2015乌云白帽子节感受黑客文化

7月17日和18日，在乌云密布的京城举行了<乌云白帽大会2015>。作为我司的乌云漏洞处理接口部门，也到现场来凑了个热闹。

今年的会议为期2天，会议时间比去年更长，规模也比去年的要大。场外更摆起了Vendor Show，拉勾网的吉祥物，洋葱的微信群，还有大土豪IBM和思科都相当抢眼。今年的会议与其说这是一场峰会，不如说是一场白tong帽xing子jiao节you日聚会，一次感受黑客文化的机会。

第一天的场地估计容纳500人左右，结果第一天火爆程度连走道都站满了人。第二天的场地更是可容纳800人的大场。依然是座无虚席。

感受黑客思维

个人感觉企业场更多的是场试水秀，而真正的精华还是乌云白帽子的深厚技术积累方面的题材。从中可以看到黑客的攻击思维。

GoSSIP_SJTU的《Android 应用程序通用自动脱壳方法研究》讲解了通过在Dalvik源码插桩的方式实现通用的自动化脱壳。

该自动化脱壳工具可成功脱掉目前各主流厂商的壳。最后提到了研究过程中的各种坑以及更好的加固方案的一些想法。

从该议题可以感受到在攻防研究中一种思维："降维攻击"。

来自完美世界的MayIKissYou讲述了对各种WAF的绕过姿势和绕过思路。结合实例讲述了通过研究请求发起到目标服务器响应的过程中涉及到的各子系统对同一请求字符串的不同解析和WAF层本身的特性实现WAF BYPASS。

关键字是“特性”，如MayIKissYou所说每种WAF都有其特性，绕过的技巧有很多，但是不要妄图存在一种万能的方法可以一招鲜。而深入研究其特性，组合利用现有的技巧往往还会有收获的。所以沿着这个思路，在他眼里其实很有很多待挖掘的地方。

“留意WAF自身的点点滴滴，特有的功能可能就是你BYPASS的利器”。该议题绕过WAF的研究思路同样适用于各种攻防研究中，可以感受到这样一种黑客思维：所有的计算机处理都是机械的，也许换一种写法，计算机程序就不认识了。大概是“你以为你以为的就是你以为的吗？”。所以其中一种研究方法Fuzzing测试出现了。

据说PPT会放出来，还会有一些总结文章，或者先看看Mayikissyou在乌云Drop上几篇文章http://drops.wooyun.org/author/MayIKissYou

另外还有由"为何那么帅"的Only_guest带来的通过公开的是否在该站注册的API实现的“人肉搜索”利器。该项目基于公开接口，通过给各站指定标签，然后结合注册了哪些站，从心理学层面判断一个人的性格等信息。

从该议题可以感受到一种黑客思维：需要有想象力，挖掘信息的价值。黑客需要突破原有的束缚的思维。

插播一条，最近微博朋友圈的黑阔们都有说到一部国产电影《大圣归来》，如果你想再感受一下“突破原有的束缚”，请去电影院看这部电影，费用自己支付...

感受黑客味道

在电影中，神一般存在的黑客，在现实中是什么样子呢？Only_guest的黑客吃饭不花钱，控制出租车，劫持电话（白帽子毕月乌在另一个议题里也展示的通过IP电话服务商漏洞任意修改来电号码的问题），查遍车主信息，以及高管个人通讯电话信息等等都相当劲爆。Only_guest表示，原本准备了更多的演示，由于一些内容太敏感，没有公开。由从这些展示，真可以感受到黑客世界已经在生活中无孔不入了。

当然还有香草同学展示了邮件的攻击手法。无论你是通过WEB，PC客户端还是手机APP收邮件，都有被搞定的可能。现场演示就了通过XSS Rootkit 长久劫持126邮箱。还有一枚Foxmail的PC客户端非二进制命令执行漏洞的利用过程(因命令为Foxmail进程发起，PC上的安全软件没有任何拦截动作)。PKAV的gainover对各种PC客户端的非二进制命令执行漏洞有深入的研究，在上周的阿里安全峰会中就讲解了国内各种浏览器的非二进制命令执行漏洞。据悉，下月的台湾HITCON，gainover将会分享PC客户端的非二进制命令执行漏洞研究成果。

