Network Security
文章平均质量分 69
Walter_Jia
性格开朗,爱好广泛(篮球、象棋、游泳等),网络安全领域协议识别,Linux研发,希望和您成为真心朋友。
展开
-
Struts2 S2-045 RCE Vulnerability Analysis & Brand New Exploit
I haved finished and developped a new exploit poc several days ago, it’s true I didn’t want to publish this Exploit for S2-046, but I found someone has uncover the veil, so let it go.SummaryStruts2 S2-原创 2017-03-22 03:58:52 · 1551 阅读 · 0 评论 -
【移动安全】移动应用加密协议逆向分析成功
1、相关工具:apktoolkitv2.1,Jeb破解版本 Apk上上签 vstart软件管理工具2、分析过程:确认数据传输流程:利用工具反编译apk文件,之后通过jeb软件找到疑似算法位置通过日志打印方式查看确认是否为用户名和密码的处理流程,确认完毕后,生成新的dex文件后放到apk中,之后利用签名工具签名进行验证。找到加密算法:通过上述确认后找到数据的传输发送流程,最后确认加密原创 2015-03-27 11:22:17 · 3521 阅读 · 2 评论 -
【网络安全】工控安全研究入门
包含控制站的控制网和生产网需要防火墙防护数据采集网和数据采集服务器间需要防火墙防护数据采集服务器opc服务器与生产网络需防火墙防护 非标准Modbus协议如何转为OPCOPC (OLE for Process and Control)http://blog.gkong.com/s2524051_162994.ashx工控组网:http://www.arimlab.com原创 2015-02-08 21:57:13 · 1606 阅读 · 0 评论 -
【网络安全】Snort框架代码简要分析及输出
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。主要流程在SnortMain函数中1、SnortInit 注册输出插件alert_fast,alert_full等函数 注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect原创 2015-01-20 17:23:56 · 6291 阅读 · 0 评论 -
【网络安全】Snort漏洞分析规则提取验证全流程讲述
本文以CVE 2014-6034为例进行漏洞分析与验证,包括环境搭建抓包,特征提取验证各个环节。1、下载软件:ManageEngine OpManager 9 地址:http://manageengine-opmanager.soft32.com/Kali Linux https://www.kali.org/downloads/我下载在是Kali Linux 64 bit原创 2015-01-09 17:29:24 · 3886 阅读 · 0 评论 -
【网络安全】Snort中文查询手册
Snort 中文手册摘要snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-11 16:39:12)S原创 2015-01-14 19:27:26 · 4790 阅读 · 0 评论 -
【网络安全】Snort安装规则编写及实例验证
Snort安装与使用,本文介绍Snort的编译安装步骤及配置文件修改和自定义规则集进行报文验证。1、安装所需要的软件包如下:依次解压安装即可 tar zxvf xx.tar.gz ./configure ;make ;make install-rw-r--r--. 1 root root 419752 12?.19 15:26 libdnet-1.10.tar原创 2014-12-24 15:19:46 · 9510 阅读 · 0 评论 -
【网络安全】漏洞信息查询网站
sebug:带poc代码:http://sebug.net/vuldb/ssvid-87304CVE:http://cve.scap.org.cn/NVD:https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160CNVD: http://www.cnvd.org.cn/CNNVD:http://www.cnvd.o原创 2014-12-18 11:53:27 · 3019 阅读 · 0 评论 -
【网络安全】移动软件逆向集成工具包Santoku
Android静态分析工具包括 ApkTool、BakSmali 、Androguard 、dex2jar、jd-gui ,这些工具中除了 Androguard 不能在Windows 平台上运行外,其它的都能支持跨平台,可以在Windows 平台上良好的运行。如果读者觉得单独下载配置这些工具麻烦(其实本书配套源代码中有提供),不妨使用另一款集成分析环境santoku。santoku 实质是一款原创 2014-09-30 14:48:28 · 3874 阅读 · 0 评论 -
【Android安全】Dalvik字节码含义查询表
