Frp改造 安全闲碎

Frp改造

介绍修改下Frp比较明显的一些特征,更好的隐藏自己,躲避下流量审计。TLS加密Frp使用时以明文相互传输,可使用TLS协议来加密传输,在Frpc配置文件中添加如下内容:tlsenable = true也可以强制使用TLS,在Frps中配置如下内容:tlsonly = true且socks5验证,不使用TLS情况下,明文状态也会暴露账号和密码:加密后的情况:传输压缩有些局域网会进行流量和特征的识别,从而进行拦截,这里可以使用Frp的流量加密和压缩功能,Frpc端进行如下配置:use_encryption = trueuse_compression = truePS:如果使用了TLS加密,则除XTCP外,不需要再设置 use_encryption。信息修改Frp连接时,客户端会发送相关请求到服务端,这些请求内容是固定了,包含了目标机的一些信息,如下图:上述version等信息字段我们可以进行修改,文件位置在pkg/msg/msg.go中,修改示例如下:type Login struct { Version string `json:"vs"` Hostname string `json:"hn"` Os string `json:"oos"` Arch string `json:"ac"` User string `json:"username"` PrivilegeKey string `json:"pk"` Timestamp int64 `json:"ts"` RunID string `json:"ri"` Metas mapstring `json:"m"` // Some global configures. PoolCount int `json:"pool_count"`}特征修改Frp为了端口复用,建立TLS连接时第一个字节是固定的0x17,且后面数据包大小为317,流量如下图:代码位置在pkg/util/net/tls.go,代码中需改的四处已经标上了注释:package netimport ( "crypto/tls" "fmt" "net" "time" gnet "github.com/fatedier/golib/net")var ( // FRPTLSHeadByte = 0x17 // 修改后 FRPTLSHeadByte = 0x16)func WrapTLSClientConn(c net.Conn, tlsConfig *tls.Config, disableCustomTLSHeadByte bool) (out net.Conn) { if !disableCustomTLSHeadByte { // c.Write(byte{byte(FRPTLSHeadByte)}) // 修改后 c.Write(byte{byte(FRPTLSHeadByte),byte(0x71),byte(0x72)}) } out = tls.Client(c, tlsConfig) return}func CheckAndEnableTLSServerConnWithTimeout( c net.Conn, tlsConfig *tls.Config, tlsOnly bool, timeout time.Duration,) (out net.Conn, isTLS...
阅读全文
原创 | 西门子S7CommPlus_TLS协议浅析 逆向工程

原创 | 西门子S7CommPlus_TLS协议浅析

作者 | 绿盟科技格物实验室 高剑概述:西门子是全球顶级的自动化系统供应商,西门子SIMATIC系列PLC在全球的关键基础设施上大规模使用,也正是由于其可靠性、稳定性才会让更多的用户选择使用。随着网络攻击的日益激烈,西门子在“震网”事件之后,推出了信息安全型的S7-1200系列和S7-1500系列PLC,十多年的产品更新迭代,西门子一直在产品的信息安全方面默默耕耘,从最早的S7CommPlus-V1版本、V2版本、带有完整性校验的V3版本,到2021年5月份发布的带有TLS套接层的加强版S7CommPlus协议,足以看出西门子对于工业网络信息安全的重视程度。本文就带领大家一起看看西门子最新版本的S7CommPlus_TLS协议的具体情况。1研究对象2021年5月28日,西门子发布了TIA V17,这是一个集成了多种高端功能的新一代自动化系统的集成开发环境,其中最有亮点的是TIA Portal 云连接器提供对本地 PC 接口和 TIA Portal Engineering 中连接的 SIMATIC 硬件的访问,而工程本身则可以通过私有云中的远程桌面执行,其他的亮点见下图。我们关注的是西门子提及到的最新支持的安全协议。为了配合上位机组态软件,西门子在2021年5月12日就发布了S7-1200系列的最新版本固件V4.5.0这是一个大版本的更新,不再以V4.4开头,其中修改了很多问题也增加了一些功能。综上所述,本次研究的对象是:上位机:TIA V17下位机:S7-1215C DC/DC/DC & Firmware V4.5.02环境搭建TIA V17安装在虚拟机中,为了节约空间和计算资源,可以只安装STEP 7部分。组态对应的S7-1215C DC/DC/DC的工程文件,编译后下载到控制器中。由于使用了最新版本TIA V17,在初始组态设备时会告知用户进行PLC的安全设置,包括了保护机密的PLC数据、PG/PC和HMI的通信模式、PLC访问保护。在此我们打开PG/PC和HMI的通信模式选择为“仅支持PG/PC和HMI的安全通信”。在下装过程中,新加了一个可信认证的过程,必须由TIA V17认可PLC才可建立可信链接。下装完成后,环境的配置参数如下所示3通信过程分析该部分我们从第一次下装初始创建的TIA V17工程开始分析,分析前需要在Wireshark中安装解析S7CommPlus的解析插件,本次使用的S7Comm-Plus Wireshark dissector plugin V0.0.8版本,以查看交互的数据是否还可以被解析。启动Wireshark准备抓包,通过Profinet扫描到PLC后,选中需要下装的设备,点击下载按钮。此时查看通信的报文过程,首先TIA客户端发送CR请求报文,由PLC恢复CC确认报文,这一步是在创建COTP链接。完成COPT链接后,紧接着客户端使用S7CommPlus协议的V1版本给客户端发送了一个请求报文,推测是设置通信模式。设置完通信模式后,TIA V17给PLC发送了TLS handshake的请求client hello报文,使用的TLS协议版本为V1.2。紧接着PLC作为服务器回复了TIA V17客户端的client请求,如下所示接下来就是TIA V17发送TLS V1.2协议的change_cipher_spec的content type,通知PLC后续的数据传输即将被加密。紧接着TIA V17发送了应用层被TLS加密的数据,见下图。其中0x17是应用数据传输功能码,0x0303为TLS的协议版本V1.2,0x0100为数据域的size,紧接着为Encrypted Application Data,从0xac54到结尾。此时PLC回复了TIA V17的请求报文,当然也是由带有TLS V1.2套接层保护的,所有数据都被加密了。从此处往后,TIA V17与PLC交互的通信报文都带有TLS保护层。可以看出西门子虽然对S7Commplus协议做了TLS套接层处理,但是和原始的TLS V1.2协议的处理流程还是有很大区别, 下边是原始TLS的握手流程,应用到工控系统中还是做了很多调整,整个TLS的握手和证书处理、可信连接的创建都由西门子单独设计的一套机制。综上所述,采用了S7CommPlus_TLS的通信处理流程为:TCP三次握手完成;客户端发送CR请求;服务器响应CC数据;客户端发送S7CommPlus_V1的通信设置请求;服务器回应通信设置;客户端发送TLS handshake请求;服务器回应handshake;客户端发送change_cipher_spec请求,通知后续报文加密;客户端紧接着发送TLS加密后的报文数据;服务器回应带有TLS加密的报文数据;4总结 在工控领域中将稳定性和实时性置于系统需求的首位,西门子在工业通信协议中加入TLS安全套接层是否会影响到控制系统的实时性,这个问题还有待于工业现场的验证,但在安全性上可以说是增加了许多,也让恶意攻击者更难通过远程的手段进行一些低等级的攻击(比如重放攻击)。但网络世界的攻防对抗是不会停止的,有加密就会有解密,有多厚重的保护装备就会有多犀利的破解法门。我们最近也针对该协议做了些许分析,知道了加密前的协议、知道了证书的交换等等,发现了一些安全隐患目前正在验证阶段。我们致力于在黑客之前找到安全问题并与厂商一起修复隐患,以做到防患于未然,更好的保护工业控制系统。工业系统在设计之初都没考虑到安全问题,但随着网络攻击的愈演愈烈工业系统会根据相关的规定对所有部件、协议进行加固处理,比如针对工业通信协议会做授权、认证、加密的处理,西门子已经在做这些事情,可以预计在未来的五年工业现场的通信协议都会做安全处理,对于抵御外部的威胁起到了显著的作用,但同时对于安全厂商也提出了要求,如何审计加密的工业通信流量,如何在加密流量中找到威胁行为等。 转载请注明来源:网络安全应急技术国家工程实验室 本文始发于微信公众号(网络安全应急技术国家工程实验室):原创 | 西门子S7CommPlus_TLS协议浅析
阅读全文
TLS-Poison 攻击方式在真实CTF赛题中的利用实践 未分类

