JSRC成都站——一场诚意满满的安全交流

10月28日,京东安全响应中心联合猪八戒安全响应中心在成都世代锦江酒店共同举办了“2016年JSRC安全乌托邦——成都站”。

我们MS509 Team核心成员Thor是分享者之一,他带来的议题是《One Class to Rule Them All:Android反序列化漏洞分析》,我有幸跟着Thor大牛参与了这次安全分享会。

阅读全文

可关闭大部分杀软的技术?针对360卫士已验证成功

作者:expsky

声明:本文由expsky@MS509Team原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。

杀软与病毒木马的对抗从未停止,特别是在windows平台过去的十年里。技术对抗客观促成了如今windows平台安全技术相比十年前早已日新月异,安全技术门槛被提升到了非常的高度,带来的好处就是,相当部分的原木马作者被挡在了门槛之外,而想入行的新手要面临更大的难度。但另一方面需要警惕的是,剩下的少数木马作者走向了更加专业化、团队化的道路,所以频现一些所谓的特种木马。

阅读全文

Android漏洞CVE-2015-3825分析及exploit实战:从Crash到劫持PC

作者:thor

CVE-2015-3825是去年Android系统爆出的高危漏洞,与CVE-2014-7911一样都属于Android系统的反序列化漏洞。通过该漏洞可以实现Android系统提权及代码执行等一系列攻击行为,危害巨大,影响Android 4.3 到Android 5.1所有版本。

0x00 构造Crash Poc

与CVE-2014-7911类似,CVE-2015-3825都是反序列化漏洞,因此我们基于CVE-2014-7911的Poc构造CVE-2015-3825的Poc。CVE-2015-3825的反序列化漏洞出现在OpenSSLX509Certificate类中,构造伪造类:

阅读全文

用IRC协议与PHP木马“聊天”

作者:expsky

最近,我们的网络监测设备中发现了revslider.zip文件,解压后的两个php文件mil.php,pbot.php都经过了编码处理,非常可疑。搜索revslider关键字能找到freebuf上的一篇文章《RevSlider插件漏洞导致大量WordPress网站被黑》,进一步确认了猜测,于是对这两个php文件进行了分析。

阅读全文

分析重装系统也无法清除的鬼影病毒

作者:expsky

整理电脑的时候找到自已以前分析的一个鬼影病毒的资料,当时兼容市面上主要的windows系统(XP, win7,包含x86和x64系统)样本来自国外,有不少亮点,当时花了不少时间把所有原理分析出来并重新用汇编和C++实现了出来。以前的一些资料简单整理了下,分享出来,也给自己以前的工作留个记录。

阅读全文

Cknife Disclaimer

Recently a foreign company RecordedFuture made an analysis of Cknife in their blogs[1]. But it is full of errors, misunderstandings and even slanders just because we are Chinese and made Cknife open source. Here we publish a disclaimer and clarify the motives of open sourcing Cknife.

阅读全文

关于Cknife的使用声明

近期国外某安全公司以“中国威胁论”污蔑Cknife作者,迫于舆论压力特作此声明:

免责声明:本工具仅限于安全研究与教学使用,用户使用本工具所造成的所有后果,由用户承担全部法律及连带责任!作者不承担任何法律及连带责任。

 

为什么开发Cknife:
1、方便已被授权的渗透测试人员进行渗透测试;
2、方便WAF厂商提升自身WAF的防护能力;
3、方便管理员管理自身网站及服务器。

阅读全文

躲不掉的红色炸弹,这次真的「爆」了

作者:expsky

收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所以请帖也俗称红色炸弹,而这次的红色炸弹真的就爆了!

上面是发生在本月的一条短信,如果你从朋友那里收到如上这样一条短信,点击里面的电子请帖链接,会下载一个APK软件,如果继续点击了这个APK文件而且你又是安卓手机的话,那么你真的中弹了。

阅读全文

SQLCipher之攻与防

作者:Titan

0x00 SQLCipher

在移动端,不管是iOS还是Android,开发人员用的最多的本地数据库非SQlite莫属了。SQLite是一个轻量的、跨平台的、开源的数据库引擎,它的在读写效率、消耗总量、延迟时间和整体简单性上具有的优越性,使其成为移动平台数据库的最佳解决方案。

阅读全文

ARM栈溢出攻击实践:从虚拟环境搭建到ROP利用

作者:thor

目前市面上的android手机大多都是基于arm cpu,在嵌入式设备领域arm cpu更是处于统治地位,因此在移动安全领域有必要熟悉下arm的exploition。本文记录了arm下栈溢出到ROP利用的调试过程,供入门参考。

阅读全文