实际上,在国内想上an网传统的 *** 是用tor洋葱浏览器。其次,仅仅使用tor是不够的,你还需要一个在国外的 *** 服务器搭一个Virtual Private Network。这个东西有付费的软件不过之前很多在内地都不能用了。最后,即便是你成功进入了,你可以找到的大部分网站都是不能打开的。小部分网站有卖枪弹白药的也不知道这么容易让你看到是不是警察钓鱼用的。这些都不是重点,最主要的是国内治安很好,搞一个这样的中二组织一个是对技术要求很高,还有就是运作的困难很多,搞不好就是下一期的今日说法。
国内更多的土豪感兴趣的愿意在网上一掷千金的是会唱歌跳舞长得好看说话好听的女主播吧。
放着好端端的女主播不干而是花那么多钱看砍人,有病啊。就算是有病,有病还有那么多钱的人那得有多少。搞一个这种隐蔽组织维持的成本一定不小却拉不到那么多客户很有可能入不敷出的。就算是能挣钱,我有那么牛逼的技术在国内找一家安全公司挣的不比这个多不比这个干净还省心。
在国内,你更需要担心的是百度,360这样的巨头。它们在消费着你的隐私信息。宾馆的摄像头,担心的同学下次去可以带一个电工用胶带把可能存在摄像头的地方都贴住。还有像滴滴这样的为富不仁的公司,眼睁睁的看着一个年轻女孩被杀,为了保护人身安全请在手机里设置应急方案。你家附近可能存在的不怀好意的快递员,如果你是女性自己在家,请尽可能的选择在楼下签收或者是让附近的便利店啥的代收。
考虑到电影中使用的软件很大程度上依赖了Facebook,就单凭这一点,电影中黑客的很多行为在中国大陆也是无法实现的。
实际上这个电影主要是要体现暗网的黑暗和恶意黑客的强大。但是显然这是一部电影,在真实世界中没有现实意义。
影片中的男主的MacBook是自己从失物招领处擅自带回家使用的,这是一个很重要的设定。我们可以认为这个电脑中的所有系统设置、软件应用程序都是被暗网组织动过手脚的,这也给影片后来的黑暗势力为所欲为打下了技术基础。但是即便如此,很多地方还是过于夸张了。
我们首先来考虑,一个动过手脚的电脑,黑客能做到哪些。黑客肯定能够通过远程监控看到男主的电脑屏幕,并且监控男主在电脑上的一切操作,并且能把男主的电脑屏幕共享给暗网组织的人一起监控。所以暗网组织的人能够通过男主的电脑屏幕了解男主的个人信息,聊天对象,聊天内容,并随时可以远程操控男主的电脑,这些在技术上完全都是可能的。另外,在电影中好几处出现了terminal中输入命令行的黑客渗透工具,用于破解男主朋友们的账户和密码,这些也都是可能的。而且片中对于暗网的描述也是准确的,深藏于互联网的深处,无法从正常的搜索引擎或者网页上搜索到,只能通过特定的渠道加入和访问,而且机关重重。现实生活中暗网上贩卖军火,走私人口,贩卖毒品,杀人越货的事情也是真实存在的。
那么其次我们来考虑,哪些事情是黑客做不到的?男主和他的听障女友一直使用Facebook Messenger进行在线交流,而暗网组织的人居然可以用听障女友的账号给男主发消息,然后秒删双方的记录。这种操作在原生的Facebook Messenger里肯定是没有的,除非暗网组织有能力自己克隆一个Facebook Messenger,具有其所有正常功能,然后还要加上这个秒删功能;其次,男主和其他的朋友是用Skype进行线上群聊的,而暗网组织的人后来强行加入他们的群聊,并且无法从群聊中剔除。这个要实现也是很困难的,因为Skype也是客户端应用程序而不是Web程序,其二进制编码在没有源代码的情况下是很难直接篡改的,要直接在客户端禁用(连踢人选项都不显示)一个已经存在的踢人功能,这也是很不现实的,除非暗网组织的人又能克隆一个完全一样的Skype程序,并且还要把参与群聊的所有人的电脑上正常的Skype程序替换掉才可以做到。因为暗网组织的人事先并不知道是男主会把笔记本电脑拿回家,所以暗网组织无法事先确定其关系网,也无法事先做到用修改版本的Skype替换所有人的正常Skype程序。所以这个也很难做到。
其实最不可能的是暗网的外勤人员们的行动能力,在这部电影中,暗网组织的外勤人员要把男主的一个好友绑架(或者骗)上楼顶,并推下;要潜入男主好友的家中,把一个好友打死,要在伦敦把另一个好友强行吊死;要在地铁进站的时候把男主的一个好友推下站台;要合成一段录音陷害一个好友,让他被警察打死,而且还要让这个好友正好出现在警察破门而入的正对面......关键是这一切都要在短短的30分钟以内由不同的外勤人员全部完成,且无失误......我觉得CIA大概在电影中才能做到这样的效率和精度
当然,这个故事的一切源点就在于男主去拿了一个不属于他的电脑回家。所以......不是自己的东西不要,这才是这个故事要告诉我们的道理
在中国首先杀人就不容易,想逃跑那就实在太难了,还有你想进一个人家里就不是件容易的事。除非你是送外卖的......