TLS-Poison 攻击方式在真实CTF赛题中的利用实践

微信又改版了,为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面~PS: 在阅读本文前,建议您掌握相关TLS Poison知识,本文不再详细介绍 TLS Poison 攻击基础知识。在Black Hat USA 2020 - When TLS Hacks You议题中,提出了一种利用 TLS 协议特性结合客户端实现缺陷达到攻击内网应用的攻击方式,(具体可以登录:https://www.blackhat.com/us-20/briefings/schedule/#when-tls-hacks-you-19446进行查看)。本文将在这个议题基础上提出疑问:为什么使用的是 When TLS Hacks You ,而不是 When HTTPS Hack (Hacks?)  You 呢?这说明问题是出现在 TLS 特性身上,目前我们貌似都更多专注在 HTTPS 上,但既然HTTPS 是 HTTP over TLS ,那其他协议是不是也可以呢?比如 FTPS ,FTP over TLS 等等?接下来就让我们来看看 FTPS 是可以如何利用的吧。Introduction of FTPSFTPS (also known FTP-SSL, and FTP Secure) is an extension to the commonly used File Transfer Protocol (FTP) that adds support for the Transport Layer Security (TLS) and, formerly, the Secure Sockets Layer (SSL, which is now prohibited by RFC7568) cryptographic protocols.FTPS should not be confused with the SSH File Transfer Protocol (SFTP), a secure file...
阅读全文
苹果已在最新版本系统中弃用不安全的TLS 1.0 与 1.1协议版本 未分类

苹果已在最新版本系统中弃用不安全的TLS 1.0 与 1.1协议版本

苹果公司9月22日在其开发者网站上称,最新版本系统中已弃用不安全的TLS 1.0 和 1.1 版本,在未来版本中也不再提供支持,涉及的系统包括iOS 15、iPad OS 15、mac OS 12、watch OS 8 和 tv OS 15。 TLS 是一种安全通信协议,当用户通过客户端或服务器应用程序连接互联网时,TLS能保护用户免遭信息的窃听、篡改和伪造。TLS 1.0和1.1版本分别发布于1999年和2006年,最新的1.3版本由互联网工程任务组 (IETF) 于2018年3月发布,并于今年3月25日正式弃用了上述两个旧版本。 苹果公司建议,开发人员尽快将使用旧版 TLS 协议的应用程序升级到 TLS 1.2 或更高版本,或者直接切换到TLS 1.3,因为它比1.2 更快、更安全,并从App 中删除以下已弃用的 Security.framework 符号: tls_protocol_version_t.TLSv10 tls_protocol_version_t.TLSv11 tls_protocol_version_t.DTLSv10 但对于在所有链接上使用应用程序传输安全 (ATS)功能的应用程序(默认情况下,针对 iOS 9.0 或 macOS 10.11 SDK 或更高版本链接的应用程序启用)无需就此再做更改。 据介绍,微软、谷歌和Mozilla已从2020年上半年开始停用不安全的 TLS 协议。2020年8月,Microsoft在最新的Windows 10 Insider 版本中默认启用了 TLS 1.3,微软表示,TLS 1.3消除了过时的加密算法,增强了旧版本的安全性,并旨在尽可能多地加密。 参考来源: https://www.bleepingcomputer.com/news/apple/apple-will-disable-insecure-tls-in-future-ios-macos-releases/ 精彩推荐
阅读全文
恶意软件通信协议的应用现状分析 安全闲碎

