ROBOTATTACK ——一个由PKCS引发长达19年的血案

作者:k2yk 日期:2017/12/15 最后更新日期:2017/12/18 0x00 简介 ROBOTATTACK是一个寿命十分长久的漏洞,至今已有19年的历史。ROBOTATTACK允许攻击者使用服务器上的私钥对传输数据进行解密操作以及使用服务器上的私钥进行签名操作。 早在 1998年的时候,Daniel Bleichenbacher发现了在一些 SSL服务器上给出的关于 PKCS #1 1.5的错误信息可被进行选择密文攻击(adaptive-chosen ciphertext...

Apache Synapse远程命令执行漏洞分析(CVE-2017-15708)

0x01. 漏洞概述 近日,CVE更新了一个 Apache Synapse的严重安全漏洞。该漏洞存在于版本低于3.0.1的 Synapse产品上,允许攻击者在运行有 Apache Synapse的目标系统上远程执行任意代码。目前,国家信息安全漏洞共享平台(CNVD)已对该漏洞进行了收录(CNVD-2017-36700,对应CVE编号:CVE-2017-15708)。 0x02. 漏洞分析 从官网上下载 Apache Synapse2.1的源码,...

2017广东省强网杯 WEB题writeup

9月10日下午六点,第二届强网杯线上预赛正式结束。这是我们团队首次参加CTF比赛,在这次比赛中我们也收获了不少东西。能拿到不错的成绩都是依靠团队里各位小伙伴的给力表现,在此,要感谢团队的小伙伴们! 这次比赛中 WEB题目共有四题,下面会逐题奉上我们的解题思路。 # WEB 50pt # ## broken ## 题目内容是一段 jsfuck,但是直接在浏览器控制台中 eval执行会提示语法错误: 仔细观察 jsfuck的语法结构,把最后的 ()去除,并加上 ]。再在浏览器控制台使用 eval执行,得出一个 数组结构,...

Root

FlexiSpy For Android 远程控制后门

背景介绍 4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。 这家监控公司其实是一家总部位于泰国(一说位于香港)的小公司,官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母,还有想要监控伴侣的夫妻,第三类客户显然是最多的。《福布斯》今年2月曾对这类监控软件进行过报道,报道指出,在2015年妇女援助组织对693名妇女的调查中,有29%的受访者表示,他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。 但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示,旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。 FlexiSPY还与其他监控软件厂商存在一定的联系,FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中,这家公司是英德监控公司。 根据泄露的文档,...