影片中绑架一个女孩是从窗户翻进去的,设想一下中国都住楼房,一个女孩家住21层,你怎么从窗户进去,蜘蛛人吗?
还有中国的监控系统实在是太强,要想不被拍到,除非你把监控黑掉,中国人多眼杂,高峰期交通拥堵,杀手不可能在那么短的时间内到达你家,而且能破坏你家的防盗门进去,还没有脚步声,然后试想一下中国一般都和父母住,一般先要进客厅然后才能进卧室,而且中国卧室门都能锁.....杀手即使有你家地址几栋楼几单元几零几,杀手到你家小区,还要找哪一栋楼,据我所知有的小区,找楼就要找半天,更别说话音刚落就出现在你身后要杀你。
所以杀手要找到你然后杀你,基本和一个送快递的流程差不多。
再说说电影里AJ的死法,我就不相信,在中国119刚打完不到一分钟,门口就有大量武装人员出现,而且电脑里放的手枪上膛声音能从卧室穿过客厅再通过防盗门让外面的武警听到,武警听到也不会想美国警察直接开枪,就算直接开枪,防盗的铁门也不是吃干饭的.....
行了,先说这么多吧.....
参考一下
从美国留学归来的小A,带领团队攻克了14纳米的国产光刻机之后,受到了 *** 的奖励,其中下海市 *** 奖励了他一辆特斯推电动汽车,非常拉风,鼓励他早日攻克7纳米光刻机。
这辆特斯推新潮的设计和卓越的性能,跟他的突出成就非常搭:百公里加速2.7秒,续航里程600公里,更高车速300公里,逼近了电动汽车设计极限,还自带工作台,可以随时办公。
他非常喜欢这辆车,超级安静,动力澎湃,甚至能激发他的工作灵感,所以一旦工作遇到难题的时候,他总是喜欢开着车到郊外去兜风找灵感,一旦找到灵感,他就现场办公。
这一天,他在郊外现场办公的时候,终于找到了一种攻克7纳米光刻机的设计方案,比荷兰A *** L的还要先进可靠,他记下来之后,马上通知同事开会讨论。
结果乐极生悲,回来的路上,他的车突然失控,怎么也不听使唤,刹车和方向盘突然失控,车子突然加速撞向了路边的一栋大楼,墙体都被撞了大窟窿,安全气囊都弹了出来。
幸好他系了安全带,加上120来得及时,他的命保住了,被送进了全市更好的医院进行紧急抢救。拍了片之后,大夫长出了一口气,因为没有致命伤,做个手术把扎进颅骨残片取出来就行了。
医院接到了市长的指示,派了更好的大夫、用更先进的手术台进行救治。手术很快开始了,医生们也轻车熟路,但是到了最关键的时候,手术台突然失灵,手术无法完成……
以上情形是蛋总设想的“死神来了”桥段,但却是完全可能的,而且发生过完全类似的真实情形。
特斯拉的老总马斯克曾经洋洋得意地说,特斯拉绝对不存在漏洞。
这句话 *** 了360老总周鸿祎的神经,他马上给攻防实验室下了一道命令:“把特斯拉给我黑喽,我就不信特斯拉没有漏洞!”