恶意软件通信协议的应用现状分析

一、简介随着越来越多的互联网通信使用传输层安全的协议,调查发现使用TLS加密通信的恶意软件数量也在一年内翻了一番。过去十年,传输层安全一直是互联网通信的隐私和安全的最大贡献者之一。TLS加密协议用于保护越来越多的互联网、消息和应用数据流量的安全。安全的HTTP (HTTPS) web协议、StartTLS电子邮件协议、Tor匿名网络和基于OpenVPN协议的虚拟专用网络都利用TLS来进行加密和封装,保护它们在传输过程中不被窃取或修改。在大规模互联网监控被揭露之后,TLS的使用已经增长到可以覆盖大部分互联网通信。根据谷歌的浏览器数据,HTTPS的使用已经从2014年的40%增长到2021年3月的98%。因此,恶意软件运营商为了逃避检测,采用TLS也就不足为奇了。过去一年,使用TLS来隐藏通信的恶意软件急剧增长。2020年,Sophos检测到的通过互联网与远程系统通信的恶意软件中,有23种使用TLS,如今这一比例接近46%。2021年前三个月的恶意软件通信细目还有相当一部分TLS通信使用的不是默认的443端口,例如恶意软件使用Tor或SOCKS代理通过非标准端口号。Sophos查询了与443、80和8080以外的端口上恶意互联网通信相关的主机名的证书透明度日志,发现49%的主机拥有由证书颁发机构(CA)颁发的TLS证书。其他手工检查的一小部分使用了自签名证书。但恶意软件对TLS使用的增长,很大一部分原因是因为使用了合法的网络和云服务,这些服务受到TLS保护,如Discord、Pastebin、Github和谷歌的云服务,它们通常被用来存放恶意软件和被窃取的数据,甚至作为僵尸网络和其他恶意软件的命令和控制服务器。除此之外,还与Tor和其他基于TLS的网络代理的使用增加有关,这些代理用于封装恶意软件与攻击者之间的恶意通信。2021年前三个月TLS恶意软件“callhome”流量目标细分从恶意流量占比来看,与谷歌云服务的通信,占恶意TLS通信的9%  ,印度的BSNL紧随其后。在2021年3月,使用Cloudflare托管的恶意软件使用量激增,它占当月检测到恶意TLS流量的4%。Sophos 报告了9700多个与恶意软件相关的Discord链接,许多是针对discord的,目标是窃取用户凭证,而另外一些是信息窃取和木马传递。总体而言,将近一半的恶意TLS通信被发送到了美国和印度的服务器上。过去一年,TLS在勒索软件攻击中使用的增加,尤其是手动部署的勒索软件,一部分原因是攻击者使用了利用HTTPS的模块化攻击工具。但是,Sophos每天检测到的恶意TLS通信中,绝大多数来自最初的恶意软件:加载程序、卸载程序和基于文档的安装程序会返回受保护的的网页,以检索它们的安装包。Sophos发现TLS仍然占总流量的2%以上,Sophos将其分类为恶意软件“callhome”,在三个月内,56%的C2服务器(由DNS识别的主机名)恶意软件使用HTTPS和TLS。其中,近四分之一的基础设施位于谷歌的云环境中。二、意外安装包恶意软件通信通常分为三类:下载其他的恶意软件,窃取数据,检索或发送指令来触发特定的功能(命令和控制)。所有这些类型的通信都可以利用TLS加密来逃避防御者的检测。但与恶意软件相关的大部分TLS通信都是第一类,发送程序、加载程序和其他恶意软件来感染目标系统,使用TLS逃避基本的有效载荷检查。在恶意软件中利用TLS的复杂性并不高,因为支持TLS的基础设施可以免费提供恶意软件或代码片段。通常,Droppers程序和加载程序使用合法的网站和云服务内置的TLS支持,以进一步掩盖流量。例如,来自Bladabindi RAT传输器试图从Pastebin页面检索其有效负载。(该页面已不存在。)         试图通过TLS从Pastebin检索第二阶段代码的Bladabini RAT传输器的TLS通信Sophos的研究人员观察到基于powershell的LockBit勒索软件通过TLS从谷歌文档电子表格以及其他网站获取额外的脚本。此外,还观察到AgentTesla的一个传输器(将在本报告后面讨论)通过TLS访问Pastebin来检索代码块。虽然谷歌和Pastebin通常会迅速关闭其平台上托管的恶意软件文档和站点,但许多C2源在一次垃圾邮件活动后就被抛弃了,攻击者会重新创建新的源来进行下一次攻击。有时恶意软件会以这种方式在一次攻击中使用多个服务。例如,某个恶意软件,将第二阶段恶意载荷托管在Discord上,第二阶段恶意载荷又通过GitHub下载后续阶段恶意载荷。                从Discord和GitHub捕获的恶意软件数据包恶意软件下载流量实际上占Sophos观察到的基于TLS的C2流量的大部分。例如,在2021年2月,恶意软件下载流量占了TLS C2流量的90%以上——这个数字与2021年1月至3月期间与类似恶意软件相关的静态C2检测的数据非常吻合。三、秘密通道恶意软件运营商可以使用TLS来混淆命令和控制流量。通过发送HTTPS请求或通过基于TLS的代理服务连接,恶意软件可以创建一个反向shell,允许将命令传递给恶意软件,或允许恶意软件检索脚本块或特定功能所需的密钥。命令和控制服务器可以是远程专用的web服务器,也可以基于合法云服务中的一个或多个文档。例如,Lampion银行木马使用谷歌Docs文本文档作为一个密钥的来源来解锁它的一些代码,删除文档就会成为致命开关。通过利用谷歌Docs, Lampion背后的攻击者能够隐藏对恶意软件的控制通信,并通过使用一个可信的主机逃避基于信誉的检测。(目前此文档已被删除)攻击者利用谷歌文档存放Lampion银行木马的密钥恶意软件可以利用同样的连接来窃取敏感信息,将用户凭证、密码、cookie和其他收集到的数据传给恶意软件的操作人员。为了隐藏数据窃取,恶意软件可以将其封装在一个基于TLS的HTTPS POST中,或通过TLS连接将其导出到一个云服务API,如Telegram或Discord的“bot”API。四、SystemBC攻击者如何恶意使用TLS的一个例子是SystemBC,这是一个多功能的恶意通信工具,在最近的一些勒索软件攻击中被用到。一年前发现的SystemBC的第一个样本,主要是作为一个网络代理,为攻击者创建了一个相当于虚拟专用网络连接的网络,该网络连接基于SOCKS5远程代理连接,使用tls加密,为其他恶意软件提供隐藏的通信。但是恶意软件一直在发展,最近SystemBC的样本是功能更全面的远程访问木马(rat),一旦部署,就为攻击者提供了一个持久的后门。除了充当网络代理之外,SystemBC的最新版本可以发送Windows命令,传递和运行恶意脚本、可执行程序。然而,SystemBC并非完全隐身。它产生了许多非TLS、非Tor流量。Sophos最近分析的样本有一个TCP“心跳”,SystemBC RAT会通过49630端口连接到硬编码的控制服务器。