存档

‘人物/事迹’ 分类的存档

年末致富有新招,写个程序抓红包

2015年2月13日 没有评论

0x00背景

大家好,我是来自IDF实验室的@无所不能的魂大人

红包纷纷何所似?兄子胡儿曰:“撒钱空中差可拟。”兄女道韫曰:“未若姨妈因风起。”

背景大家都懂的,要过年了,正是红包满天飞的日子。正巧前两天学会了Python,比较亢奋,就顺便研究了研究微博红包的爬取,为什么是微博红包而不是支付宝红包呢,因为我只懂Web,如果有精力的话之后可能也会研究研究打地鼠算法吧。

因为本人是初学Python,这个程序也是学了Python后写的第三个程序,所以代码中有啥坑爹的地方请不要当面戳穿,重点是思路,嗯,如果思路中有啥坑爹的的地方也请不要当面戳穿,你看IE都有脸设置自己为默认浏览器,我写篇渣文得瑟得瑟也是可以接受的对吧……

我用的是Python 2.7,据说Python 2和Python 3差别挺大的,比我还菜的小伙伴请注意。

0x01 思路整理

懒得文字叙述了,画了张草图,大家应该可以看懂。

envelope 01

首先老规矩,先引入一坨不知道有啥用但又不能没有的库:

import re
import urllib
import urllib2
import cookielib
import base64 
import binascii 
import os
import json
import sys 
import cPickle as[......]

阅读全文

也来黑记者:布鲁克林高地外无眠的夜晚(三)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/12/hacking-a-reporter-sleepless-nights-outside-a-brooklyn-brownstone-part-3-of-3.html 

翻译:徐文博

该篇是三篇系列中的最后一篇(你可在这阅读第一篇第二篇),该系列深入的介绍了我们对记者Adam Penenberg的黑客情况,Adam也在10月份的潘多省日报上有篇文章对此描述。 前面两部分详细讲述了Josh Grunzweig, Matt Jakuboski和Daniel Chechik所做的用于攻击的恶意软件相关内容。 在这最后的文章里,Garret Picchioni,也就是我了(在前面的文章里,被投票认定来写最后的文章),将更多的讨论下现场和无线攻击部分的细节。

我和Matthew Jakubowski(Jaku), 都专注于蜘蛛实验室的网络渗透测试。当被问及是否有兴趣参与此活动时,我们毫不犹豫的就答应了。

无线攻击

这是此次活动中比较有挑战的部分,与传统的渗透测试有很大区别。通常我们为公司进行无线渗透测试时,都是预先给定了一系列的网络名称(SSIDs)的,所以我们不会浪费时间用于识别目标网络,也不会意外入侵到别人的网络。我们现在所面对的则略有不同:要能定位出Adam家的无线网络名称,同时又不能错误的入侵他人网络。

到达Adam家附[……]

阅读全文

也来黑记者:写个恶意软件玩玩(二)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/11/hacking-a-reporter-writing-malware-for-fun-and-profit-part-2-of-3.html 

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

该篇是3篇系列中的第2篇(可在此读第1篇)。 第1和2两部分详细的介绍了我们自身团队(Matt Jakubowski, Daniel Chechik和我)所做的用于攻击的恶意软件。 在第3部分,我们的同事Garret Picchioni将发布更多的关于现场和无线攻击部分的技术细节。

简单总结一下第1部分:我们编写了与平台无关的恶意软件,经过几番处理,安装在了Adam妻子的手提电脑上,等待再次与手提电脑建立连接。 最终,那晚深夜,我们再次收到了连接,故事继续着。

An actual image of us writing the malware for this engagement

图1:我们所编写的用于此次行动的恶意软件的图片(当然不是啦,来自热播的电影,《剑鱼行动》(Swordfish))

第3步:进一步的妥协与收获

这次行动整体的目标不是很明确。只是想造成尽可能大的假设性破坏。为此,我们希望尽可能多的获取到Adam的帐号权限、敏感信息。我们进入Adam妻子的手提电脑后,就开始翻查文档目录、下载目录和桌面。不幸的是,整个行动期间,与手提电脑的连接总是很快就丢失[……]

阅读全文

也来黑记者:写个恶意软件玩玩(一)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/10/hacking-a-reporter-writing-malware-for-fun-and-profit-part-1-of-3.html

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章“我让黑客来调查我,他们的发现让我不寒而栗”,讲述了我和我的小伙伴“骚扰”他生活的事情。 如果你还没读过, 那我强烈建议你去瞅瞅。