下表中的Vx代表Dalvix寄存器,根据说明我们可以访问Vx-Vxxxx种类型的寄存器范围为Vx为V0-16,Vxx为V17-256,Vxxxx为V257-65535,如果存储Long或者Double值,则需要2个寄存器,如double值可以存储在V0和V1寄存器中。Boolean值用1和0存储,对Boolean值的操作需要转换为整形操作。所有例子都是大字节序,例如0F00 0A00是按0原创 2014-11-11 11:27:09 · 5753 阅读 · 0 评论 -
【IPS分析】Snort语法规则说明及实例讲解
Snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。 第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则原创 2014-11-07 16:12:18 · 21668 阅读 · 0 评论 -
【网络安全】Bash漏洞原理POC及ShellCode
从昨天开始,这个从澳大利亚远渡重洋而来的BASH远程命令执行漏洞就沸腾了整个FreeBuf,大家都在谈论,“互联网的心脏又出血了”,可是,亲,到底怎么对网站进行测试?下面这段脚本$ env x=‘() { :;}; echo vulnerable' bash -c "echo this is a test"真的如各路大神们说的这样吗?它与“心脏出血”漏洞不同,“心脏出血原创 2014-09-26 18:36:51 · 4537 阅读 · 0 评论 -
【友商分析】Palo Alto安全业务对象信息
防间谍软件对象规则包括:adware,botnet,net-worm,backdoor,browser-hijack,data-theft,keylogger,p2p communication.spyware.adware:是指以一个附带广告的电脑程序,以广告作为盈利来源的软件。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变原创 2014-09-02 16:26:11 · 1456 阅读 · 0 评论 -
【网络安全】SSLSplit源码流程分析-中间人攻击
SSLSplit分析一、主流程:Main->参数解析->proxy_new->proxy_run.Main1、参数解析如x509证书或公钥信息设置opts,解析natengine即代理IP和端口设置opts->spec的监听IP和端口。2、利用proxy_new初始化proxy_ctx_t,将opts赋值给ctx设置线程数, proxy_listener_setup设置代理监听到事原创 2014-09-10 12:11:54 · 4882 阅读 · 0 评论 -
【网络安全】Fedora18安装配置ModSecurity
1、安装LAMP和编译环境 环境说明 #Apache 2.2.5 #Mysql 5.1.6 #Centos 6.0 安装apache+php+mysql #yum -y install httpd php mysql mysql-server php-mysql 安装编译环原创 2014-08-03 15:04:09 · 877 阅读 · 0 评论 -
【Linux 开发】Libevent开源库使用简介及实例
libevent是一个基于事件触发的网络库,memcached底层也是使用libevent库。总体来说,libevent有下面一些特点和优势:* 事件驱动,高性能;* 轻量级,专注于网络; * 跨平台,支持 Windows、Linux、Mac Os等; * 支持多种 I/O多路复用技术, epoll、poll、dev/poll、select 和kqueue 等; *原创 2014-06-18 18:06:16 · 8162 阅读 · 0 评论 -
【网络安全】SSLSplit实现中间人攻击
实验环境 2台机器属于同一网段,分别为192.168.68.62原创 2014-06-16 16:18:43 · 15425 阅读 · 2 评论 -
【移动安全】315钓鱼Wifi获取个人信息的深入剖析
2015年央视3.15晚会曝光了黑客如何在公共场所利用“钓鱼WiFi”窃取用户隐私数据,最终导致财产损失的黑幕。触目惊心的现场演示让许多人对公共WiFi上网安全产生恐慌。那么黑客是如何获取邮箱账户信息和用户自拍照信息的呢,本人对此进行了深入的分析。1. 邮箱用户名和密码数据泄露分析通过手机自带的邮件应用绑定邮箱,客户端会定时检查是否有新邮件,检查频率可自行设置,检查新邮件时使用I原创 2015-03-26 18:24:07 · 9680 阅读 · 0 评论 -
【协议分析】HTTP2技术变革的冲击和影响分析
HTTP2技术变革的冲击和影响分析HTTP2于今年2月28日正式通过IETF组织批准发布,正式定稿,那么什么是HTTP2,HTTP2将给我们带来哪些改变,将对我们的业务和产品产生哪些影响,应用安全研究部的协议分析研究员对此进行了深入的分析。HTTP协议发展及特点HTTP是往返“浏览器”与“WEB Server”的协议(即:HTTP Protocol)。HTTP 0.9只有基本的原创 2015-04-30 15:52:01 · 4436 阅读 · 1 评论 -
[Network Security]Anti-Debug Methods
Welcome back to the series on anti-debugging. Hopefully you have your debugger and development environment handy as we are about to dive into the first round of anti-debugging code. In the first post原创 2016-07-19 06:08:45 · 2434 阅读 · 0 评论 -