实验室的林伟给出了解决思路。思路很简单,操控汽车一共需要三步:打开车门,把车发动,把车开走。沿着这个思路,他们一举攻破了特斯拉,让特斯拉偏航,甚至在充电时烧掉电池。
当时公司没有买车的预算,总裁齐向东将自己的特斯拉拿出来给实验室做研究。正是这辆车,曾让林伟命悬一线。
一次外出试驾,林伟在园区附近把车开到80迈,欲减速时突然发现刹车失灵,按下电子手刹也没有任何反应。危急之下,他一个急转弯把车开向了停在路边的大巴车和电线杆。
失控的智能汽车在旋转了两周后终于停了下来,车身完全报废,轮胎散落,主驾和副驾驶的气囊也都弹开。幸运的是林伟没事,坐在他身旁的同事也只是手部擦伤。
除了360,2016年腾讯安全实验室也以3G、4G *** ,或者WiFi为攻击入口,实现了对特斯拉远程无物理接触式入侵。
入侵之后,研究人员可在驻车模式和行驶模式下实现对特斯拉的任意控制,比如可以控制车辆行驶方向,可以控制车辆的刹车。这就是蛋总在前面设想的那一段情景。
不仅汽车可以被黑客黑掉,医院的系统更是黑客眼中的肉鸡。加州大学圣地亚哥分校和戴维斯分校的研究人员,曾经做过实验,黑进了医院的服务器,修改血液检测报告,让医生误诊。
2013年,美国著名赌城拉斯维加斯一年一度的黑客大会,被邀请的嘉宾中有一位叫巴纳比·杰克。
这个人非常牛,是黑客界的明星。2010年他曾经用他独创的黑客技术,让自动取款机狂吐钞票,他也因此一举成名。
2013年,他原本要给大家演示如何用一台电脑黑进心脏起搏器,让起搏器放电杀人。他声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞。
结果就在即将启程之际,他意外暴毙在旧金山的家中。关于他的死因,官方没有给出明确的答案,外界流传说他的研究触动了医疗公司的利益而遭到对方暗杀。
这些 *** 安全工作者和黑客们,他们是为了找到漏洞然后亡羊补牢,让 *** 更安全,但是美国 *** 却发现了 *** 攻击的军事政治价值,悄悄组建了人类之一支 *** 部队,并用于了实战
首先《解除好友2》这部电影注重的是营造气氛,和《解除好友》之一部一样,之一部设定就是鬼侵入电脑系统,细节?去特么的细节,之一部怎么恐怖怎么来,第二部没有鬼,但是也有不少BUG,所以这电影在IMDB的评分才5.6分,和豆瓣相差甚远,言归正传,在电影里可行的是远程操控,比如男主的好友操控电脑查看电脑隐藏信息,好几次出现黑客在终端输入命令行的黑客渗透工具,用于破解男主朋友们的账户及其密码,并且拾到的电脑黑客们动过手脚,男主没有任何保护措施就连上了自己家的无线网,旋即登录了自己的FACEBOOK和SKYPE,黑客们可以通过路由器迅速获得男主和男主好友们的信息,还有黑客黑进DJ的YOUTOBE,把它鬼畜成一段语音,B站任何一个会鬼畜的UP主都可以做到,最后一条,电影对于暗网的描述是正确的,DJ被警察杀死也是正常的,美国是一个警察伤亡很多的国家,美国警察听到枪栓声百分百先发制人开枪射击
(如果有错误的地方,请大神轻喷)
谈谈不太可能的部分,FACEBOOK MESSENGER,说白了这东西就是翻版的 *** 轻聊版/微信+微博,不过MESSENGER作为FACEBOOK的一部分,原版FACEBOOK MESSENGER没有电影里秒删的功能,如果要是真实的,除非黑客团队自己克隆一个FACEBOOK MESSENGER,具备上面的所有正常功能再加上一个秒删功能,而且不会被FACEBOOK的服务器识别成已破解软件,要么干脆点黑客团队直接劫持FACEBOOK的服务器,手动删除男主和聋哑女主的聊天记录,还有SKYPE,SKYPE是客户端程序,没有源代码很难修改里面的功能,要改客户端的话,客户端直接完蛋,不会连上SKYPE的服务器,即使连上了也是功能不对称导致崩溃,正常客户端的好友们要么连不上男主,连上了最多几分钟就掉线,就像天天酷跑,早期老客户端如果碰到新客户端,另一边只显示一个酷跑小帅,等到对局结束人家跑的比你短,分数还比你高几百万,实际上人家有了新版本更新的人物和坐骑,电影里不知道黑客团队用了什么黑科技把男主好友的客户端全换成自家魔改版,把男主和男主朋友们圈成了一个小局域网,聊天室能塞进二十几个人而且踢人功能也给阉了,更不可能的是,白蕾丝女孩的母亲呼吸机被停,电影没有描述呼吸机被动手脚的画面,呼吸机没有被植入后门更没有联网,更没有 *** 端口可言,唯一合理的解释就是,事件发生之前医院就有黑客团队的人
再谈谈最不可能的部分,就是外勤人员的能力,在电影我们描述一下,电影的时间和现实平行,把一个女孩偏上楼顶推下去,远程停掉白人蕾丝女母亲的呼吸机同时把黑人蕾丝女推下地铁,潜入白人蕾丝女家里将其杀害,接着诱使DJ在自家正门被警察枪杀,再接着把远在伦敦的技术宅吊死,并伪装成畏罪自杀,最后杀死聋哑女主,用PS嫁祸的方式嫁祸给男主并发动生死投票,要在短短30分钟内分毫不差的完成,这团队美国咋没雇用去刺杀卡斯特罗?