第一个TLS连接是对IPify代理的HTTPS请求,IPify是一种API,可用于获取受感染系统的公共IP地址。但是这个请求不是在标准HTTPS端口443上发送的,而是在端口49271上发送的。这种非标准端口的使用是特征的开始。 SystemBC使用TLS和HTTPS连接到IPify以获取系统的公网地址然后SystemBC尝试获取关于当前Tor网络共识的数据,通过一个HTTP GET请求从端口49272和49273连接到硬编码的IP地址。SystemBC使用这些链接来下载关于当前Tor网络配置的信息。SystemBC收集Tor网络数据接下来,SystemBC与Tor网关建立TLS连接。同样,它使用另一个非标准端口:49274。在Sophos分析的样本中,它试图通过标准端口上的一个打开的HTTP请求获取另一个恶意程序。这个样本下载到的文件henos.exe是另一个后门,它通过标准端口(443)上的TLS连接到一个Telegram频道——这表明SystemBC背后的攻击者正在发展其战术。SystemBC 可能还会继续发展,因为它的开发人员解决了HTTP和TLS的混合使用以及其在某种程度上可预测的非标准端口的问题,这些非标端口很容易导致SystemBC被识别。五、AgentTesla与SystemBC一样,agenttesla(信息窃取者),在某些情况下还可以充当RAT。活跃了七年多的AgentTesla最近进行了更新,可以使用Tor匿名网络来隐藏TLS的流量。AgentTesla在最近的一个下载程序中使用了TLS,因为开发人员使用合法的web服务在Pastebin和一个名为Hastebin的类似服务中存储以base64格式编码的恶意软件块。第一阶段的下载程序进一步试图通过patching Windows的反恶意软件接口(AMSI)来逃避检测,以防止对下载的代码块进行合并和解码时在内存中被检出。从AgentTesla的安装程序中捕获试图通过TLS连接到Pastebin的数据包AgentTesla本身的Tor附加内容 可用于隐藏HTTP上的通信。在AgentTesla中还有另一个可选的C2协议,可能是受到TLS保护的Telegram Bot API,使用一个HTTPS服务器来接收消息。然而,AgentTesla的开发者并没有在恶意软件中实现HTTPS通信(至少现在是这样)——它没有执行TLS握手。Telegram接受发送到其bot API的未加密HTTP消息。六、DridexDridex是另一个长期存在的恶意软件家族。Dridex最初于2011年被发现,主要是一个银行木马,但它已经发生了很大的变化。它可以通过下载的模块加载新功能,其方式类似于Trickbot木马。Dridex模块可能会在受感染的系统中一起下载,或者稍后由主加载器模块检索。每个模块负责执行特定的功能:窃取凭证、窃取浏览器cookie数据或数字证书、记录键盘输入或截屏。Dridex的加载程序已经更新,以隐藏通信,并使用TLS对其进行封装。它使用端口443上的HTTPS从C2服务器下载其他的模块,并将收集到的数据提取到C2服务器。另外,可以使用RC4对被泄露的数据进行加密,以进一步隐藏和保护数据。Dridex还有一个备用的命令和控制(C2)服务器基础设施,如果原来的C2服务器宕机,可以允许安装的恶意软件故障转移到备份。这些更新使Dridex成为一个持续的威胁,Dridex是使用TLS通信的最常见的恶意软件家族之一。七、Metasploit和Cobalt Strike进攻性安全工具长期以来一直被恶意攻击者和安全专业人员使用。这些商业和开源工具,包括模块化的Cobalt Strike和Metasploit工具包,是为渗透测试和“红队”安全评估而开发的,但它们因其灵活性而受到勒索软件组织的欢迎。在过去的一年中,使用攻击性安全平台衍生的工具进行手动部署勒索软件的攻击在激增,攻击者使用这些工具来执行脚本,收集网络上其他系统的信息,提取额外的凭据,并传播勒索软件和其他恶意软件。一份最近被Conti勒索软件攻击的Cobalt Strike配置文件,Cobalt Strike beacon在攻击中使用HTTPS和TLS与C2服务器通信总的来说,Cobalt Strike beacon和Metasploit“Meterpreter”衍生软件在所有使用TLS检测到的恶意软件中占了1%以上。与其他主要恶意软件家族相比,这个数字相当可观。八、其他威胁潜在的有害应用程序(PUAs),特别是在macOS平台上,也利用TLS,通常通过浏览器扩展秘密连接到C2服务器,以获取信息并将内容注入其他web页面。Bundlore使用TLS来隐藏恶意脚本,并将广告和其他内容注入网页,而不被发现。已发现超过89%的macOS威胁与C2通信使用TLS。除了恶意软件和PUAs之外,TLS通信中还潜伏着许多其他的隐私和安全威胁。钓鱼活动越来越依赖于拥有TLS证书的网站——要么注册了欺骗性域名,要么由云服务提供商提供。谷歌表单钓鱼攻击似乎很容易被发现,但受过“寻找锁定”训练的用户可能会随意输入个人身份数据和凭证。钓鱼网页案例九、流量分析保守估计,与以往相比2020年以来使用TLS的恶意通信,增长率超过100%。一些人在非标准IP端口上使用TLS,如果没有对其通信进行更深的包分析,就不可能对TLS使用情况进行完全准确的评估。因此,本报告中的统计数据并不能全面反映基于TLS的恶意通信,组织不应该仅仅依靠与通信相关的端口号来识别潜在的恶意通信。TLS可以在任何可分配的IP端口上实现,在初始握手之后,它看起来就像任何其他TCP应用程序通信一样。最令人担忧的趋势是使用商业云和网络服务作为恶意软件部署、命令和控制的一部分。恶意软件开发者对合法通信平台的滥用使他们获得了谷歌Docs、Discord、Telegram、Pastebin等提供的加密通信的好处,在某些情况下,他们还受益于这些平台的“安全”声誉。使用现成的攻击性安全工具和其他现成的工具和应用程序编程接口,使得使用基于tls的通信更容易访问的情况在持续增长。让小型组织和个人更容易获得TLS证书和配置HTTPS网站的服务和技术,也让恶意行为者更容易混入合法的互联网通信中,大大减少了频繁转换或复制C2基础设施所需的工作。所有这些因素使得防范恶意软件攻击变得更加困难。如果没有深入的防御,受害者在发现明显的损害之前,很难提前检出威胁。参考链接:https://news.sophos.com/en-us/2021/04/21/nearly-half-of-malware-now-use-tls-to-conceal-communications/END本文为CNTIC整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“论坛信息”可见。 本文始发于微信公众号(国家网络威胁情报共享开放平台):恶意软件通信协议的应用现状分析
阅读全文
给T00LS白帽的一些建议【T00ls法律讲堂第四期】 安全闲碎