[Protocol Analysis]Wireshark capture packet tcp udp checksum error
Disable Tcp/Udp offloading will solve this problem.TCP offload engine is a function used in network interface cards (NIC) to offload processing of the entire TCP/IP stack to the network controller. By原创 2016-06-22 10:03:29 · 4265 阅读 · 0 评论 -
【后会有期】
每一次工作变动对我来说都很痛苦,但又不得不面对,今天先小总结一下,以作纪念。2013:组织构建,业务起步,技术预研,成果输出,部门从无到有,我们迎着朝阳前行,感谢有你,一路我们并不孤单。2014:组织稳固,业务发展,技术积累,成果商用,产品支撑先行,内部创新跟进,新业务崭露头角,我们已在路上,感谢有你,让我们对未来充满希望。2015:组织增强,业务多元,技术成熟,成果突出,产品支撑有序,改进推广有原创 2016-01-06 19:10:38 · 1617 阅读 · 1 评论 -
【网络安全】Cuckoo Sandbox Realistic Application
Cuckoo Sandbox vs. Reality By: Thorsten Sick in Technology November 11, 2014 The problem: Having to analyse several hundred thousand potential malware samples every day. The solution: Building a scal转载 2015-10-13 14:36:25 · 1190 阅读 · 0 评论 -
Security WEB SITE
http://www.xfocus.net/articles/12.html原创 2009-08-06 10:51:00 · 891 阅读 · 0 评论 -
【网络安全】移动安全软件合集
-010 Editor - 二进制文件查看工具 http://www.sweetscape.com/010editor/templates/ -ApkDetecter -查壳检测 https://github.com/Andy10101/ApkDetecter -Kisskiss 脱壳工具 https://github.com/strazzere/android-unpacker/blob/ma原创 2015-10-20 15:36:58 · 2777 阅读 · 1 评论 -
【网络安全】Rop绕过DEP和ASRL流程实例介绍
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip原创 2015-09-16 16:29:54 · 8302 阅读 · 1 评论 -
【网络安全】XCodeGhost事件刨根问底
喜欢安全,热爱安全,投身安全,贡献安全。一个一脚门里一脚门外的安全人对此次攻击事件的理解。 XCodeGhost事件还原 9月14日CNCERT发布了一个安全公告,警告非官方的若干版本的Xcode程序包(苹果系统的软件开发包)被做了恶意的修改被并故意大范围散发诱导使用,经由这个Xcode开发包编译的苹果系统程序会被植入恶意代码。已知有数百个应用程序受影响,包括微信 (6.2.5),滴滴出行(4原创 2015-09-24 18:27:31 · 3907 阅读 · 2 评论 -
【漏洞分析】Heartbleed 2014-0160漏洞Poc及规则分析
HeartBleed Poc脚本 1、发送client hello接收serverhello 之后发送心跳再解析获取的数据信息 2、发送client hello时直接带上心跳消息,然后解析服务器返回信息#!/usr/bin/python# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@js原创 2015-08-05 15:42:21 · 3069 阅读 · 0 评论 -
【漏洞分析】OpenSSL HeartBleed漏洞分析及POC代码
CVE-2014-0160漏洞背景2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏原创 2014-06-12 10:24:55 · 4348 阅读 · 0 评论 -
【漏洞分析】CVE2012-0002漏洞分析过程详述
1、漏洞触发发送攻击脚本后机器蓝屏效果如下:测试环境:win xp professional sp2 2、ruby脚本源码及分析#!/usr/bin/env ruby# ms12-020 PoC# NOTE: 本测试脚本基于中国民间流传的ChineseShit而写,并且修正了数据包不符合协议的问题# Author: Joshua J. Drake(jduck)原创 2015-07-23 17:09:03 · 7982 阅读 · 0 评论 -
【加密与解密】C#如何读取pem的KEY文件