再说说黑客手法在中国不能的理由,首先,中国的互联网有墙,在中国,上暗网的手段除了洋葱浏览器之外还得有VPN,并且暗网大多都是无效网站,即使能上,可以这样说,百度网盘跟暗网一比简直就是光速,现实世界在中国,连FACEBOOK、SKYPE、GOOGLE这些正经网站都上不了,更别说那些必须用各类繁琐的手段才能登陆的暗网,其次,国内非法直播并不是没有,但绝大多数都是色情直播,敢这么张扬直播杀人,还连开14次,恐怕你晚上20:00开播,20:01警察蜀黍就把你掐那了,如果电影的剧情真发生在中国,一个杀人直播在不同的地方杀了七八个人,影响绝对不会低于白宝山东北二王这些悍匪之流,到最后这个暗网组织面对的是全国公安的史诗级三位一体毁灭性的打击,要是发生在国外,只要有一个中国籍公民卷入其中,警察蜀黍也会跨洋越海,哪怕案子破不了至少也会尽全力保护中国公民的安全,鬼畜炸超市那一段,警察蜀黍肯定会集结所有警力,先把范围内各大超市包围再说,然后会派一小部分精锐围了DJ的家,即使听到枪栓声国内特警的反应绝不是准备开枪射击而是躲避,并且能活捉就活捉,这种把戏对于国内特警很容易穿帮,破门进去管你DJ有没有炸弹先掐住再说,然后挨个地方搜,并且鬼畜的语音很不自然,了解一点Vocaloid或者鬼畜的人都可以听出来说话不自然,其实暗网组织杀之一个人的时候就已经完蛋了,因为你当国内的监控都是摆设?
关于“暗网”这个词,在当下也逐渐被公众所熟知,而一提到“暗网”,相信大部分人最初的印象会想到毒品、数据、个人隐私信息、赌博、军火、黑客等标签。那么是否所有的网站都提供非法的交易服务?当前暗网中的站点会有多少?下面的研究调查数据来告诉你。
在最近一次由市场调研机构IPSOS(益普索,总部位于巴黎,全球更大的市场调研机构之一)组织开展的关于《关于互联网安全与信任的全球调查》(CIGI-IPSOS GLOBAL SURVEY ON INTERNET SECURITYAND TRUST)的民调结果显示,约有71%接受调研的民众认为暗网应该被关闭。而其中,这些民众分别来自于24个国家。根据调查结果,在以下国家或地区中,赞同关闭暗网的民众所占比例前五名为,印度尼西亚(占比为85%),印度(占比为82%),墨西哥(占比为80%),中国(占比为79%),埃及(占比为79%),详细情况如下,
但在日常生活中,在形成我们的看法时,是否也让我们逐步了解这个平时不可触及的互联网角落的整体情况。
同样也是在近期,由威胁情报公司Intelliagg 及暗网索引公司Darksum联合开展了一次针对暗网详细情况的统计研究,研究的目的在于绘制基于Tor的暗网链接 *** 以及统计暗网是否真的如传言般,是一个遍布非法交易的“灰色地带”。
两个公司采用了一系列的自动化脚本,扫描、抓取以及索引出所有目前能访问的Tor网址。而据最终的结果显示,目前只有 29,532 .onion网址存在,远低于此前预估的数量,而这个数量对于上亿数量级的互联网域名亦是微不足道的。以下截图为基于Tor暗网关联 *** ,可视化网址为:deeplight,其中包含了大部分的暗网站点信息。
据研究人员称,在调查的过程中,他们看到许多的Tor网址上线,随后又消失。所以接近30000网址的数量可能会比实时存在的网址数量要小,其中约有54%网站属于上述所说的生命周期较短的网站。
而上述所提到的关于消失的站点,据推测可能被用于 *** 犯罪活动中如作为钓鱼网址, C&C服务器或其他临时的服务。
正如此前的预期,大部分网站都是以英 *** 为其通用语言(约占76%),接下来是德国(约占4%),中国 (约占3.7%),而剩下的为其他国家语言网站。在对这些网站性质进行分类时,大部分网站提供文件共享,泄露数据,金融诈骗,新闻媒体等服务。但分类并不能代表他们真实的内容。以下为发现的暗网站点中使用的其他国家语言,