给T00LS白帽的一些建议【T00ls法律讲堂第四期】

不要拿着白帽的幌子自欺欺人~!合法或违法,应当是对事不对人!合法或违法,应当是对事不对人。在这个世上,人无完人,我们不能用好或坏来将标签一个人,而应当将其标签在那些人们所做的事上。所以就像白帽和黑产,这样的标签定义在一类人群身上显然是不够精准的,事情是一码归一码,但人却会变,再说对任何的事情,不同的角度都有着不同的评判标准,我们不能概况的因为一件事情伤害了一类人群,世纪佳缘的事件不管结果如何,都是一个敲响所有相关人群的警钟。就像在T00LS的社群里,都是一群追逐技术的黑客,每天每个人都做着许多类似的事情,但是一旦做事的目的不同,同样的事情就会有不同的效果。同样,很多大牛,白天在做白帽,晚上又干黑产,我们又能如何定义这样的人群呢,因此我总结:技术无罪,错在人为。目前大多数白帽都集聚在一些第三方平台上,与受测企业之间几乎没有直接的来往,对此为了防止类似的事情,徐律师给真正从事白帽的黑客一些小小的建议(通过工具批量扫描的因为不会出现类似问题就不做阐述了,未成年人和黑产可以无视以下):一、虽然客观上有时通过实施侵入计算机信息系统的方法来挖掘企业网站的漏洞,但不得有任何从事破坏的痕迹,即依照法律,不得对计算机信息系统功能进行删除、修改、增加、干扰,不得破坏系统中存储、处理或者传输的数据和应用程序。说白了,你别乱动别人的东西。二、很多时候,你除了发现漏洞外,为了证实还会尝试进入(入侵),但是千万不要获取其计算机信息系统中的数据,这里的数据包括图片、文字、影音资料、转悠的程序或者软件等。通俗说就是,对于很多数据不要太好奇,如果你看了就算了,别忘心里去,特别是别做脱裤子的事,脱了账号密码事大,脱了某些机密事就更大了。三、在实施以上的行为的过程中,自始至终在主观心里中,无论受测的企业网站多么有诱惑,都不得有邪念,当然在非主观意志以外,比如操作疏忽大意或者技术不熟练导致的以上问题,就不必过于担心。四、目前国内许多第三方平台是无法直接保护白帽的安全,这里涉及到的问题很多,当然主要还是平台在客观上无法保证或监测以上行为。所以最好还是准确了解自己即将实施的行为是否经过授权,关于授权这个问题几乎是可以阻击一切风险的,除了那些开放众测的网站,就建议大牛直接与受测试网站签订协议,保护自己。五、当发现漏洞后尽量不要私下与(黑产)好友分享,因为你不知道他们会通过你的成果去实施哪些行为,他们犯罪的的情况下,如果在聊天记录中出现一些不利的言语交流,你就很有可能成为他们实施犯罪的帮助犯。如果能够做到以上几点,你的白帽行为几乎就会一帆风顺了,接着就是你展示技术的时候了。最后提醒:不要拿着白帽的幌子自欺欺人~!合法或违法,应当是对事不对人! 本文始发于微信公众号(T00ls):给T00LS白帽的一些建议【T00ls法律讲堂第四期】
阅读全文
小记t00ls某人的悬赏:一次对星外的提权 安全文章

小记t00ls某人的悬赏:一次对星外的提权

文章前提https://www.t00ls.net/viewthread.php?tid=20728T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security& M D- >- R- {3 b% q/ u每天开机打开游览器 主页就是t00ls(精神不错哦)100金币 感觉还是有诱惑 谁叫我没金币嘛,就看了下看到目标站的时候 就感觉是个单子 激起了我的愤怒,到要看看有多难旁站能执行set命令 找了几个路径有可写 但是上传 总是失败 应该是杀毒软件的原因 - 低调求发展# k) J" ?" v2 a2 O* G看到这里的时候 只要上传个vbs就可以读取星外的ftp账号密码,发现此服务器并不是星外。思路就此段了 回过头来看了下目标站www.xxxx.com 全部是静态页面前段时间的短文件名漏洞 试了下跑出了个目录T00LS- k, h5 P' b. e: - B/ u/ >0 }我想 dongji** 这个目录应该是后台 T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security( ^. `5 G" G4 d- 专注网络安全2 B6 c7 S# f; Y& `猜了很多 dongjia dongjiang dongjiu === - 低调求发展) M0 L3 z7 ?0 没戏 - 专注网络安全2 K$ ^# G& f* x7 G& }- ?9 ?- E看了下3389端口被该了为53389T00ls.Net - 低调求发展 -...
阅读全文
T00ls开放IOS App下载以及对僵尸会员进行特赦复活、修改限号规则的公告 未分类

