“Hacker”零日漏洞攻防

触发点构造 我们在 Drupal 后台配置好 RESTful Web Service 插件，选择一个可以进行 POST 的操作。 为了尽可能模拟网站管理员的配置，我们这里允许对于 /user/register 的 POST 操作。 于情于理，用户注册处必然可以作为匿名用户来进行操作。开启 /user/register #数据删除 #拿数据库 #木马注入 #黑客技术 #黑客业务 #入侵改分,改单 #逆向破解 #外挂 #渗透业务 业务联系：@Lucky50929

从 REST 请求开始，先通过用户传入的 JSON 的 _links.type 获取了其对应的 Entity，再获取 Entity 内的 Fields 列表，遍历这个列表得到 key，从用户传入的 JSON 内取出 key，拼接成为 field_item:key 的形式（过程略），最终在 getDefinition 内查找了 definitions 数组内的字段定义，得到一个对应的 Field 的实例对象，过程大体如下 接着 FieldNormalizer 的 denormalize 方法调用了 Field 的 setValue 方法。

SA-CORE-2026-003 远程命令执行分析 漏洞定位 漏洞通告指出了 Drupal 8 在开启了 RESTful Web Services 模块，同时允许了 PATCH / POST 方法请求后，可以造成代码执行漏洞。 根据 commit log [注1] 可以定位到漏洞的触发原因在于反序列化的操作： 可以推测应该是在进行 REST API 操作的过程中，options 参数的内容带入到 unserialize 函数导致的。通过 diff 可以发现 LinkItem.php 和 MapItem.php 都受到影响，这里从 LinkItem 来向上挖掘漏洞点。

整个syzkaller的使用过程就是先去寻找内核的攻击面，然后构造api调用模板，剩下交由syzkaller基于代码覆盖驱动的方式去Fuzzing，有点类似api fuzzing。 只是这里作者又写了个USB内核模块，方便通过用户层发送USB消息去测试。 #数据删除 #拿数据库 #木马注入 #黑客技术 #黑客业务 #入侵改分,改单 #逆向破解 #外挂 #渗透业务 业务联系：@Lucky50929

Attacking Edge Through the JavaScript Just-In-Time compiler 一直以来，chakra被曝的漏洞非常多，导致微软最终还是放弃了。 从今年开始，微软将打算把Edge的Chakra引擎改用Google Chromium引擎，估计最近这两个月就会发布，以后就可能没什么人再搞Chakra内核了。 这议题里面讲了很多chakra的js对象内存结构等基础知识，重点讲了JIT优化编译器的漏洞原理与利用技巧，整个ppt有120页，很多。 我没搞过chakra，未来可能也用不上了，有兴趣的同学可以看下，作者把exploit代码也公布了，我已附在本文的打包资料里面。

整体架构逻辑 文件结构 ├─views │ │ View.py # web请求处理 │ │ │ ├─lib │ │ Conn.py # 数据库公共类 │ │ CreateExcel.py # 表格处理 │ │ Login.py # 权限验证 │ │ QueryLogic.py # 查询语句解析 │ │ │ ├─static #静态资源目录 │ │ │ └─templates #模板文件目录 │ └─vulscan │ VulScan.py # 漏洞检测引擎 │ └─vuldb # 漏洞库目录 #数据删除 #拿数据库 #木马注入 #黑客技术 #黑客业务 #入侵改分,改单 #逆向破解 #外挂 #渗透业务 业务联系：@Lucky50929

漏洞利用： 【泄露地址】：使用与AppCache对象大小相同的net::CanonicalCookie对象来占用释放对象的内存，而CanonicalCookie对象开头是个cookie名称，即字符串指针，再从浏览器中读取cookie信息来达到信息泄露的目的，从而拿到可控数据的堆地址绕过ASLR。 【代码执行】：使用与AppCache对象大小相同的Blob对象对占用释放内存，再伪造AppCacheGroup对象，当它析构释放时，在~AppCacheGroup中会调用到已被填充控制的虚函数指针，再结合ROP绕过DEP，从而达到代码执行。

整体架构逻辑 文件结构 │ │ NAScan.py # 网络资产信息抓取引擎 │ │ │ ├─lib │ │ common.py 其他方法 │ │ icmp.py # ICMP发送类 │ │ log.py # 日志输出 │ │ mongo.py # 数据库连接 │ │ scan.py # 扫描与识别 │ │ start.py # 线程控制 │ │ │ └─plugin │ masscan.py # 调用Masscan脚本

巡风源码浅析 │ Config.py # 配置文件 │ README.md # 说明文档 │ Run.bat # Windows启动服务 │ Run.py # webserver │ Run.sh # Linux启动服务，重新启动前需把进程先结束掉 ├─aider │ Aider.py # 辅助验证脚本 │ ├─db # 初始数据库结构 │ ├─masscan # 内置编译好的Masscan程序（CentOS win64适用），需要chmod+x给执行权限（root），若无法使用请自行编译安装。 #!/bin/bash CURRENT_PATH=dirname $0 cd $CURRENT_PATH XUNFENG_LOG=/var/log/xunfeng XUNFENG_DB=/var/lib/mongodb

提权后门 suid提权后门，有时候需要放置一个提权后门方便我们拿到一个低权限shell的时候提权，例如 cp /bin/bash /bin/nf & chmod +s /bin/nf ,之后通过低权限账号登录的时候就可以执行/bin/nf 来以root用户执行命令 sudo 后门，同样是提权后门，在/etc/sudoers 文件中添加如下的内容 jenkins ALL=(ALL) NOPASSWD: ALL，使jenkins用户可以使用sudo执行任意命令 排查：suid后门可通过 find / -perm -4000 来查找suid程序，sudo后门可以检查 /etc/sudoers 进程注入 使用ptrace向进程中注入恶意so文件工具linux-inject，github地址 #数据删除 #拿数据库 #木马注入 #黑客技术 #黑客业务 #入侵改分,改单 #逆向破解 #外挂 #渗透业务 业务联系：@Lucky50929