以下为暗网站点提供的服务占比,我们可以看到文件共享服务位列之一,占比为29%,而提供泄露数据的服务紧随其后,占比28%,具体如下
为此研究人员使用另一组自动化扫描脚本,来扫描全部网站的内容,然后根据其中的内容来识别这些网站提供的真正服务。而随后他们发现的是,被扫描脚本标记的约52%的网站,上面的内容为合法的。而相对应的,只有48%的网站内容可能触犯了英国及美国法律的相应条文,这个数据可能让大部分人觉得意外。
而由于考虑到扫描脚本有其误报率,研究人员接下来从扫描到的网站中抽取出1000个网址作为样本,对其内容进行人工审查。而后发现人工审查结果和自动化扫描结果实际上还是存在差异的,其中发现68%的网站内容为非法的。
最后根据参与该调查的研究人员所提到的,
我们认为,对于公众来说,基于对暗网的深入了解,能使其辩证性看待暗网的性质、威胁以及潜在的利益。
今天收到一封自称来自黑客暗网的勒索邮件,说是我的电脑被木马控制了,我想问这种邮件真实性多高,还只是一种虚假的恐吓邮件?电脑是真的感染病毒了吗?我应该怎么处理这件事?
有,前几天刚收到,标题和内容挺能唬住人,一般人可能真会被吓住,可惜我本身就是 *** 安全从业者,一眼就看穿了这种诈骗的鬼把戏。
简单分析一下吧,这封邮件告诉你4件事
1.你的邮箱已经被黑客控制。
2.黑客在你电脑上安装了木马,通过木马观看你的摄像头和桌面截图,获取了你的私密信息。
3.黑客通过用"你的邮箱"给你自己发邮件,证明你的邮箱已经被控制。
4.如果不支付赎金,你的秘密就会被公开。
这封邮件里有两个漏洞足以证明这是一封彻头彻尾的诈骗邮件:
1.如果黑客通过木马彻底控制了你的计算机,为何还要通过发邮件这种蹩脚的方式来勒索赎金?已经有无数的案例证明,黑客勒索赎金最有效的方式是加密电脑上的文件,也就是广为人知的勒索病毒。
2.这封邮件看似是从你自己的邮箱发给你自己的邮箱,因为发件人写着你自己的邮箱,实际这是一种伪装的假象,如果你仔细观察,你会发现发件人旁边有一行小字(根据不同邮箱服务提供商,显示位置或许不同,以下以163为例)
这实际上是一封代发邮件,代发邮件具体的技术细节和原理我就不多费口舌去说了,可以自行百度,简单的说,这个发件邮箱是可以伪造的,比如你的邮箱是,黑客虽然没有你邮箱的控制权,一样可以通过邮件代发服务来伪装成给你发件。
结论:这是一个彻头彻尾的诈骗行为,实际上黑客没有任何能力控制你的邮箱或者计算机。
这是我收到的,有兴趣的来看看
你好!
我是来自暗网的Jeanson Ancheta。
十多个月前我曾经破解过该电子邮件地址,
通过它,我用自己创建的病毒(木马)感染了你的计算机,你已经被我监视了很长时间。
你不相信我?请从您的电子邮件标题中的地址查看,您将看到此邮件是通过您自己的邮箱发送的。 (@163.com)
如果您之后更改了密码并不重要,我的代码会捕获您系统上的所有缓存数据并自动授予我访问权限。
我访问了您的所有帐户,社交 *** ,电子邮件,浏览历史记录。
除此之外,我还有您所有联系人的数据,计算机中的文件,照片和视频。
令人惊讶的是,我对您偶尔访问的亲密内容网站感到震惊。
我告诉你,你有一个非常狂野的想象力!
我在你的消遣和娱乐中通过你设备的相机拍摄截图,我设法将它们与你正在观看的内容同步。
哦,我的上帝!你是如此有趣和兴奋!
我相信你不希望你的所有联系人都获得这些文件,对吗?
如果你有同样的看法,那么我认为3800 CNY是一个相当公平的价格来摧毁我创造的污垢。
只需在我的 *** C钱包(比特币)上发送以上金额:3MRZVsscGFrzh4xJqRS3eE4V83bPLtUYA3
当我收到硬币时,我绝对保证收集的数据将被删除,我不需要它。
否则,这些文件和访问网站的历史记录将从您的设备发送给您的所有联系人。
看完这封邮件后,你将有48个小时!
