pdp的介绍推广:http://www.gnucitizen.org/blog/ghost-busters/。对于有价值的信息我是很愿意共同享受的，于是我看到他们的blog 并发在了hi群里 一起测试讨论。于是qz测试后有了这个文章，并且有了新的进展 :)。不过最后我在和参加过bluehat的朋友讨论，但是这个朋友告诉我：Manuel Caballero在bluehat上讲的根本不是这个问题 .....我爱电脑技术论坛" G/ J7 k& j4 x) M' R2 c& P
我爱电脑技术论坛# \' w* ]9 Y3 k% n
最后bs下ms的恶心，为了得到bluehat的ppt[主要是web的]，我找了很多朋友，只有kuza55分享了他的 ppt，还问了kuza55和sowhat是否有其他的ppt，但是他们告诉我ms不让给出来他们的资料，于是我偷偷的email给Manuel Caballero没有回音，不过我还没死心，由于近年来国内暴了很多ms的0day，导致ms可能想和国内的安全人员拉拉关系于是出现了几个ms 安全部门的中国人。于是我想通过他们偷偷share下bluehat的ppt，但是最后的结果还是失败....
& D* y2 s- g) n( x; }7 R2 u我爱电脑技术社区--打造最好的电脑技术自学交流平台打造最好的电脑自学交流论坛+ V* `4 |0 f; X7 m8 e% P% _
对于这个文章在技术方面的关键主要有2个：www.520diannao.com7 q& \* U0 d# v8 H7 v1 X/ E; |. R
打造最好的电脑自学交流论坛9 A) O" z1 E" p% L7 ~  L2 b
a. {toString:function(){return "some-string";} 看了pdp的blog上可以发现这个方法是通过大量测试 得到的结果 ?www.520diannao.com6 t; U6 s! P/ X1 O" M6 a5 S" g7 q" B
b.javasript: 这个就是qz文里的关键利用，因为qz的测试分析思路是值得学习的 :)我爱电脑技术社区--打造最好的电脑技术自学交流平台$ x% m* p4 g3 F7 L
  v4 J7 v( S. n+ J; |9 L
[PSTZine 0x02][0x09][如何识别高级的验证码]
( J: `& C2 g' D, j4 o电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
% c3 h/ j; c: ^% y" F" }1 h我爱电脑技术论坛对于这个文章里的技术我是不怎么懂的，这里主要是感慨一下，文中的利用主要都是在gui下识别，对于csrf 和web自动化估计是没太大意义 。