T00ls开放IOS App下载以及对僵尸会员进行特赦复活、修改限号规则的公告

一、开放IOS App下载经过一个多月的开发,一个多月一次又一次的送审被拒又送审,T00ls的苹果手机IOS版本的App终于在App store成功上架了。由于使用的Iphone Xs Max进行测试,第一个版本还有着显示的兼容性问题;并且,部分Cookie截断导致无法评论等等问题,我们将在下一个版本进行更新(目前1.1版本已经修复一部分Bug)。App Store直接搜索T00ls或点击链接下载:https://apps.apple.com/cn/app/t00ls/id1472381390请大家测试下载,并在此帖反馈Bug:https://www.t00ls.net/thread-52174-1-1.html二、复活所有僵尸会员八月一日建军节,值得纪念的日子。根据之前T00ls将进行特赦的计划,已经将6000多位僵尸会员进行复活。并且在陆续通过邮件通知各位老会员回家。希望大家珍惜帐号。三、修改限号规则之前限号规则:一季度 技术版块 (主题帖<1帖 && 回复<10帖)修改后:一季度 技术版块 (主题帖<1帖 && 回复<10帖) && 当前签到天数<90天增加了签到天数的概念,连续签到大于90天,不受限号制约。 本文始发于微信公众号(T00ls):T00ls开放IOS App下载以及对僵尸会员进行特赦复活、修改限号规则的公告
阅读全文
T00ls核心、360工程师杨卿315晚会技术详解黑wifi详情 安全新闻

T00ls核心、360工程师杨卿315晚会技术详解黑wifi详情

注:360工程师杨卿是T00ls三十五位核心成员之一T00ls核心成员名单:bloodsword,golds7n,xiaomi,陆羽,remax,jacks,cnbird,facking,friddy,cnxhack,AnOnYMoUs,oldjun,冰的原点,可酷可乐,xhming,download,lzx,小志,xxbing,sleepig,bin,皇子哥哥,asm,perlish,my5t3ry,ninty,孤独小白,lcx,hackerwei,核攻击,4ngel,wlozz,xsser,9xi4o,sht2015年央视315晚会中,央视联合中国最大的互联网安全公司360工程师现场展示了一组如何利用WiFi窃取用户手机中的相关数据的案例。360工程师通过现场演示,公共wifi猫腻多,移动设备只需与钓鱼WiFi相连,手机中的大量隐私数据即会被钓鱼WiFi所获取。图1:360工程师杨卿现场演示钓鱼WiFi危害通过360在现场实验测试的过程我们可以看到,钓鱼WiFi不仅获取了手机的相关运行数据,比如手机的型号、品牌、操作系统,正在使用或后台运行的App、访问的域名等等。更让人惊讶的是钓鱼WiFi还能获取手机中微信朋友圈中的所有照片,甚至手机里正在登录或者曾经登录过的邮箱帐户、密码等私密信息,让人乍舌。此类信息一旦被不法分子所利用,将给手机用户的个人财产造成极大的损失。图2:钓鱼WiFi可以获取你手机型号、系统、APP等个人隐私信息据了解,目前我国手机网民已超过5亿,商场、餐厅、车站机场等公共场所的无线WiFi热点迅速普及,但我国绝大部分网民并不具备专业防范技巧和应有的安全意识,大多数手机用户会直接使用公共场所提供的免费网络,甚至有很多人专门去公共场所“蹭网”。但是,由于免费WiFi存在网络安全漏洞,大大增加了用户使用公共网络的风险,与此伴随而来的设备漏洞和黑客攻击事件也不断增加。无线WiFi莫乱“蹭”,当心馅饼变陷阱进了商场、酒店、咖啡馆就拿出手机搜WiFi,已经成为不少手机“低头族”的习惯。由于日前国内公共场所的公共WiFi缺乏统一管理,存在巨大公共安全隐患。同时不少手机用户还会使用WiFi万能钥匙、WiFi共享精灵等所谓的“蹭网软件”,破解一些简单的WiFi密码,以达到免费上网的目的。国内一家网络安全研究机构的统计数据表明,目前高达1亿的手机用户使用了这类软件。不过免费WiFi这块蛋糕是否是个甜蜜的诱饵?专家告诉记者:“当心馅饼变陷阱!”上海嘉定的胡先生在一家餐馆用餐时使用了附近的公共WiFi,手机随后出现了自动关机等现象。胡先生随后寻求网络安全机构帮忙,安全人员通过对其手机系统分析后告知,其手机可能是由于连接了被不法分子攻击后的WiFi,手机连接该WiFi后会自动下载病毒,并通过手机重启注销等操作以激活病毒。业内人士表示,目前广泛存在的路由器后门漏洞也被广为诟病,实验测试显示,目前国内在售的路由器普遍多达57个型号的路由器存在后门漏洞,会在路由器系统调试页面存储宽带用户名及密码,一旦该密码失窃,黑客可用其在网上进行恶意交易,给网民造成巨大经济损失。公共WiFi问题多多 网友如何防范从当前整体来看,无论是WiFi创业企业在建设的经营性WiFi网络,还是商家个人建立的免费WiFi,在过去若干年,得到巨大的发展。在这蓬勃发展的后背,是低门槛,无序,无管理甚至混乱的局面。针对当前国内公共WiFi的存在诸多问题,360工程师杨卿对手机用户在公共场所的WiFi使用过程中的安全事项提出了如下建议:第一、公共场合WiFi不要随意链接,更不要使用这样的无线网进行网购等活动。如果确实有必要,最后使用自己手机的3G或者4G网络,网购需前往正规购物网站,使用正规且有保障的网站进行移动支付,安全系数更高;第二、手机、电脑等都需要安装安全软件,每天至少进行一次对木马程序的扫描,尤其在使用重要账号密码前。每周定期进行一次病毒查杀,并及时更新安全软件;第三、来路不明的软件不要随便安装,在使用智能手机时,不要修改手机中的系统文件,也不要随便参加注册信息获赠品的网络活动;第四、设置高保密强度密码,不同网站最好设置不同的密码。网银、网购的支付密码最好定期更换。尽量不要使用“记住密码”模式,上网后注意个人使用记录。政府部门需对公共WiFi进行全面监管在公共WiFi的政策运营层面,全国政协委员、民进中央常委、浙江大学医学院邵逸夫医院院长蔡秀军认为,免费WiFi存在三大安全隐患,呼吁政府相关部门能对公众WiFi提供场所进行有效管理:第一、商家架设的公共WiFi没有做基本的上网记录功能,无法实现实名上网,一旦发生网络犯罪,无法查到作案人,只能查到WiFi的提供者;第二、商家密码过于简单,也没有关闭各类管理端口,一旦有人进入主路由器,篡改DSN服务器信息等,劫持路由器;第三、免费WiFi铺天盖地,市民很难分辨那个是不法分子的,如果使用不慎,只要几分钟就能够窃取手机上的个人信息和密码,包括网银密码、炒股账户密码、信用卡密码等。一个健全开放的具有法律约束力的安全法规的出台,将会是中国未来WiFi市场发展标志性的事件,无论对手机用户的上网行为习惯还是对当前的公共WiFi的运营管理部门,都会是一个全新的变革。 本文始发于微信公众号(T00ls):T00ls核心、360工程师杨卿315晚会技术详解黑wifi详情
阅读全文
专访xuehei:一位T00ls论坛的老会员【T00ls人物专访第十一期】 安全闲碎