我会收到您已看到此消息的自动通知。
我希望我能教你一堂好课。
不要那么冷漠,请只访问经过验证的资源,不要在任何地方输入密码!
祝好运!
哦,我的上帝
这个黑客一定是搞翻译出身的,笑
我要是会用比特币给你转账还至于被骗。
对目标客户的要求过高,感觉是一个失败的产品。
————————————分割线————————————
整个六月你我都很忙,你忙着钓鱼、我忙着封锁 IP,一份邮件把我从紧张的氛围中拉了出来,邮件大意为“蓝队的朋友想要加分么?你如果能协助国际刑警修复从犯罪嫌疑人电脑上取证的受损图片,那么便可以在演习行动中为你加分,国际刑警求助信息 We received this PNG file, but we’re a bit concerned the tran *** ission may have not quite been perfect,受损图片见附件”。
无疑,这是一封来自红队的钓鱼邮件,收件是我的办公邮箱 ,发送人邮箱地址用 swaks 伪造为 @ 的邮件域名,我在沙盒中简单分析了下附件图片,文件类型幻数 89 50 4E 47 0A 1A 0A 看起来像似 PNG,IHDR、IDAT、IEND 等等关键数据块也有,所以,从框架上来说,它应该是个 PNG 格式的图片;另外,IEND 后,出现了大量 powershell 脚本,我基本上可以研判,它是用 Invoke-PSImage *** 的图片马。传统意义上的图片马,指的是,将一句话写入图片,图片上传至 web 目录,结合 web 的解析漏洞或者文件包含漏洞,实现 getshell 的目的;而钓鱼邮件中的图片马并非此类,它内嵌反弹命令的 shellcode,用 wireshark 抓取 CC 的 IP,结合威胁情报,可溯源到红队归属的安全企业。
溯源不是本文的重点,我搜索了国际刑警的留言信息,找到了原始图片,原本是 PlaidCTF 在 2015 年出的一道取证的题目 PNG_Uncorrupt,刚好演习结束了,我得给自己找找乐子,在几乎安全取证相关技术背景为零的情况下,决定研究下这道题目,或许能获得新知识。
题意可知,文件传输可能导致该 PNG 文件破损,得尝试修复。先确认文件类型:
file 命令通过文件类型幻数分析文件类型,既然它无法识别,可能幻数错误,确认下:
这与 PNG 正确的幻数 89 50 4E 47 0D 0A 1A 0A 不一致,缺少 0D,用十六进制工具编辑该文件,在之一个 0A 前插入 0D 后另存为 new.png:
再次识别文件类型:
cool,BUT,仍然无法渲染:
没事、没事,看下错误详情:
原来是位于 0×00071 的 IDAT 数据块 CRC 校验失败,该 IDAT 数据块的实际内容有 131072 个字节,任意字节的任意位错误,都可能导致 CRC 失败,若是暴力猜解,有 2 ** 8 ** 131072 种可能,显然无法落地。不可蛮力、只能巧劲!
PNG 图片内含多个数据块(chunk),每个数据块依次由四个域组成:长度(length)、类型代号(chunk type code)、实际内容(chunk content)、循环冗余校验码(CRC,cyclic redundancy check):
长度域,4 字节,指定实际内容域的大小,而非该数据块的大小;
类型代号域,4 字节,指定该数据块的类型;
实际内容域,长度域所指定的字节数,存放该数据块的实际内容数据;
校验码域,4 字节,由类型代号域和实际内容域组合计算而得。
我用十六进制编辑器分析该数据块。跳至 0×00071 处:
蓝色部分为长度域(即,0×00020000);黄色高亮为该数据块的类型代号域(即,”IDAT”);紫色为该数据块的实际内容域(即,具体像素),从位于 112 + 0×05 的位置开始,应该在哪个位置结束?从PNG 规范可知,PNG 内含多个 IDAT 数据块,依次连续且无间隔,上个 IDAT 数据块的最后一个字节后面一定是下个 IDAT 数据块的之一个字节:
换言之,我只要找到下个关键字 IDAT 的位置,往前退 4 个字节的长度域,再往前退 4 个字节的校验码域,所在位置就是当前 IDAT 数据块的实际内容的结束位置。具体而言,我找到第二个 IDAT 关键字,往前退 4 + 4 个字节,到达字节 DD 字节所在的位置 131184 + 0×03 就是结束位置:
逻辑上,长度域的值应该等于实际内容域的字节数量,前者为0×20000,即 131072,后者为 (131184 + 0×03) – (112 + 0×05) + 1,即 131071,咦~咦,怎么不等呢?捋一捋,位于 0×00071 的 IDAT 数据块,本应存放 131072 个字节的实际内容,但却因某些原因丢失了一个字节(131072 – 131071),这个字节可能是任意内容、可能出现在任意位置,若是暴力猜解,有 2 ** 8 * 131072=33554432 种可能,嗯,可以接受,接下来,我得实现个暴破脚本。
PNG 规范可知,校验码域是通过 CRC32 算法对类型代号域和实际内容域求值而来,脚本在实际内容域的之一个字节前依次尝试插入[0, 255]范围内的值,验证 CRC32 结果是否等于校验码域,若不等继续尝试在第二个字节前插入,直到找到或者完成所有可能的验证。python 内置的 zlib.crc32() 函数支持 CRC32 算法:
参数必须是 bytes 类型,所以我得以二进制模式读入文件。为了减少干扰,我把位于 0×00071 的 IDAT 数据块的类型代号域和实际内容域的数据转存至文件 idat1 中:
三下五除二,实现了暴破功能,如下:
跑起来,20s 不到就收到好消息:
酷,哈`哈`哈!