本周该日报上又发布了一篇后续文章,“一个记者让我们黑他,我们是怎么做到的呢”,从我们的角度进行了阐述。

我想有些读者朋友可能比较好奇更详细的渗透技术细节。所以我们决定对此发表3篇的系列文章以示阐述。

第一部分和第二部分将详细介绍我们自身团队( Matt Jakubowski, Daniel Chechik,和我)所做的用于本次渗透的恶意软件和钓鱼邮件。下周,我们的同事Garret Picchioni将会展示更多的关于现场和无线入侵的技术细节。

我在蜘蛛实验室(SpiderLabs)的恶意软件分析小组(Malware Analysis Team)作[……]

阅读全文

ByeBye Shell——针对巴基斯坦的网络间谍战

2013年10月14日 1 条评论

 原文:http://community.rapid7.com/community/infosec/blog/2013/08/19/byebye-and-the-targeting-of-pakistan

翻译:封畅

亚洲和南亚就像一个黑客表演的舞台,每天都在邻国之间上演着无数的黑客攻击和网络间谍的斗争。最近我又发现了一个例子,一个从今年年初就开始活跃的黑客行动,针对的目标主要是巴基斯坦。

在这篇文章中,我们会分析这次攻击的实质,攻击中用到的后门的功能(这个后门我给它起名叫ByeBye Shell),以及我和幕后黑客短暂的交手过程。

系统感染

在这个行动中并没有利用什么漏洞——攻击者大概仅仅依赖了社会工程学方法,通过精心伪装的邮件传播后门。

这个恶意软件第一次出现在受害者面前时是一个.scr文件。有时攻击者会使用LRO Unicode字符来将.exe文件伪装成其他更可信的文件。(译者注:RLO是微软的中东Unicode字符中的一个,其作用是强制其后的字符变为从右到左的方式显示,例如本來“setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成“setup-exe.txt”。)

一旦这个文件被执行,它就会在一个%Temp%的子文件夹中释放并执行一个批处理脚本,内容如下:

@ echo off  
@ start "IEXPLORE.E[......]

阅读全文

隐秘山猫:受雇佣的专业黑客

2013年10月11日 没有评论

原文:http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf

翻译:张世会(土豆)

一、概览

隐秘山猫是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。

隐秘山猫还提供了“黑客雇佣”服务,职责就是从众多的企业和政府目标中检索出特定的需求信息。他们组织的工作效率很高,可以同时执行多个任务,可以攻破全球安全防护做的最好的企业组织,可以迅速的改变自己的战术以实现对目标的攻陷。为实现对特定目标的攻击他们通常使用自己设计的多个木马程序:后门程序Moudoor常用于大型活动,并且这个程序已经在全球网络广泛分布;木马Naid是保留给特殊行动,用来打击高价值目标。隐秘山猫利用尖端的攻击技术,使得他们在众多黑客组织中脱颖而出。

本文会对隐秘山猫这个组织进行深入了解,包括他们的攻击目标和动机、通过他们的活动来了解他们的攻击能力和攻击策略。

二、背景

2013年2月,Bit9的一份声明中披露:在2012年7月,他们的网络系统曾经被第三方间谍程序所破坏。这个名叫隐秘山猫的知名组织和“极光行动”大有关系,当时他们利用SQL注入攻击并进入了Bit9的网络系统。他们的间谍程[……]

阅读全文

车库咖啡渗透测试报告

2013年9月22日 没有评论

原创:天吉亮(Tian)

一、前言

之前曾经针对车库咖啡官网做过一次简单的渗透,虽然没有收获实际的陈果,但也为这次渗透测试做了一些准备工作,同时也获取了与车库咖啡相关的一些基本信息。

二、渗透目标

本次渗透测试的目标为车库咖啡官网(http://www.chekucafe.com)、车库咖啡俱乐部(http://club.chekucafe.com/)以及其他二级域名所属的Web应用,并根据渗透的结果获取车库咖啡相关的非公开资料或数据。

三、渗透测试过程

3.1 ucai.chekucafe.com的渗透过程

3.1.1 配置环境扫描结果

服务器IP:123.125.162.98

开放端口: 80/http

服务器系统: *nix

网站程序: 未知

3.1.2 渗透思路转移

从车库咖啡官网看到可以使用优才网帐号登录,如下图所示:

chekucafe_01

从登陆方式可以判断车库咖啡优才网(http://ucai.chekucafe.com/)和优才网的使用的是相同的数据库,至少在账户信息存储上是共用的。此外,在车库咖啡官网看到车库认证团队内有优才网的团队认证信息。如下图所示:

chekucafe_02

从上图中可得知优才网的项目负责人叫伍星,[email protected]

由此设想,既然车库咖啡优才网(http://ucai[……]

阅读全文