专访xuehei:一位T00ls论坛的老会员【T00ls人物专访第十一期】

如果你是T00ls论坛的老人,或者是经常逛论坛的新人。你一定对于xuehei这个ID不会陌生,毕竟他是一位混迹论坛11年的坛友。他今年三十多岁。二十岁的年纪是人生最潇洒快意的时代了。幸运的是,这十年也是中国网络安全高速发展的十年。这十年也是T00ls论坛成熟的十年。十年以上的网络安全从业者,至今还在做技术甚至管理的那些熟悉的ID们,现在大多是某个细分领域中安全行业的领军人物。这是网络安全行业带给我们的最幸福的红利。关于xuehei的采访已经做了很久,迟迟没有成文。一方面新冠肺炎突然出现,打乱了我的生活与计划。另一方面我一直无法立体地呈现xuehei,一直无法用平实的文字描绘出一种低调的美感和技术的感动。而xuehei就是这样的一个人,低调、实诚、沉稳,这样的特质,其实不适合做故事的素材。以至于我一遍遍的看论坛中xuehei的帖子,一遍遍的思考xuehei到底是什么什么类型的人?我发现,很多的故事,其实已经在论坛中他的帖子里体现了出来。在朋友眼中,他的无保留分享与对技术的执著让人受益匪浅。在论坛上的他,同样是如此的。坛友没有及时的把某个有亮点的思路开发的工具分享出来,他便自己研究分享了出来。xuehei这个ID的由来其实非常偶然,是他小伙伴多年以前给他起的。他便一直沿用至今。其实除了xuehei,更有另外的一个ID。他也是恋安。十年,小伙伴已经转行了,开了公司成了老板。坚持做技术也许并不是一个很好的选择,成功需要坚持,但是随着年龄的增长,你的精力、想法和探索能力都会限制你。可能每一个做技术的人最好的出路都是转行,做管理或者自己创业,用十几年、几十年兢兢业业努力的成果可能不再有用武之地,如何精湛的技术可能也变成了考试中的附加题。这一点,没有人可以否认,xuehei也不例外,他没想过十年以后他在做什么,可能已经不做技术了。但是现在,还能坚持的时候,还是会继续做。之所以一直用这个名字,是因为很怀念当初和那个朋友一起"挑灯夜战"、“攻城掠池”的日子,怀念一个人、一段日子、一种生活,这些与技术无关,却又好像息息相关。xuehei开始学技术是在2007年,那时是网吧流行的时代。技术发展的大环境远不如现在,家人不知道他学的什么,略有了解的也大多都是否定的态度,虽不了解却不认可。学习的途径也远没有现在这么广泛,《某某攻防实战入门》、《某某X档案》,这些书就是xuehei的技术基础了,虽然是为了热爱甘下血本,但是买上一本科学实用、言之有物的书也不是一件容易的事,市面上的大多的网络攻防书籍要么就是比较基础,要么就是点到为止,真正有亮点技术思路的就更少了。也许是因为有了对比,xuehei对于现在这些技术交流的机会非常珍惜。除了经常写一些技术分享以外,也是许多大佬、各种群里的活跃分子。据他介绍,因为听大佬们说学会了SQL语法就会SQL注入了,所以当年春节的晚上家人在看春晚,他在啃SQL语法,后来语法学习的差不多了,拿着工具去做实验,拿着这些站确不知道怎么注入,然后就去买了本专门讲SQL注入的书,书到后发现里面讲的一些注入的技巧和语法根本就不是SQL语法规则能学到的。为了透彻理解在群里日夜追问,后来有人退群了。。痴迷程度由此可见。同样,xuehei为了“拿下”了自己的学校。2011年前花了一年多的时间对当时自己就读的大学进行测试,最后拿到了学校所有服务器的权限。但某次操作失误让服务器卡住了,直接导致的结果是没有清理掉日志,被学校领导喊去坐一坐,喝了喝茶。……这事之后,他清晰地认识到风平浪静,落雁无痕是多么重要。也正是这种有XX风险的操作推动了技术的进步。之后,这又引发了他的第二波操作。历时几月对XXX有进行了检测,最后撸了整个内网,整个过程写了个图文并茂的文章给了管理员。不论是年少轻狂也好,还是持之以恒也罢,毕竟当时的时代和现在的时代是完全不同的。大学时,xuehei选择的是机械工程及自动化专业,爱好就是信息安全,他学习的各种知识也是非常丰富,编程语言学过ASP、BAT、vbs、C语言、vb6和vb.net,开发的工具学过盗Q号木马、粘贴键后门、远控、网址采集、子域名探测、打包文件扫描、CMS指纹识别、FTP爆破、一句话爆破、批量扫注入、XSS等等。有些东西,现在已经过时了,没有人再学习了,风化成了一些人的记忆。现在的xuehei是个四岁小朋友的父亲,因为小孩子总是难免生病,所以陪伴、照顾小朋友也成了业余时光里最重要的课题,现在的xuehei所在的单位是他入职的第四家公司,除了技术进步、家人健康之外,他希望自己能多赚一些钱,给家人更加富足的生活,帮父母缴清社保,让他们更加安心地安度晚年。这个朴实的期待,让我无法去赞扬有多么的崇高,多么的脱俗,但是我想,父母康健、家庭和顺、生活富足、不断进步应该也是你我,还有千千万万默默努力工作、赚钱养家的人,共同追逐和向往的小确幸。朋友眼中的他:@yakoazz:圈子里认识的人不多,xuehei我是非常佩服的,他会把自己会的所有的东西,无私的分享给大家,热心解答别人的问题,对技术细节刨根问题,愿意钻研,努力上进,为人低调谦和,是我安全道路上遇到的最好最热情的一个人,良师也是益友。 @AD钙奶:为人爽快,经常帮助群里的小伙伴解决问题,愿意把自己的研究成果分享出来。毕竟话少:一个为数不多的80后还奋斗在一线的渗透工程师,技术扎实,善于分享,待人也很真诚。也写了不少工具也帮助我解决了不少问题,算是我安全道路上的启蒙人。希望他后面的道路越走越远,越来越好。@X1nzh1zhu:恋安哥,是个喜欢交流和乐意分享的大佬,希望他往后的日子一帆风顺。@ximcx0101:很喜欢问问题,诠释了“不懂就问”这句名言,并且愿意将所学所知,研究成果共享,也经常帮助别人,希望xuehei在以后的安全道路上继续坚持开源、免费、共享精神。@AceoT0or:经常在群里看到表哥的分享经验,满满的干货,学习表哥刻苦钻研的精神,希望表哥生活红红火火,工作顺顺利利。@7kbstorm:人很和善,身上有一股韧劲。是我见过少有能把想法转换为行动的人之一,正所谓没有行动力,一切都是空谈,在这个每天都充满浮躁的环境里还有什么是比保持产出这一点更珍贵的呢。 本文始发于微信公众号(T00ls):专访xuehei:一位T00ls论坛的老会员【T00ls人物专访第十一期】
阅读全文
Fofa绕过查询限制分析 安全工具