看看位置 553 是啥内容,0x0A,等一等,感觉之前见过,思索思索,最开始修复文件幻数时,在 0x0A 前插入了 0x0D,修复这个 IDAT 数据块时,也是在 0x0A 前插入了 0x0D,结合题目所述”文件传输可能导致该 PNG 文件破损“,印象中,win 采用 0x0D0x0A 换行,而 linux 采用 0x0A 换行,我可以合理猜测,该 PNG 文件传输时,0x0D0x0A 被替换成 0x0A,所以,代码无需尝试在任意位置插入任意字节,只需验证在哪些 0x0A 前插入 0x0D,但不是每个 0x0A 前插入 0x0D,优化代码:
秒秒钟出来:
另外,由于 idat1 位于 new.png 的 113 位置,所以 idat1 中的 553 位置就对应 new.png 的 113 + 553 即 666 处,插入字节 0x0D 后另存为 new_fix1.png:
打开试试:
WTF!不应该,思路没问题啊,看看错误详情:
哦哦,原来报错的是另一个 IDAT 数据块,先前位于 0×00071 的 IDAT 数据块已经成功修复,还是有点不放心,要是有工具能渲染已经修复的那部分图像数据就好了。linux 严格遵循 PNG 规范,CRC 校验不通过就无法渲染,好像 win 不那么严苛,到 win 下试着打开 new_fix1.png:
WOW,有点小兴奋呢 :-)。你看,我们常诟病 win 不遵循行业规范,在这里反而变成”超强容错“的优点,事物永远都有两面性,用辨证的眼光去….(滚!),sorry!
用相同方式,我继续分析位于 131196 的 IDAT 数据块。先从 new.png 提取该数据块,将 131184 + 0x0C 作为开始地址:
将 262256 + 0x0C 作为结束地址:
右键选择 save as dump,另存为 idat2。分析过程与之前类似,预期实际内容为 0×020000 个字节,而真实只有 (262256 + 0x0C) – (131184 + 0x0C + 4) + 1 个,缺失 3 个字节,按先前的预判,均为 0x0A 前的 0x0D,基于这一思路,继续优化代码,让其实现猜测多个字节。
缺失 3 个字节比 1 个字节在代码实现上要所谓麻烦些。比如,aaaa,若为在 a 前丢失 1 个字节(x)后的字符串,反推原始字符串,只需依次在每个 a 前添加 x 就好,即, xaaaa、axaaa、aaxaa、aaaxa 四种可能;若为在 a 前丢失 2 个字节(x)后的字符串, 则原始字符串可能为 xaxaaa、xaaxaa、xaaaxa、axaxaa、axaaxa、aaxaxa六种可能,也就是,从 4 个中选出 1 个有几种可能,以及, 从 4 个中选出 2 个又有几种可能,python 的 itertools.combinations() 函数可以帮我实现:
回到题目中,我先找出所有 0x0A 的位置(newline_idxs),缺失多少个(lost_bytes_cnt)字节,就从中选出多少个组合:
另外,由于位置是相对的,插入元素将导致后面元素的位置发生变化,这得注意。比如,有一字符串 aaaa,四个 a 的位置依次为 0、1、2、3,若我在之一个 a 的位置 0 前插入 x 后,要想在第二个 a 前继续插入 x,则必须使用 1 + 1 的位置,因为当前字符串已经变为 xaaaa,这比较麻烦,所以,我换了个方式,从后往前插入,位置 3 的 a 插入后为 aaaxa、位置 2 的 a 插入后为 aaxaxa。回到题目中,我将需要插入 0x0D 的位置先作逆向排序:
代码如下:
大约运行 1M 后出结果:
由于找到的位置是 idat2 中的位置,idat2 又从 new.png 的131196 位置开始,所以,对应至 new.png 中的位置,131196 + 125131 即 256327、131196 + 26274 即 157470、131196 + 502 即 131698,另外,idat1 丢失的字节位置为 666,所以,我依次在 256327、157470、131698、666 前插入字节 0x0D,并且一定得从后往前插入(●﹏● 18+),另存为 new_fix2.png。
经确认,之一、二个 IDAT 数据块修复成功,第三个报错:
看看渲染后的效果:
不错!