1、第一步先用openssl将pem的key转换为der的key //E:\01Doc\bin>openssl.exe rsa -in rsakeydec.pem -outform der -out pri.der 2、调用下面的程序直接读取der转换为c#所需要的xml Key,之后进行密文解密 3、openssl下载地址 http://download.csdn.net/d原创 2015-08-01 15:47:57 · 22148 阅读 · 3 评论 -
【网络安全】Telnet 23端口扫描与信息提取
利用python脚本对公网IP进行探测,查看服务器返回信息。运行结果如下:Client received: '\xff\xfd\x01\xff\xfe\x01\xff\xfb\x01\x1b[2J[ M113 ] B-02.54 VIP113 V-02.08.02 VB\r\nDate/time: 31.7.2015/8:43:49.93\r\nSNumber: M113-0905370003\r\n\r原创 2015-07-31 13:45:18 · 3143 阅读 · 0 评论 -
【加密与解密】Openssl 生成的RSA秘钥如被C#使用解密
openssl生成的RSA公私钥对保存一个pem文件中,生成时可以选择加密与不加密,如果要提取私钥需要用到openssl rsa进行提取,之后用c#转换为xml之后再对加密数据进行解密,详细如下:1、openssl生成秘钥E:\bin>openssl genrsa -aes128 -out rsakey.pem -passout pass:111111 1024Loading 's原创 2015-07-30 19:27:47 · 7985 阅读 · 0 评论 -
【网络安全】DVWA和WebCruiser攻击演练过程详解
1、下载dvwa和xampp linux版本http://www.dvwa.co.uk/https://www.apachefriends.org/zh_cn/index.html2、安装xampp./xampp.run根据提示进行安装即可,安装后目录为/opt/lampp./xampp start./sampp stop启动后远程使用IP地址无法访问,vi .原创 2015-05-07 16:39:04 · 10939 阅读 · 0 评论 -
WEB安全研究员【链接】
职位:WEB安全研究员职位描述:1 对最新Web安全威胁进行跟踪和研究2 支持公司Web安全产品3 专注Web应用程序安全漏洞研究发掘任职要求:1.至少精通一门脚本语言,熟悉正则表达2.熟练掌握各种Web安全攻防手法3.精通WEB应用程序渗透测试方法和定制攻击自动化4.深入理解OWASP风险评估中前十位Web攻击模式和评估方法5.知道如何跟踪最新原创 2015-04-28 11:21:17 · 1187 阅读 · 0 评论 -
【网络安全】SSLSplit中间人攻击实例
recently demonstrated how to perform a man-in-the-middle attack on HTTP(S) connections using mitmproxy. While mitmproxy works just great for HTTP-based communication, it does not understand other TL原创 2014-06-14 10:48:28 · 8648 阅读 · 4 评论 -
【网络安全】Linux数据路由转发配置
有A、B、C三台机器A有一个块网卡: eth1:1923168.66.225B一个网卡:eth0:192.168.66.10C一个网卡:eth0:192.168.66.11由于某种需要,我希望B能将数据包发给C,但是又不能直接发送,而A又能与B、C交互数据包,此时,我就希望,B将数据包给A,然后A再把数据包,转发给C,与此同时,A要将转发的数据包的目的地址改成 B,那么当C收到A转原创 2014-06-14 13:49:31 · 5434 阅读 · 1 评论 -
Android Sandbox(沙箱)开源工具介绍
android sandbox 通过利用开源工具动态分析、静态分析android的相关应用,发现应用的具体行为,从而进行判断android应用的危险程度,本文重点介绍几款常用工具。1、droidbox是基于TaintDroid系统构建的Sandbox,通过hook系统api对apk程序进行监控,随着android SDK的不断更新,其也要随之适配。droidbox:http://c原创 2012-10-28 11:31:40 · 20782 阅读 · 0 评论 -
病毒、蠕虫与木马的定义
http://soft.yesky.com/security/134/2669634.shtml随着互联网的日益流行,各种病毒木马也猖厥起来,几乎每天都有新的病毒产生,大肆传播破坏,给广大互联网用户造成了极大的危害,几乎到了令人谈毒色变的地步。各种病毒,蠕虫,木马纷至沓来,令人防不胜防,苦恼无比。那么,究竟什么是病毒,蠕虫,木马,它们之间又有什么区别?相信大多数人对这个问题并没有一转载 2012-11-03 22:32:02 · 3274 阅读 · 0 评论 -
病毒检测方法
1、静态文件检测利用文件头部相应属性的Md5值作为特征进行网络数据文件的检测,一般用于网关产品。2、动态文件检测将病毒文件运行到虚拟系统中,利用文件的动作行为检测是否为病毒,如杀毒软件。判断文件或URL是否为恶意的主要开源网站为:virustotal.com,包含41款杀毒软件,功能非常强大,速度非常快1分钟之内完成扫描,virscan.com包含36款杀软但扫描速度慢一般原创 2012-10-18 22:28:20 · 3985 阅读 · 0 评论