Fofa绕过查询限制分析

今天在t00ls上看到有人公开了一个用go写的工具 下载地址:https://github.com/i11us0ry/tool-iFofa https://www.t00ls.net/thread-61604-1-1.html 抓包查看   作者虽然没有开源,针对其中fofa查询我们分析看看。原理很简单,咱们直接使用proxifier全局抓包看看   1.设置代理       2.设置rule       3.执行抓包   ./goon_amd64_mac -mode fofascan -key port="8081" -num=-1     4.查看结果   burp这里得到了每次的请求 GET /api/v1/search/[email protected]&key=a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2Host: fofa.soAccept-Encoding: gzip, deflateUser-Agent: Go-http-client/2.0Connection: close   包文分析   我们把参数qbase64解码看看 port=8081 && before=2021-06-29 && after=2020-06-30   port=8081 && before=2021-06-29 && after=2021-06-28 通过设置不同的查询语句,来获取结果,结果中会存在重复的数据。   结果分析 我尝试使用高级会员账号进行查询 ./goon_amd64_mac -mode fofascan -key port="7001" -num=-1 得到了123W条数据 在sublime中,使用正则截取每行出现的第一个ip d*.d*.d*d.d*:d* 符合 ip:port格式的是 122W条数据 再通过去重得到result 在sublime中排序 edit - sort lines 查找目标为 ^(.+)$(^1${0, 1})+ 替换为 1n   最后得到了70W个结果 由于没有对结果进行处理,所以结果中存在大量重复ip,不过通过时间条件来扩大查询结果,这操作还是骚的。     修复方式:   限制每个账号每小时对fofa服务器请求次数。(多个账号进行绕过) 限制同一个IP对fofa服务器请求次数。(代理池绕过) 取消普通会员及高级会员账号的before、after的条件查询。   本文始发于微信公众号(白帽子飙车路):Fofa绕过查询限制分析
阅读全文
内网渗透代理之frp的应用与改造(二) 安全文章

内网渗透代理之frp的应用与改造(二)

上篇:内网渗透代理之frp的应用与改造(一)0×4frp的改造  0x4.1 修改特征正常来说,开了tls加密,流量都会加密,所以是没办法直接检测出来的。不过官方文档有说到一个有趣的特征,结合上面的分析确实如此:从 v0.25.0 版本开始 frpc 和 frps 之间支持通过 TLS 协议加密传输。通过在 frpc.ini 的 common 中配置 tls_enable = true 来启用此功能,安全性更高。为了端口复用,frp 建立 TLS 连接的第一个字节为 0x17。通过将 frps.ini 的  中 tls_only 设置为 true,可以强制 frps 只接受 TLS 连接。注意: 启用此功能后除 xtcp 外,不需要再设置 use_encryption。为了端口复用,所以建立TLS链接的时候,第一个字节为0x17用wireshark跟一下流很容易也发现这个固定特征:很明显嘛,在这里先发了一个1字节的数据包,作为表示要进行TLS协议巴拉巴拉的。然后后面接着一个包就是固定243的大小, emm,你觉得我写个判断frp流量的规则像不像切菜呢?简单跟下代码,看看怎么修改这个特征:简单理解下TLS协议的工作原理:tls协议有个服务端生成证书和密钥的过程,frp是自动实现生成的tls.config:怎么生成的呢?服务器生成是这个:func generateTLSConfig() *tls.Config { key, err := rsa.GenerateKey(rand.Reader, 1024) if err != nil { panic(err) } template := x509.Certificate{SerialNumber: big.NewInt(1)} certDER, err := x509.CreateCertificate(rand.Reader, &template, &template, &key.PublicKey, key) if err != nil { panic(err) } keyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(key)}) certPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: certDER}) tlsCert, err := tls.X509KeyPair(certPEM, keyPEM) if err != nil { panic(err) } return &tls.Config{Certificates: tls.Certificate{tlsCert}}客户端InsecureSkipVerify设置了不检验证书:func (svr...
阅读全文