因为为非公开漏洞，现场并没有说明漏洞详情，待提交乌云，厂商修复才能公开。

除了以上的无孔不入，互联网时代离不开网购，两天会议就感受到不少网购中的黑客味，在白帽子毕月乌议题《手机号背后的灰色地带》就看到电商领域所诟病的"黄牛党","羊毛党"内幕，白帽子单单在一个平台上就发现了有近14万个可用于接收验证码的手机号码。

而接收验证码，更是有专业的“分布式猫池”设备进行操作。

目前，针对网页验证码的自动识别引擎和“打码平台”已经非常成熟，大部分服务开始使用手机验证码，然并卵，针对手机验证码的“打码平台”也已经非常成熟。灰色产业中的"黄牛党"和"羊毛党"早已经实现工程化，自动化。

其实这类型影响业务的安全问题越来越受到厂商和白帽子的重视。<去哪儿安全－从 0 到 1>,<解析 P2P 金融安全>,<唯品会安全建设与风控杂谈>,<手机号背后的灰色地带>均涉及了业务安全问题。在林老板的《解析 P2P 金融安全》里也提到SQL注入对互联网金融公司来说已经不是头号杀手了（排在第六位）。

面对这类头痛的"黄牛党","羊毛党"除了在业务上作出调整，缩小其利润获得的空间。以及利用行为分析等高大上的方案。

个人认为情报共享也是越来越重要，各家应联合起来共享恶意IP，手机号等情报，才能及时减少损失。

还有前新浪大牛Piaca分享了在工作中遇到的真实被入侵以及步步深入的调查案例。故事在一次500错误日志的分析，定位到攻击者通过tomcat帐号密码入侵（非弱密码），继续调查发现攻击者在更早之前就入侵了收集到该帐号。并通过反向渗透，发现了黑客的肉鸡服务器，工具，以及更多受影响的内网机器。更严重的是后来发现域控服务器的异常。

在新兴的行业同样存在各种各样的安全问题，比如最近流行的无人飞行器。白帽子Rayxcp讲解了通过明文保存固定密码登录系统从而成功劫持某型号无人机的研究。

来自上海交通大学LoCCS实验室的在读研究生白帽子，讲解了通过“旁路攻击”(功耗曲线)获取USIM卡中的各种值，从而复制3G/4G USIM卡的研究。

现在黑客眼里，世界到底有多危险，以疯狗的一张PPT可见一斑。

感受黑客文化

在第二天白帽场一开始，乌云漏洞平台负责人疯狗表示为纪念Struts 2命令执行漏洞，把7月17-18日定为白帽子节。

交流是重要的黑客文化，本次大会来自台湾的HITCON CTF 队长：Orange吐槽了CTF比赛中对WEB安全的傲慢与偏见。

在最后的算卦摊圆桌讨论环节，有众所周知的CIH作者陈盈豪，第一代黑客、曾经的腾讯“扫黄打非办主任”ben总，HITCON创始人TT，东道主剑心等6位嘉宾。CIH作者在沙龙中的分享，最可以感受到“黑客精神”那份执着，坚持，与想法。一如他最后所总结的，Hacker要有恒心、耐心，当做到别人所做不到的事情，当征服了Windows的时候，就是六个字“爽爽爽好爽哦”。

其他：

1. 各议题的材料，会提供下载，请留意乌云官网，官方微信，官方微博。大部分议题安全牛也有做现场直播。

2. 通过与来自日本的特邀美女嘉宾kana交流，获知在日本没有类似乌云的漏洞平台，也没有*SRC，日本企业普遍认为不应该为漏洞付费。

3. 当晚在乌云酒吧，发生了《黑客酒会"拿"走ipad,被200名黑客社会工程学30分钟拿下！！》事件。

4. 在各企业和PKAV演讲的最后基本上都打了招聘广告，可见安全攻防人才的紧缺。乌云也在招人。

---

PS：最近我们也在招人，共同对抗“黄牛党”“羊毛党”。点击下方的"阅读原文"，或回复关键字“招聘”查看详情。

欢迎关注zsfnotes的公众号

原文始发于微信公众号（张三丰的疯言疯语）：2015乌云白帽子节感受黑客文化