思路清晰了、方向明确了,用相同的 *** 处理其他 IDAT 数据块,就能修复整个图片文件。前面思路中,提取 IDAT 数据块的类型代号域和实际内容域、分析缺失的字节数量、图片文件中插入新数据等等,这些人工完成的工作,都应由脚本实现。
我在十六进制编辑器中找出所有 IDAT 关键字:
有十个 IDAT 数据块啊,我得继续优化前面的代码,让它自动提取 IDAT 数据块、分析缺失字节数量、找出应在哪些 0x0A 前插入 0x0D,简单封装,实现类 PngIncompleteIdatChunks:
运行代码:
漫长的等待,十四分钟后找回了所有丢失的 0x0D 字节!中途一度怀疑某些临界环境未考虑周全,刚好何阳同志过来找我出去抽了根烟,回来就出结果了。现在,只需按脚本提示,将 0x0D 依次从后往前插入new.png 的对应位置即可修复整张图片,但是,作为食物链顶端的我,怎么能屈尊去做这些低端低级的体力活儿呢,还得有劳脚本。
在类 PngIncompleteIdatChunks 中增加了 suggest()、fix() 两个成员函数,前者用于显示图片修复建议,后者实际修复图片,如下:
整个 PoC 完整代码如下:
运行结果:
看看修复效果:
成功找到 flag,还没完,如果正式比赛,还得提交文字版本的 flag,看着图片手输?不行,不够洋气,光学字符识别,于是,我把 new_fixed.png 适当放大后,截取 flag 部分另存为 flag.png:
接着 OCR:
文本 flag 出来了,拷贝提交即可。
最后,被我溯源的那台 CC 并没写入蓝队报告中,因为,虽然我在蓝队,但有颗红心!另外,六月未丢分的企业,并不能证明你们的安全做到位了,只能说明系统下线、封锁网段的临时防御手段有效,七月重新上线的、没有 7 × 24 监控的系统,没准一打一个中。成绩,是静态的,安全,是动态的,你知道我在说什么。
( *** W,借助 IM 工具 LX 的漏洞去拿蓝队终端的手法,大赞 :)
1月8日,公安部公布的数据显示,2019年,全国机动车驾驶人数量达4.35亿人,其中汽车驾驶人达3.97亿人,占驾驶人总数的91.26%。2019年,全国新领证驾驶人(驾龄不满1年)数量达2943万人...
为什么程序员欠妥黑客 若何自学黑客自学需要多久(黑客自学) 黑客若何上的外网 怎样从网上查到一个人的信息(网上怎么查社保信息) 黑客是怎么样养成的 怎么找黑客(怎么找黑客群)...
双十一10周年 立刻就需要双十一了,也就是单身节。 这一单身节也是有由来的,听说是于上世纪九十年代初问世于南京高校,是校园内趣味性文化艺术的意味着商品之一。...
都是靠自己2113学 不是教出来的5261 是自出来的 1。至少精通2个4102系统 从windows操作,管理具使用,安1653全配置,到系统内幕,底层驱动这需要多少时间……? 从l...
一月份的时刻,本站推荐了卡银家,免费做信用卡推广员,获得自己的推荐链接后,当有人通过我们的链接手卡,我们即可获得对应的现金奖励,一单利润基本都在100米左右,今天再分享一个类似的平台:汇卡卡,若何成为...
标签中的衔接办法可过狗:CVE-2019-0199运用OLE目标嵌入Word / RTF文档的方法,使得能够在没有用户交互的情况下履行其内容。 function selectType() { ……...